北京時(shí)間5月12日，全球互聯(lián)網(wǎng)遭受Wannacry勒索軟件蠕蟲(chóng)感染。截止17日16時(shí)，CNCERT監(jiān)測(cè)發(fā)現(xiàn)全球近356.3萬(wàn)個(gè)IP地址遭受“永恒之藍(lán)”SMB漏洞攻擊，其中位于我國(guó)境內(nèi)的IP地址數(shù)量接近12.5萬(wàn)個(gè)，對(duì)我國(guó)互聯(lián)網(wǎng)造成嚴(yán)重的安全威脅。綜合CNCERT和國(guó)內(nèi)網(wǎng)絡(luò)安全企業(yè)已獲知的樣本情況和分析結(jié)果，該勒索軟件蠕蟲(chóng)在傳播時(shí)基于445端口并利用SMB漏洞（對(duì)應(yīng)微軟漏洞公告：MS17-010），可以判斷是由于“影子經(jīng)紀(jì)人”（Shadow Brokers）組織此前公開(kāi)披露漏洞攻擊工具而導(dǎo)致的后續(xù)勒索軟件蠕蟲(chóng)攻擊。

2017年4月14日晚，“影子經(jīng)紀(jì)人”組織在互聯(lián)網(wǎng)上發(fā)布“方程式”（Equation Group）組織的部分工具文件，包含針對(duì)Windows操作系統(tǒng)以及其他辦公、郵件軟件的多個(gè)高危漏洞攻擊工具，這些工具集成化程度高、部分攻擊利用方式較為高效。針對(duì)可能引發(fā)的互聯(lián)網(wǎng)上針對(duì)Window操作系統(tǒng)主機(jī)或應(yīng)用軟件的大規(guī)模攻擊，4月16日，CNCERT主辦國(guó)家信息安全漏洞共享平臺(tái)（CNVD）發(fā)布《關(guān)于加強(qiáng)防范Windows操作系統(tǒng)和相關(guān)軟件漏洞攻擊風(fēng)險(xiǎn)的情況公告》（訪(fǎng)問(wèn)鏈接：http://www./webinfo/show/4110）。時(shí)隔不到一個(gè)月，Wannacry勒索軟件蠕蟲(chóng)大范圍感染事件也印證了當(dāng)時(shí)推測(cè)的嚴(yán)重危害。

針對(duì)“影子經(jīng)紀(jì)人”發(fā)布的黑客使用的大量針對(duì)Windows操作系統(tǒng)以及其他廣泛應(yīng)用的軟件產(chǎn)品的工程化工具及其對(duì)應(yīng)的利用安全漏洞，CNCERT進(jìn)行了詳細(xì)梳理，并提供相應(yīng)處置建議，提醒廣大互聯(lián)網(wǎng)用戶(hù)及時(shí)做好應(yīng)急處置，避免被惡意攻擊或利用。

一、“影子經(jīng)紀(jì)人”組織披露的系列漏洞描述

（一）Windows操作系統(tǒng)SMB協(xié)議相關(guān)漏洞及攻擊工具（共8個(gè)）

       1、ETERNALBLUE（“永恒之藍(lán)”）

        工具及漏洞說(shuō)明：ETERNALBLUE是針對(duì)Windows系統(tǒng)SMB協(xié)議的漏洞利用程序，可以攻擊開(kāi)放445 端口的大部分Windows主機(jī)。對(duì)應(yīng)漏洞的相關(guān)信息可參考Microsoft安全公告MS17-010（https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx）。

        受影響軟件及版本：Windows XP至Windows 2012。

        補(bǔ)丁文件下載地址：Windows安全更新程序 (KB4012598)，http://www.catalog.update.microsoft.com/search.aspx?q=4012598

        2、Educatedscholar 

        工具及漏洞說(shuō)明：Educatedscholar是針對(duì)Windows系統(tǒng)SMB 協(xié)議的漏洞利用程序，可以攻擊開(kāi)放445 端口的特定版本W(wǎng)indows 主機(jī)。對(duì)應(yīng)漏洞的相關(guān)信息可參考微軟安全公告MS09-050（https://technet.microsoft.com/library/security/ms09-050）。

        受影響軟件及版本：Windows Vista、Windows Vista SP1 和 Windows Vista SP2；Windows Server 2008、Windows Server 2008 SP2。

