管家首页下载管家
忘了密码?

扫一扫,访问微社区

腾讯电脑管家论坛

搜索
电脑管家论坛勋章申请贴茶馆版区活动申请专用贴管家论坛活动汇总管家论坛精华帖申请管家论坛策划组成立啦!
查看: 768|回复: 1

[安全报告] 腾讯电脑管家解读 Shadow Brokers泄密事件

[复制链接]
Sukey        

114

主题

2

好友

4052

积分

总版主

Rank: 8Rank: 8

帖子
4814
彩盾
15053

突出贡献 论坛元老 至尊荣耀 我是你的眼公益达人 活跃管饭 美女勋章 安全达人 光棍勋章 快乐管家

发表于 2017-4-18 16:34 |显示全部楼层


一.引言

  随着NSA泄密事件持续发酵,腾讯电脑管家将近期关于美国国家安全局(NSA)和美国中央情报局(CIA)的泄密事件,进行了梳理和深度追踪。究竟是谁有如此强大的力量,入侵了美国信息安全国家队,窃取了上百G的绝密(Top Secret)文件。泄密的文件里,还有多少闻所未闻的惊天秘密。美国的网络监控能力究竟有多强,我们的日常生活是否被一股强大的力量所窥探。这篇文章将拨开NSA泄密事件背后的疑云,还原一个真实的网络安全现状。

二.事件背景

  就在 23个小时之前,腾讯电脑管家关注到,因入侵过美国NSA而声名大噪的黑客组织Shadow Brokers,又公布了一系列重磅文件。经过深入分析,这一批泄密文件包含了多个可以直接使用的Windows 高危漏洞以及相应的利用程序,针对SWIFT银行交易系统的攻击计划和服务于NSA制作的恶意攻击软件的后台控制(C&C)程序。

  鉴于本次泄露的文件包含攻击程序,电脑管家已经第一时间,对该突发安全事件进行了预警,同时给出了对抗这一系列攻击的防御手段。详细情况请参考:
[1] “你可能遭远程监控”(http://weibo.com/1773148625/EEBlG98GQ
[2] “关闭端口可免受远程监控”(http://weibo.com/1773148625/EECVzuAJ0)。


  随着深入的调查,腾讯电脑管家发现这不是一起独立的突发安全事件,它同近期多起美国NSA和CIA的泄密事件有着千丝万缕的联系。

三.关键时间点

  本节将腾讯电脑管家分析的多起泄密事件进行并案分析,一个能够入侵NSA(美国国家安全局,一个专门负责入侵和监控敌对组织的安全机构)的黑客组织,将随着其深度追踪浮出水面。

1.jpg



1. 2016.08.17, Shadow Brokers 横空出世,在互联网黑市上公开拍卖从NSA窃取的数据文件,标价100万比特币。为了自证资料的可信程度,Shadow Brokers 公开了其中的一小部分,仅仅就是这冰山一角,将一个名为方程式(Equation Group)的恶意软件开发组织和NSA的关系曝光,揭开了NSA利用方程式组织开发恶意软件的神秘面纱。

2. 2017.03.07, 美国中央情报局爆出”7号军火库事件”(Vault 7)。维基解密网站公布了大量据称是美国中央情报局(CIA)的内部文件,其中包括了CIA内部的组织资料,对电脑、手机等设备进行攻击的方法技术,以及进行网络攻击时使用的代码和真实样本。腾讯电脑管家对该事件,进行了跟踪报道,详细情况请访问:
[3]. “CIA大规模数据泄露揭秘”(http://slab.qq.com/news/tech/1551.html )
[4]. “中央情报局(CIA)间谍软件生产线的机密 ”( http://slab.qq.com/news/tech/1562.html )。其中一份泄露的文件” What did Equation do wrong, and how can we avoid doing the same”,坐实了NSA和方程式组织的关系。

3. 2017.04.08, Shadow Brokers直接发表致美国总统的公开信 ”Don’t Forget Your Base”, 表达了该黑客组织的政治诉求,为了扩大影响力,Shadow Brokers在公开信的结尾,公布了去年标价100万比特币的数据文件的密码。其中新泄露出的文件,包含了多个平台的远程入侵工具,入侵日志,和入侵后清除日志工具。

4. 2017.04.14, Shadow Brokers持续发力,继续公布了NSA的机密文件,包含多个已经验证的Windows 高危漏洞及利用工具,这就是本文事件背景中提到的相关安全事件。

  联系这四次美国国家队泄密事件,可以发现,Shadow Brokers的入侵能力已经完胜世界上最强大的国家。从公布的信息可以体会到,拥有国家队资源的NSA和CIA已经能够对互联网上的任意目标进行监控和入侵,然而Shadow Brokers能够从NSA眼皮底下,窃取数百G的绝密数据而不被发现,其入侵能力,已经无法用语言来描述。

四.绝密的文件

  本次泄露出的绝密信息,数量庞大,电脑管家在短时间内,挖掘出了一批最为重要的文件进行了深入分析。其中不乏同我们生活息息相关的安全信息。

  整体上看,泄露的文件大部分是漏洞利用程序,攻击者拿到程序后,即使不了解攻击的原理,也可以突破系统的防线,造成远程代码执行等高危影响。下图是泄露出的绝密数据列表。



2.png



  接下来,以两个例子,展现此次泄露事件的严重后果。

1. SWIFT银行交易系统

  办理过外汇业务的人都会听过SWIFT的名字,它是国际银行同业间的国际合作组织,负责国际上银行的金融往来业务。泄露的文件中,包含了攻击SWIFT系统的计划和证据,如下图所示。入侵SWIFT系统后,NSA就具备了监控和修改国际上银行金融业务的能力,监控的数据可以用来分析恐怖分子洗钱的网络,但是个人的外汇业务也会暴露在NSA的监控程序中。


4.png



2. SMB服务高危漏洞

  电脑管家的安全研究人员,验证了泄露出的入侵工具EternalBlue, 能够成功利用Windows 上的SMB服务(445端口)漏洞,造成远程代码执行(RCE)。 此漏洞可以允许攻击者远程控制受害者的Windows系统,能够造成极其严重的危害。下图是攻击成功的截屏。


5.png



  本节分析的两份泄密文件,同每个人的生活都息息相关,腾讯电脑管家会持续跟进泄密文件的情况,做到负责任的追踪。

五.总结

  在信息安全的世界中,入侵和防御是一个永恒的话题,NSA泄密事件为每个人都敲响了隐私保护的警钟,让每个人都真切的体会到,我们熟悉的互联网中,不只是有丰富的资讯,相反风险无处不在,恶意软件就在你我的身边。腾讯电脑管家,肩负着对抗恶意软件的重任,为您的信息安全保驾护航,永远是您身边最值得信赖的安全专家。






3.png
欢迎前往腾讯电脑管家官网:https://guanjia.qq.com/main.html  了解管家最新动态

0

主题

0

好友

3

积分

[LV.1] PCMgr Alpha

Rank: 1

帖子
4
彩盾
6
发表于 2017-4-27 22:05 |显示全部楼层
把高危的病毒消灭在生产的路上,太给力了
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册
您需要登录后才可以发帖 QQ登录

手机版|Archiver|Tencent Inc   

GMT+8, 2017-6-28 11:51 , Processed in 0.605449 second(s), 13 queries , Memcache On.

Powered by Discuz! X2.5

© 2001-2012 Comsenz Inc.

回顶部