Bilgisayar korsanları Windows'a saldırmanın sayısız yolunu açıkladılar, üzerimizde ne gibi etkileri olacak?
Yazar: Li Qin, Lei Feng ağ güvenliği köşe yazarı.
14 Nisan akşamı, bir siber güvenlik araştırmacısı olan Cosine, 23: 16'da bir arkadaş çevresi dağıttı:
Formula Organizasyonu Shadow Brokers tarafından bir sürü araç tarafından sızdırılmıştı ve kimsenin dikkatini çekmeyeli altı saat oldu.
Gece sessizce geçti. 15 Nisan (Cumartesi) sabahın erken saatlerinde Leifeng.com, siber güvenlik çemberinin kızmak üzere olduğunu keşfetti!
Bu konunun gerçekten büyük bir etkisi olduğu ortaya çıktı.
Mesele şu ki, "The ShadowBrokers", ABD istihbarat teşkilatı Ulusal Güvenlik Ajansı'na (NSA) bağlı olduğu iddia edilen bir siber saldırı örgütü olan Equation Group'a girdiklerini iddia eden gizemli bir organizasyon ve Saldırı araçlarının çoğunu indirdiler.
"ShadowBrokers" ve Denklem Grubu eski düşmanlar ve daha önce Denklem Grubunu hacklediler.
Geçen Cumartesi, "The ShadowBrokers", bu seçkin casus teşkilatının hackleme yöntemlerini derinlemesine ortaya koyan çok sayıda NSA belgesini sızdırdı ve esas olarak Sun OS ve Solaris'i hedef alan bir dizi güvenlik açığını açığa çıkardı.
Medium'daki uzun bir blog gönderisinde, "The ShadowBrokers" tüm şifrelenmiş klasörleri açabilen bir şifre paylaştı (daha önce kuruluş İnternette açık artırma yapmayı deniyordu). Örgüt, hareketin Trump yönetiminden bu hafta başlarında Suriye hava üssüne yapılan füze saldırısı da dahil olmak üzere göreve geldiğinden bu yana memnuniyetsizliği ifade etmek olduğunu söyledi.
Beklenmedik bir şekilde, 14 Nisan'da (bu hafta Cuma), dünyanın Windows sunucularının% 70'ini kapsayan birden fazla Windows uzaktan yararlanma aracını içeren gizli bir belgeyi sızdırdı.
"Monster @ " bir makale yazdı:
"Hemen hemen tüm Windows sunucuları bir gecede tehlikeye maruz kalıyor. Herkes onları doğrudan indirip uzaktan kullanabilir. Birçok yerel üniversitenin, hükümetin, devlete ait işletmenin ve hatta bazı İnternet şirketlerinin hala Windows sunucuları kullandığı düşünüldüğünde, bu sefer Olayın etkisine büyük bir İnternet depremi denebilir.
Şu anda bilinen etkilenen Windows sürümleri aşağıdakileri içerir, ancak bunlarla sınırlı değildir: Windows NT, Windows 2000 (evet, antika da destekler), Windows XP, Windows 2003, Windows Vista, Windows 7, Windows 8, Windows 2008, Windows 2008 R2, Windows Sunucu 2012 SP0. "
Muhtemelen yukarıdaki bilgileri gördüğünüzde çoktan utanmıştınız, bu nedenle olayı sizin için analiz etmesi için 360 günlük güvenlik laboratuvarı güvenlik uzmanı Wang Liejun ile özel olarak görüştük.
[14 Nisan akşamı, "Shadow Brokers" sonunda yardım edemedi ve Twitter'da tuttukları bazı dosyaları yayınladı. Açma şifresi "Reeeeeeeeeeeeeee" idi. Kaynak: bleepingcomputer]
Lei Feng.com: Neden üniversiteler, hükümetler, devlete ait şirketler ve hatta bazı İnternet şirketleri hala Windows sunucularını kullanıyor? Windows sunucuları için bir ücret değil mi? Neden ücretsiz bir Linux sunucusu kullanmıyorsunuz?