        補(bǔ)丁文件下載地址：Windows安全更新程序 (KB975517)，http://www.catalog.update.microsoft.com/Search.aspx?q=975517

        3、Eternalsynergy

        工具及漏洞說(shuō)明：Eternalsynergy是針對(duì)Windows系統(tǒng)SMBv3協(xié)議的遠(yuǎn)程代碼執(zhí)行漏洞攻擊工具，可以攻擊開(kāi)放445 端口的特定版本W(wǎng)indows 主機(jī)。對(duì)應(yīng)漏洞的相關(guān)信息可參考Microsoft 安全公告 MS17-010（https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx）。

        受影響產(chǎn)品及版本：Windows 8和Windows Server 2012。

        補(bǔ)丁文件下載地址：Windows安全更新程序 (KB4012598)，http://www.catalog.update.microsoft.com/search.aspx?q=4012598

        4、Emeraldthread 

        工具及漏洞說(shuō)明：Emeraldthread是針對(duì)Windows系統(tǒng)SMBv1協(xié)議允許遠(yuǎn)程執(zhí)行代碼的漏洞攻擊工具。對(duì)應(yīng)漏洞的相關(guān)信息可參考Microsoft 安全公告 MS10-061（https://technet.microsoft.com/zh-cn/library/security/ms10-061.aspx）。

        受影響產(chǎn)品及版本：可能影響Windows XP、2003、Vista、2008、Windows7、2008 R2。 

        補(bǔ)丁下載地址：Windows安全更新程序 (KB2347290)， http://www.catalog.update.microsoft.com/Search.aspx?q=2347290

        5、Erraticgopher 

        工具及漏洞說(shuō)明：Erraticgopher是針對(duì)Windows系統(tǒng)SMBv1協(xié)議的漏洞攻擊工具， Windows Vista發(fā)布的時(shí)候已經(jīng)修復(fù)該漏洞，但之前的版本可能受影響。

        受影響產(chǎn)品及版本：Windows XP和Windows Server 2003。

        6、Eternalromance 

        工具及漏洞說(shuō)明：Eternalromance是針對(duì)Windows系統(tǒng)SMBv1協(xié)議的漏洞攻擊工具，可能影響大部分Windows版本。對(duì)應(yīng)漏洞的相關(guān)信息可參考Microsoft 安全公告 MS17-010（https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx）。

        受影響產(chǎn)品及版本：Windows XP/Vista/7/2003/2008。

        補(bǔ)丁文件下載地址：Windows安全更新程序 (KB4012598)，http://www.catalog.update.microsoft.com/search.aspx?q=4012598

        7、Eclipsedwing 

        工具及漏洞說(shuō)明：Eclipsedwing是針對(duì)Windows系統(tǒng)SMB/NBT協(xié)議中可能允許遠(yuǎn)程執(zhí)行代碼的漏洞利用工具，對(duì)應(yīng)漏洞的相關(guān)信息見(jiàn)Microsoft 安全公告 MS08-067（https://technet.microsoft.com/library/security/ms08-067）。

        受影響產(chǎn)品及版本：Windows XP/2003/2008。

        補(bǔ)丁下載地址：Windows安全更新程序 (KB958644)，http://www.catalog.update.microsoft.com/Search.aspx?q=958644

        8、EternalChampion

        工具及漏洞說(shuō)明：EternalChampion是針對(duì)Windows系統(tǒng)SMBv1協(xié)議的漏洞攻擊工具，可能影響大部分Windows版本。對(duì)應(yīng)漏洞的相關(guān)信息可參考Microsoft 安全公告 MS17-010（https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx）。

        受影響產(chǎn)品及版本：全平臺(tái)Windows。

        補(bǔ)丁文件下載地址：Windows安全更新程序 (KB4012598)，http://www.catalog.update.microsoft.com/search.aspx?q=4012598

        針對(duì)上述SMB等協(xié)議相關(guān)漏洞及攻擊工具的相關(guān)建議如下：

      （1）及時(shí)更新和安裝Windows已發(fā)布的安全補(bǔ)??；

      （2）關(guān)閉135、137、139、445等端口的外部網(wǎng)絡(luò)訪(fǎng)問(wèn)權(quán)限，在主機(jī)上關(guān)閉不必要的上述服務(wù)端口；

