NSA军火级漏洞将持续被利用 360企业安全发布多种应对方案

本篇文章2571字，读完约6分钟

据媒体报道，全球爆发的永恒蓝色勒索蠕虫刚刚平息，外国安全专家发现了一种更强大的病毒，永恒岩石。这种比万能药更复杂的病毒利用了美国国家安全局泄露的七种利用工具。根据360威胁情报中心的监测，在中国的永恒之石已经有少量的感染，还没有大规模的爆发。

360威胁情报中心的安全专家表示，植入后门的永恒石头的潜在行为可能酝酿出更多邪恶的行为，这需要用户保持警惕。然而，政府和企业用户不必过于担心永恒岩石病毒。永恒之蓝的肆虐促使大多数用户更新他们的系统，微软的ms17-010补丁已经修复了永恒之石的所有漏洞。

据首次发现永恒之石病毒的克罗地亚网络安全专家、克罗地亚政府计算机应急准备小组成员米罗斯拉夫·斯塔姆帕尔(miroslav stampar)称，永恒之石利用了7个国家安全局武库中的部件，包括永恒蓝、永恒冠军、永恒浪漫、永恒协同、architouch、smbtouch和双脉冲星。

针对媒体和部分厂商对nsa系列武器级漏洞泄露的热情回应，360威胁情报中心的安全专家表示，360企业安全早在4月16日就公开发布了nsa系列武器级漏洞的应对计划，并及时推出了nsa武器库免疫工具，该工具可以一键检测并修复漏洞，关闭高风险服务，从而对nsa黑客武器进行全面免疫和防范。(国家安全局武器库免疫工具下载地址:dl . 360 safe/NSA/en tool . exe)

此外，360企业安全终端安全管理系统和未知威胁意识系统发布了有针对性的解决方案，以帮助政府和企业用户处理国家安全局系列泄漏武器级漏洞。

为防范和预警使用其他nsa武器的攻击，预计政府和企业用户将开展大规模的自我检查活动，360家企业已安全发布有效的特殊临时检查产品:天眼临时检查版-魔镜。

据报道，作为基于网络流量深入分析的高级威胁发现和取证的产物，Magic Mirror加入了美国国家安全局武器库针对永恒蓝色软件事件的特殊检查工具功能，主要包括:

w永恒蓝色特别调查；

美国国家安全局武器库特征情报流行为的比较；

主动扫描和被动检测查找丢失和潜在丢失的主机。

行业监管者可以通过特殊的临时检查，在被监管单位的网络中发现使用国家安全局武器库的攻击。

对于已经部署了360终端安全管理产品天庆的企业用户，可以通过以下功能对企业内的终端安全状况进行评估，以确保及时有效的应急措施。

首先，通过漏洞管理功能，评估与nsa武器库相关的windows漏洞的覆盖范围。

其次，通过日志报告的漏洞报告，检查企业终端是否能够立即下载并安装当月补丁，并评估网络资源是否能够支持补丁修复的及时性。

w .对于有大量终端被漏洞覆盖且无法立即修复漏洞的企业终端，建议借助企业管理系统离线手动修复。

360安全专家还建议:对于企业中运行核心业务的终端，如果企业不能接受补丁修复造成业务中断的风险，建议通过管控策略的网络保护功能来控制易受攻击的外部服务端口的访问，从而暂时遏制威胁。同时，尽快在企业内部推进补丁测试和在线流程的建设和实施。

附件:nsa系列武器级漏洞应对计划

影响微软产品的漏洞攻击工具(12)

1.永恒蓝色:smbv1漏洞攻击工具

影响平台:所有视窗平台

解决方案:系统更新ms17-010补丁，可以免疫；对于不在支持期内的系统，可以禁用smbv1(注册表或组策略的配置需要重新启动)。

2.emeraldthread: smbv1漏洞攻击工具

影响平台:xp，2003，vista，2008，windows7，2008 r2。

解决方案:更新系统ms10-061来弥补。

3.永恒冠军:smbv1漏洞攻击工具

影响平台:所有视窗平台

解决方案:系统更新ms17-010补丁，可以免疫；对于不在支持期内的系统，可以禁用smbv1(注册表或组策略的配置需要重新启动)。

4.勘误表:smb漏洞攻击工具

影响平台:xp和2003；vista之后的系统不受影响；

解决方案:windows vista已经修复；没有xp和2003补丁。

5.eskimoroll: kerberos漏洞攻击工具

影响平台:2000/2003/2008/2008/2012/2012年R2域控制服务器；

解决方案:系统更新ms14-068补丁进行修复。Windows 2000服务器易受攻击，没有补丁。

6.永恒浪漫:smbv1漏洞攻击工具

冲击平台:windows全平台；

解决方案:更新系统ms17-010补丁并修复它；对于不在支持期内的系统，可以禁用smbv1(注册表或组策略的配置需要重新启动)

7.educated schooler:SMB漏洞攻击工具

冲击平台:vista和2008，

解决方案:更新系统ms09-050补丁并修复它。

8.永恒协同:smbv3漏洞攻击工具

冲击平台:windows全平台；

解决方案:更新系统ms17-010补丁进行修复；对于不在支持期内的系统，建议禁用smbv1和v3(注册表或组策略的配置需要重新启动)

9.服务器netapi漏洞攻击工具；

影响平台:windows 2008全平台

解决方案:更新系统ms08-067补丁并修复它。

10.一个针对exchange服务器的远程攻击工具:

受影响的平台:受影响的版本未知；

解决方案:微软表示，仍在支持期内的exchangeserver不受影响，建议升级到支持的版本

11.esteemaudit:XP/2003的rdp远程攻击工具；

影响平台:xp/2003

应对计划:无补丁；对于不在支持期内的系统，建议关闭rdp禁用或严格限制源ip。

12.exploding can:2003年的远程攻击工具iis6.0

Webdav需要被服务器打开才能攻击。对于没有补丁和不再支持的系统，建议关闭webdav、使用waf或应用热补丁。

影响其他产品的漏洞工具

easy bee:mde mon邮件服务器系统。建议升级或停用它。

逍遥派:莲花音符；；建议升级或停用。

ewok狂热:lotus domino 6 . 5 . 4 ~ 7 . 0 . 2；；建议升级或停用。

强调:ibm lotus domino的imap漏洞；建议升级或停用。

ETRE: IMAIL 8.10 ~ 8.22远程利用工具；建议升级或停用。