Wang Liejun: Suçlandığını kim söyledi? Bazı kuruluşlar korsan Windows sunucularını kullanır. Özellikle, Windows 2003 sunucusu bu sefer en çok etkilenen sunucudur.Microsoft'un ilgili anlaşmalarından, Microsoft'un temelde Windows 2003'e hizmet sağlamayı durdurduğu öğrenilebilir. Diğer bir deyişle, bu sefer ortaya çıkan güvenlik açıkları ve yararlanma araçları, Microsoft bir yama yayınlamazsa, Windows 2003 gibi eski sunucular üzerinde büyük bir etkisi olacaktır. Ancak, yayımlanan bireysel araçlar Windows 10'a saldırabilir.
Lei Feng.com: Bu kadar çok Windows sunucu güvenlik açığının yayınlanmasının kişisel bilgisayar kullanıcılarıyla ne ilgisi var? Ana etki kimdir?
Wang Liejun: Bireysel kullanıcılar üzerindeki etkinin bir parçası olan ana etki, sunucuya ve güvenlik yöneticilerine sahip olan organizasyondur. Örneğin, bireysel bir kullanıcının bilgisayarı sunucu için belirli bağlantı noktalarını açarsa, bu da etkilenecektir.Ayrıca, XP ve Win7'nin 445 bağlantı noktası varsayılan olarak açıktır ve erişilebilirdir ve bireysel kullanıcıların zamanında düzeltme eki yapması gerekir. Aynısı Win10 için de geçerlidir.Sunucu hizmetini kapatmak veya güvenlik duvarını yapılandırmak gerekir.Yukarıdaki işlemler mümkün değilse, zamanında yama yapın.
Aynı zamanda, intranet'in bireysel kullanıcıları üzerinde de büyük bir etkisi olacaktır.
Windows sunucularını kullanan ilgili kuruluşlar için, ağ güvenliği bakım personeli şunlara dikkat etmelidir:
137, 139 ve 445 numaralı bağlantı noktalarını kapatmak için; 3389 uzaktan oturum açma için, istemiyorsanız veya kapatamıyorsanız, en azından akıllı kart oturum açma işlevi kapatılmalı ve İnternet'teki hiç kimse tarafından kullanılamayan erişim filtrelemenin ayarlanması gerekir; Güvenlik yöneticileri, etkilenen bağlantı noktalarını yasaklamalıdır; güvenlik personeli, güvenliğinin ihlal edilip edilmediğini görmek için kendi Windows sunucularını hızlı bir şekilde araştırmalıdır.
En önemlisi, bu sefer piyasaya sürülen şey, Windows sunucuları için tek bir istismar aracı değil, çok eksiksiz bir istismar çerçevesi ve sistematik bir istismar aracı paketidir.Kullanıcılar için teknik gereksinimlerin karşılaştırıldığını söylemek abartı olmaz. Düşük, neredeyse herkes bir saldırı başlatmak için bu aracı indirebilir ve saldırıya uğrayan Windows sunucusu neredeyse saldırganın "aracı" haline gelmiştir. Yukarıda saklanan bilgiler, sunucunun taşıdığı çeşitli işlevsel izinler ve bilgi işlem yetenekleri saldırgan tarafından elde edilebilir.
Korkunç olan şey, bunun Cuma günü serbest bırakılan bir boşluk olduğunu görebiliyorsunuz.Yasadışı işçiler hafta sonları ara vermeyecekler, ancak birçok güvenlik şirketi hafta sonları kapalı. On altı veya yedi saat geçti. Kendi sunucuları mı? Kullanılıp kullanılmadığını söylemek zor. Bununla birlikte, dikkat edilmesi gereken bir şey, bankacılık sistemindeki mevduat bilgilerinin sızdırılıp sızdırılmayacağı sorusu için öğrendiğim şey, bunun Windows sunucusunda böyle bir veri tabanı olup olmadığına bağlı olduğudur.Bu önemli veriler genellikle Unix sistemlerinde veya IBM'in mini bilgisayarında.