      （3）加強(qiáng)對(duì)135、137、139、445等端口的內(nèi)部網(wǎng)絡(luò)區(qū)域訪(fǎng)問(wèn)審計(jì)，及時(shí)發(fā)現(xiàn)非授權(quán)行為或潛在的攻擊行為；

      （4）由于微軟對(duì)部分操作系統(tǒng)停止對(duì)Window XP和Windows server 2003的安全更新，建議對(duì)這兩類(lèi)操作系統(tǒng)主機(jī)重點(diǎn)進(jìn)行排查。針對(duì)上述漏洞，Window XP和Windows Server 2003用戶(hù)以及其他無(wú)法直接使用Windows自動(dòng)更新功能的用戶(hù)可根據(jù)Windows系統(tǒng)和版本自行從微軟官網(wǎng)（見(jiàn)上述各個(gè)漏洞工具描述中提供的補(bǔ)丁下載地址鏈接）下載補(bǔ)丁文件并安裝。

（二）Windows系統(tǒng)RDP、IIS、Kerberos協(xié)議相關(guān)漏洞及攻擊工具（共3個(gè)）

        1、Esteemaudit 

       工具及漏洞說(shuō)明：ESTEEMAUDIT是一個(gè)針對(duì)3389端口的遠(yuǎn)程溢出程序，它利用Windows 遠(yuǎn)程桌面訪(fǎng)問(wèn)RDP協(xié)議缺陷實(shí)施攻擊。

       受影響產(chǎn)品及版本：目前已知可能受影響的操作系統(tǒng)是Windows XP和Windows Server 2003。

        應(yīng)對(duì)建議：由于微軟公司已經(jīng)停止對(duì)Windows XP和Windows Server 2003的安全更新，使用這兩種版本操作系統(tǒng)并且開(kāi)放RDP3389端口服務(wù)的計(jì)算機(jī)用戶(hù)需要盡快開(kāi)展處置措施。

      （1）如不需要遠(yuǎn)程訪(fǎng)問(wèn),建議關(guān)閉遠(yuǎn)程協(xié)助功能和遠(yuǎn)程桌面訪(fǎng)問(wèn)，開(kāi)啟網(wǎng)絡(luò)防火墻、Windows防火墻攔截RDP默認(rèn)端口的訪(fǎng)問(wèn)；

      （2）如果業(yè)務(wù)需要開(kāi)啟遠(yuǎn)程訪(fǎng)問(wèn)，建議配置網(wǎng)絡(luò)防火墻或Windows防火墻只允許信任的白名單IP地址的訪(fǎng)問(wèn)，或者將RDP服務(wù)端口3389配置（映射）為其他非常用端口；

      （3）由于微軟對(duì)部分操作系統(tǒng)停止對(duì)Window XP和Windows server 2003的安全更新，建議對(duì)這兩類(lèi)操作系統(tǒng)主機(jī)重點(diǎn)進(jìn)行排查。

         2、Eskimoroll  

        工具及漏洞說(shuō)明：Eskimoroll是 Kerberos協(xié)議允許特權(quán)提升的Kerberos漏洞攻擊工具，可能影響Windows域控服務(wù)。詳細(xì)情況可參考微軟安全公告MS14-068（https://technet.microsoft.com/zh-cn/library/security/ms14-068.aspx）。

        受影響產(chǎn)品及版本：Windows 2000/2003/2008/2012。

        補(bǔ)丁下載地址：Windows安全更新程序 (KB3011780)，http://www.catalog.update.microsoft.com/Search.aspx?q=3011780

        應(yīng)對(duì)建議：針對(duì)Windows 2003/2008/2012，下載和升級(jí)系統(tǒng)補(bǔ)丁，并在防火墻中配置tcp 88端口的安全訪(fǎng)問(wèn)控制。針對(duì)不提供升級(jí)更新支持的Windows 2000，建議重點(diǎn)進(jìn)行排查。

        3、Explodingcan

        工具及漏洞說(shuō)明：Explodingcan是針對(duì)Windows 2003系統(tǒng) IIS6.0服務(wù)的遠(yuǎn)程攻擊工具，但需要目標(biāo)主機(jī)開(kāi)啟WEBDAV才能攻擊，不支持安全補(bǔ)丁更新。

