腾讯电脑管家解读 Shadow Brokers泄密事件

2017-04-17 来源:未知 作者:腾讯电脑管家
【文章摘要】拨开美国国家安全局(NSA)泄密事件背后的疑云,还原一个真实的网络安全现状。
  一.引言
 
  随着NSA泄密事件持续发酵,腾讯电脑管家将近期关于美国国家安全局(NSA)和美国中央情报局(CIA)的泄密事件,进行了梳理和深度追踪。究竟是谁有如此强大的力量,入侵了美国信息安全国家队,窃取了上百G的绝密(Top Secret)文件。泄密的文件里,还有多少闻所未闻的惊天秘密。美国的网络监控能力究竟有多强,我们的日常生活是否被一股强大的力量所窥探。这篇文章将拨开NSA泄密事件背后的疑云,还原一个真实的网络安全现状。
 
  二.事件背景
 
  就在 23个小时之前,腾讯电脑管家关注到,因入侵过美国NSA而声名大噪的黑客组织Shadow Brokers,又公布了一系列重磅文件。经过深入分析,这一批泄密文件包含了多个可以直接使用的Windows 高危漏洞以及相应的利用程序,针对SWIFT银行交易系统的攻击计划和服务于NSA制作的恶意攻击软件的后台控制(C&C)程序。
 
  鉴于本次泄露的文件包含攻击程序,电脑管家已经第一时间,对该突发安全事件进行了预警,同时给出了对抗这一系列攻击的防御手段。详细情况请参考:
[1] “你可能遭远程监控”(https://weibo.com/1773148625/EEBlG98GQ)
[2] “关闭端口可免受远程监控”(https://weibo.com/1773148625/EECVzuAJ0)。
 
  随着深入的调查,腾讯电脑管家发现这不是一起独立的突发安全事件,它同近期多起美国NSA和CIA的泄密事件有着千丝万缕的联系。
 
  三.关键时间点
 
  本节将腾讯电脑管家分析的多起泄密事件进行并案分析,一个能够入侵NSA(美国国家安全局,一个专门负责入侵和监控敌对组织的安全机构)的黑客组织,将随着其深度追踪浮出水面。
 
序号 时间 事件
1 2016.08.17 Shadow Brokers 拍卖NSA的绝密数据文件,标价100万比特币
2 2017.03.07 CIA内部文件在维基解密上被公开
3 2017.04.08 Shadow Brokers 将之前标价100万比特币的数据文件免费公开
4 2017.04.14 Shadow Brokers 继续公布NSA的绝密数据,包含多个Window 高危漏洞

  1. 2016.08.17, Shadow Brokers 横空出世,在互联网黑市上公开拍卖从NSA窃取的数据文件,标价100万比特币。为了自证资料的可信程度,Shadow Brokers 公开了其中的一小部分,仅仅就是这冰山一角,将一个名为方程式(Equation Group)的恶意软件开发组织和NSA的关系曝光,揭开了NSA利用方程式组织开发恶意软件的神秘面纱。
 
  2. 2017.03.07, 美国中央情报局爆出”7号军火库事件”(Vault 7)。维基解密网站公布了大量据称是美国中央情报局(CIA)的内部文件,其中包括了CIA内部的组织资料,对电脑、手机等设备进行攻击的方法技术,以及进行网络攻击时使用的代码和真实样本。腾讯电脑管家对该事件,进行了跟踪报道,详细情况请访问:
[3]. “CIA大规模数据泄露揭秘”(https://slab.qq.com/news/tech/1551.html )
[4]. “中央情报局(CIA)间谍软件生产线的机密 ”( https://slab.qq.com/news/tech/1562.html )。其中一份泄露的文件” What did Equation do wrong, and how can we avoid doing the same”,坐实了NSA和方程式组织的关系。

 
  3. 2017.04.08, Shadow Brokers直接发表致美国总统的公开信 ”Don’t Forget Your Base”, 表达了该黑客组织的政治诉求,为了扩大影响力,Shadow Brokers在公开信的结尾,公布了去年标价100万比特币的数据文件的密码。其中新泄露出的文件,包含了多个平台的远程入侵工具,入侵日志,和入侵后清除日志工具。
 
  4. 2017.04.14, Shadow Brokers持续发力,继续公布了NSA的机密文件,包含多个已经验证的Windows 高危漏洞及利用工具,这就是本文事件背景中提到的相关安全事件。
 
  联系这四次美国国家队泄密事件,可以发现,Shadow Brokers的入侵能力已经完胜世界上最强大的国家。从公布的信息可以体会到,拥有国家队资源的NSA和CIA已经能够对互联网上的任意目标进行监控和入侵,然而Shadow Brokers能够从NSA眼皮底下,窃取数百G的绝密数据而不被发现,其入侵能力,已经无法用语言来描述。
 
  四.绝密的文件
 
  本次泄露出的绝密信息,数量庞大,电脑管家在短时间内,挖掘出了一批最为重要的文件进行了深入分析。其中不乏同我们生活息息相关的安全信息。
 
  整体上看,泄露的文件大部分是漏洞利用程序,攻击者拿到程序后,即使不了解攻击的原理,也可以突破系统的防线,造成远程代码执行等高危影响。下图是泄露出的绝密数据列表。


  接下来,以两个例子,展现此次泄露事件的严重后果。
 
  1. SWIFT银行交易系统
 
  办理过外汇业务的人都会听过SWIFT的名字,它是国际银行同业间的国际合作组织,负责国际上银行的金融往来业务。泄露的文件中,包含了攻击SWIFT系统的计划和证据,如下图所示。入侵SWIFT系统后,NSA就具备了监控和修改国际上银行金融业务的能力,监控的数据可以用来分析恐怖分子洗钱的网络,但是个人的外汇业务也会暴露在NSA的监控程序中。

 
  2. SMB服务高危漏洞
 
  电脑管家的安全研究人员,验证了泄露出的入侵工具EternalBlue, 能够成功利用Windows 上的SMB服务(445端口)漏洞,造成远程代码执行(RCE)。 此漏洞可以允许攻击者远程控制受害者的Windows系统,能够造成极其严重的危害。下图是攻击成功的截屏。
 

 
  本节分析的两份泄密文件,同每个人的生活都息息相关,腾讯电脑管家会持续跟进泄密文件的情况,做到负责任的追踪。
 
  五.总结
 
  在信息安全的世界中,入侵和防御是一个永恒的话题,NSA泄密事件为每个人都敲响了隐私保护的警钟,让每个人都真切的体会到,我们熟悉的互联网中,不只是有丰富的资讯,相反风险无处不在,恶意软件就在你我的身边。腾讯电脑管家,肩负着对抗恶意软件的重任,为您的信息安全保驾护航,永远是您身边最值得信赖的安全专家。

【关键词】NSA泄密  腾讯电脑管家  Shadow Brokers  漏洞利用程序

 

电脑管家 V16

全新上线 更轻更快