Buna ek olarak, 360'ta durumsal farkındalık uzmanı olan Zhang Chongbin, Lei Feng.com'a bankaların çekirdek sisteminin genellikle Windows kullanmadığını, ancak ofis sisteminin Windows kullandığını söyledi.
Leifeng.com ayrıca "The ShadowBrokers" tarafından paylaşılan dosyaların, şok edici hack araçları içeren "Windows", "Swift" ve "OddJob" adlı üç dizine sahip olduğunu öğrendi.
Bunlar arasında Wang Liejun'u daha ilginç kılan araçlar şunlardır: RDP hizmeti için bir uzaktan istismar aracı olan ve 3389 açık bağlantı noktasına sahip Windows makinelerine saldırabilen ESSTEEMAUDIT; ERRATICGOPHER, ETERNALBLUE, ETERNALSYNERGY, ETERNALCHAMPION, EDUCATEDSCHOLAR, EMERALDTHREAD vb. , 445 numaralı açık bağlantı noktasına sahip Windows makinelerine saldırabilir, ancak SMB güvenlik açıklarıyla ilgili olarak üreticiler Mart ayında ilgili yamaları zaten yayınladılar.
Wang Liejun, bu araçlardan "daha önce çevrede efsanevi olan, ancak var olmasını beklemeyen araçlar" olarak bahsetti. Kendisi dahil bazı güvenlik çevreleri, sızdırılan saldırı programının sunucu sistemi için en eksiksiz olduğuna inanıyor. En etkili sızıntı ve hatta 4 veya 5 sıfır gün güvenlik açığı (zaten yayınlanmış yamalar var) yayınlandı. Ayrıca, Windows sunucularının, özellikle Windows sunucularının birçok eski sürümünün hala çalışmakta olduğu Çin için zor bir alan olduğuna dikkat çekti.
"Swift", bankanın Swift sistemine saldıran bazı faaliyet izlerini içeriyor ve "OddJob", antivirüs yazılımı tarafından tespit edilemeyen bir rootkit istismar aracıdır.Wang Liejun'a göre, bu, bir Windows sunucusuna girdikten sonra kurulan bir arka kapıdır. "Gizlenen" araçlar.
Leifeng.com ayrıca 360 kurumsal güvenlik uzmanı Jiang Aijun'dan Windows sunucularını kullanan kullanıcılara bir öneri aldı:
1. Çözümler geliştirmek için en kısa sürede güvenlik hizmeti satıcılarıyla iletişime geçin;
2. Gereksiz savunmasız bileşenleri durdurun;
3. Açılması gereken güvenlik açığı bulunan sistem bileşenleri için: a) Microsoft, sistemi güncellemeyi durdurdu, savunmasız olmayan bir sistem sürümüne yükseltmeniz önerilir, b) Microsoft hala Microsoft'un yamasını bekleyerek sistemi destekliyor.
Şu anda, Windows 2003 üzerindeki işletim sistemlerine uygulanan en son yamalar bu saldırı araçları dalgasından etkilenmemektedir.Kullanıcıların en son yamaları (MS17-010) uygulamaları önerilir.
Son teslim tarihinden önce Leifeng.com, Microsoft SRC'nin bir risk değerlendirme duyurusu yayınladığını tespit etti Duyuru, "The ShadowBrokers" tarafından yayınlanan bazı güvenlik açıklarının yamalandığını belirtti.
Microsoft'un önerdiği önlemlerin ekran görüntüleri aşağıdaki gibidir:
Microsoft duyuru bağlantısı: https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/
NSFOCUS uzmanı Xu Te, Leifeng.com'a bir hatırlatma mesajı gönderdi: Ms17-010 ile yamalanan üç smb güvenlik açığı hala daha fazla dikkat gerektiriyor Bu yama yalnızca geçen ay yayınlandı ve çok sayıda sunucunun güncellenmediği tahmin ediliyor.
NSA'nın teknik yeteneklerinin gerçekten güçlü olduğuna üzüldüğümüzde, ağ güvenliği sağlayıcılarının bu hafta sonu fazla mesai yapacakları kesin bir gerçektir!
Yazar: Li Qin, Lei Feng ağ güvenliği köşe yazarı.