        受影響產(chǎn)品及版本：Windows 2003 IIS6.0（開(kāi)啟WEBDAV）。

        應(yīng)對(duì)建議：微軟不再支持Windows 2003系統(tǒng)安全更新，建議關(guān)閉WEBDAV，使用WAF、IPS等安全防護(hù)，或者升級(jí)操作系統(tǒng)。

       （三）辦公軟件及郵件系統(tǒng)相關(guān)漏洞及攻擊工具（共4個(gè)）

       1、Easybee  

        工具及漏洞說(shuō)明：針對(duì)郵件系統(tǒng)MDaemon遠(yuǎn)程代碼執(zhí)行漏洞的利用工具。

        受影響產(chǎn)品及版本：受影響的MDaemon是美國(guó)Alt-N公司開(kāi)發(fā)的一款標(biāo)準(zhǔn)SMTP/POP/IMAP郵件系統(tǒng)。

        較舊的不受支持的版本（9.x–11.x）可能容易受到EasyBee攻擊。

        版本12.x和13.0可能容易受到EasyBee使用的漏洞利用影響。

        版本13.5和更新版本不容易受到攻擊。

        應(yīng)對(duì)建議：將所有舊的、不受支持的MDaemon版本升級(jí)到最新的、安全的版本。參考官方網(wǎng)站http://www./Support/進(jìn)行漏洞升級(jí)。

        2、Englishmansdentist 

        工具及漏洞說(shuō)明：針對(duì)Outlook Exchange郵件系統(tǒng)的漏洞利用程序，可攻擊開(kāi)放http 80或https 443端口提供web訪(fǎng)問(wèn)的Outlook Exchange郵件系統(tǒng)。

        受影響產(chǎn)品及版本：Outlook Exchange郵件系統(tǒng)早期版本Exchange 2003，Exchange 2007。

       應(yīng)對(duì)建議：升級(jí)到Exchange 2010及以上版本，安全備份郵件數(shù)據(jù)。

        3、Ewokfrenzy

        工具及漏洞說(shuō)明：針對(duì) Lotus Domino軟件IMAP服務(wù)的漏洞攻擊工具。

        受影響產(chǎn)品及版本：IBM Lotus Domino 6.5.4 to 7.0.2。

        應(yīng)對(duì)建議： 升級(jí)最新、安全的版本或使用其他替代產(chǎn)品，安全備份郵件數(shù)據(jù)。

        4、Emphasismine 

       工具及漏洞說(shuō)明：針對(duì) Lotus Domino軟件IMAP服務(wù)的漏洞攻擊工具。

        受影響產(chǎn)品及版本：Lotus Domino 6.5.4, 6.5.5, 7.0-8.5.2。

        應(yīng)對(duì)建議： 升級(jí)最新、安全的版本或使用其他替代產(chǎn)品，安全備份郵件數(shù)據(jù)。

二、其他應(yīng)急措施

        除了上述針對(duì)各類(lèi)利用漏洞的防護(hù)建議外，特別是針對(duì)Windows XP和Windows 2003等停止更新服務(wù)的系統(tǒng)，建議廣大用戶(hù)在網(wǎng)絡(luò)邊界、內(nèi)部網(wǎng)絡(luò)區(qū)域、主機(jī)資產(chǎn)、數(shù)據(jù)備份方面還要做好如下應(yīng)急措施工作，避免和降低網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)：

       （一）做好本單位Windows XP和Windows 2003主機(jī)的排查；

       （二）升級(jí)更新終端安全防護(hù)軟件，加強(qiáng)網(wǎng)絡(luò)和主機(jī)的安全防護(hù)。

       （三）做好信息系統(tǒng)業(yè)務(wù)和文件數(shù)據(jù)在不同存儲(chǔ)介質(zhì)上的安全可靠備份。

        CNCERT將持續(xù)對(duì)相關(guān)利用漏洞進(jìn)行相關(guān)檢測(cè)和攻擊監(jiān)測(cè)相關(guān)工作，并將繼續(xù)跟蹤事件后續(xù)情況。如需技術(shù)支援，請(qǐng)聯(lián)系CNCERT，電子郵箱cncert@cert.org.cn，聯(lián)系電話(huà)010-82990999。