1 概述 一个本已被玩滥的攻击手法,被人整合上了一个美国NSA的核弹级的远程攻击工具,加上国内外媒体的大肆渲染,而且受伤者基本是医院、高校、政府机关等让人同情的地方,这次有点玩大了。 这次的漏洞爆发中,不法分子肯定是众矢之的,但是这次的帮凶NSA不知道是在愧疚呢还是在展示了自己强大的实力之后的暗暗窃喜呢? 2 观后感这次蠕虫风暴中,制作者并没有太大的技术含量,而且纯粹是想搞破坏和恶意加密电脑文件来赤裸裸地进行勒索行动,完全是网络界的恐怖主义者,却被众多媒体用“XXX蓝”这么好的名字来作为此次的代号,可惜了这个名字。 其中的核心技术是NSA在2010年就研究发现出的远程执行漏洞,由于445端口是默认开启的,如果对方防火墙没有做特殊限制,攻击者就可以在对方系统上执行系统权限的命令,特别高危的一个漏洞。 一个国家级的部门,发现了这么个高危漏洞,藏着掖着用了7年,厉害了,直到被另外一个安全团体挖掘出来公开之后才被少数IT人得知,里面是否有别的隐情也不知道。 不知道我们国家是不是已经有某个部门早就掌握了此漏洞呢,我倒是希望是这样,最起码这样确实是有实力。NSA确实有实力。 漏洞公开前后微软“第一时间”进行了修复和补丁分发,也不想事情被闹大,在每个月的例行更新中“比较静默地”修复了。 我们部门也第一时间通过python进行了漏洞重现,一个一个准地测试可以通过fb.py和msf反弹进行远程控制,并通知全员修复。 微软发布补丁之后,不料全球没有进行更新的人那么多,而且这次影响范围这么广,星星之火可以燎原呀,大量Windows用户中招。 倒霉的人中包括: 1. 有各种情节还在使用被淘汰的XP系统的个人 XP系统已经不被官方技术支持,微软也是在发现影响实在太大的情况下破天荒地才发布相关补丁。 为什么还在用XP呢,赶快更换吧,后续肯定是还会有类似漏洞,做好自己,不要害人害己,自己中毒了还被当作跳板传播给别人就不好了。 2. 服务器中还在使用win2003不方便进行更新但防火墙又没做好的IT人员 我们也有不方便更新的系统,但是相关防火墙一定要做好,自带的就够了。这里IT人员还要特殊注意下要对自己的上司和老板“特殊关照”下,最好人工和老板确认下,最好把涉及到家里的电脑也需要推动下主动进行漏洞修复。 3. 还有不小心被某些安全软件不小心屏蔽了此漏洞的大众 为什么补丁被屏蔽,补丁包含ci.dll文件,可能会导致少部分盗版系统的电脑重启反复蓝屏所以被屏蔽了,此用户这次有点倒霉。 4. 在政府部门、医院使用老旧系统的公职人员 对应的IT部门不上心,或者得不到相关部门大力支持来更新折腾那些老旧但非常重要的IT系统,如果基础设施因此大量瘫痪,最终倒霉的人太多了。 5. 完全裸奔的无知者 此无知者认为更新补丁完全没必要,最多中毒了就杀杀毒,而且怎么会无缘无故中毒呢。此无知者也做了帮凶,这类人最容易中招,中招之后一个局域网就被他搅了还觉得自己无辜。 6. 以为在内网就安全无忧者 内网是安全,但是此次攻击受伤的是自己,不是像以前那种再DDOS攻击别人的那种,不是拔掉网线就没事了,这次报警也没用。 7. 安装更新但忘了重启者 明明看到安全小组发的邮件,第一时间进行了更新,但是忘了重启服务器呀,唉。 8. 浏览各种乱七八糟网站中毒者 不只是通过共享漏洞来传播,还有通过各种邮件和特殊网站的传播,这个情况安装了漏洞补丁也没用,洁身自好最关键。 9. 教育网 家里的网络80、445端口是不对外开放的,听说有些高校的教育网没有此策略,导致在技术含量应该很高的高校中疯狂传播,445这种高危端口还是需要尽量控制些好,有点尴尬。 最后是国家计算机网络应急技术处理协调中心,一个国家级的安全部门居然没有在两个月前进行高能预警,没拿到类似的漏洞技术也就算了,公开此安全漏洞之后居然无所作为好像有点过了。 以后如有类似的网络对战希望国家级的部门能够愉快地大大地给力。 3 结语联想到之前的NTP放大攻击,海量服务器自己跑着NTP但不主动修复漏洞,这样就成了别人的帮凶,让攻击者用普通PC就可以控制进行庞大的DDOS攻击,害群之马。 不必恐慌,不必恐慌,如果“不小心”中招了就不必恐慌地慢慢重新格式化整个磁盘来安装新系统吧,两个月前的漏洞自己不修复自己的问题还是比较多的。 建议大家还是老老实实地和我们一样及时进行漏洞修复吧,安全软件不管怎么还是要不辞幸苦地尽量安装个,避免“引火上身”。
|