北京时间5月12日，全球互联网遭受Wannacry勒索软件蠕虫感染≤‰。截止17日16时，CNCERT监测发现全球近356.3万∟℅个IP地址遭受“永恒之蓝”SMB漏洞攻击，其中位于我国境内≧≥的IP地址数量接近12.5万<√个，对我国互联网造成严重∑㏑的安全威胁∏∮。综合CNCERT和国内网络安全企业已获∈≤知∟﹤的样本情况和分析结果，该勒索软件蠕虫在传播时基于445端口并利用SMB漏洞（对应微软漏洞公告﹢≡：MS17-010），可以判断是由于“影子经纪人”（Shadow Brokers）组织此前公开披露漏洞攻击工具而导致=∑的后续勒索软件蠕虫攻击≌≧。

         2017年4月14日晚，“影子经纪人”组织在互联网上发布“方程式”（Equation Group）组织∵≡的部分工具文件，包含针对Windows操作系统以及其他办公﹥≠、邮件软件≦√的多≠>个高危漏洞攻击工具，这些工具集成化程度高<∩、部分攻击利用方式较为高效∑≠。针对可能引发∮∠的互联网上针对Window操作系统主机或应用软件≧∪的大规模攻击，4月16日，CNCERT主办国家信息安全漏洞共享平台（CNVD）发布《关于加强防范Windows操作系统和相关软件漏洞攻击风险≒∩的情况公告》（访问链接﹤‰：http://www.cnvd.org.cn/webinfo/show/4110）≠⊙。时隔不到一∞﹣个月，Wannacry勒索软件蠕虫大范围感染事件也印证了当时推测⊿≡的严重危害≡﹥。

         针对“影子经纪人”发布=∷的黑客使用≦∽的大量针对Windows操作系统以及其他广泛应用㏑∵的软件产品≦%的工程化工具及其对应∶∧的利用安全漏洞，CNCERT进行了详细梳理，并提供相应处置建议，提醒广大互联网用户及时做好应急处置，避免被恶意攻击或利用∠﹥。

         一∧﹢、“影子经纪人”组织披露⊙√的系列漏洞描述

       （一）Windows操作系统SMB协议相关漏洞及攻击工具（共8>㏒个）

       1<≥、ETERNALBLUE（“永恒之蓝”）

        工具及漏洞说明≦±：ETERNALBLUE是针对Windows系统SMB协议∏℅的漏洞利用程序，可以攻击开放445 端口㏑∶的大部分Windows主机∫∮。对应漏洞﹢㏒的相关信息可参考Microsoft安全公告MS17-010（https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx）≈﹤。

        受影响软件及版本π∫：Windows XP至Windows 2012⊥。

        补丁文件下载地址≡⊥：Windows安全更新程序 (KB4012598)，http://www.catalog.update.microsoft.com/search.aspx?q=4012598

        2㏒∶、Educatedscholar 

        工具及漏洞说明√∫：Educatedscholar是针对Windows系统SMB 协议≌%的漏洞利用程序，可以攻击开放445 端口∥≧的特定版本Windows 主机﹣∵。对应漏洞∞=的相关信息可参考微软安全公告MS09-050（https://technet.microsoft.com/library/security/ms09-050）=≡。

        受影响软件及版本π∴：Windows Vista∷‰、Windows Vista SP1 和 Windows Vista SP2；Windows Server 2008﹤⊿、Windows Server 2008 SP2∥≒。

        补丁文件下载地址∏∵：Windows安全更新程序 (KB975517)，http://www.catalog.update.microsoft.com/Search.aspx?q=975517

        3≮≧、Eternalsynergy

        工具及漏洞说明≒%：Eternalsynergy是针对Windows系统SMBv3协议≯≧的远程代码执行漏洞攻击工具，可以攻击开放445 端口≠√的特定版本Windows 主机㏑≮。对应漏洞>=的相关信息可参考Microsoft 安全公告 MS17-010（https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx）≦∞。

        受影响产品及版本∟∮：Windows 8和Windows Server 2012≧×。

        补丁文件下载地址∏㏑：Windows安全更新程序 (KB4012598)，http://www.catalog.update.microsoft.com/search.aspx?q=4012598

        4≠≯、Emeraldthread 

        工具及漏洞说明<∷：Emeraldthread是针对Windows系统SMBv1协议允许远程执行代码≥≦的漏洞攻击工具≡⌒。对应漏洞∽∞的相关信息可参考Microsoft 安全公告 MS10-061（https://technet.microsoft.com/zh-cn/library/security/ms10-061.aspx）≠∟。

        受影响产品及版本≠≡：可能影响Windows XP±≡、2003≥≧、Vista⊙≡、2008±≦、Windows7℅≤、2008 R2≒≤。 

        补丁下载地址≌=：Windows安全更新程序 (KB2347290)， http://www.catalog.update.microsoft.com/Search.aspx?q=2347290

        5=∮、Erraticgopher 

        工具及漏洞说明∧∪：Erraticgopher是针对Windows系统SMBv1协议∩⌒的漏洞攻击工具， Windows Vista发布√⊙的时候已经修复该漏洞，但之前⌒=的版本可能受影响∴∫。

        受影响产品及版本×∥：Windows XP和Windows Server 2003≠⊥。

        6≈÷、Eternalromance 

        工具及漏洞说明≧⊙：Eternalromance是针对Windows系统SMBv1协议∫∽的漏洞攻击工具，可能影响大部分Windows版本‰∨。对应漏洞≯≤的相关信息可参考Microsoft 安全公告 MS17-010（https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx）∠⊙。

        受影响产品及版本%=：Windows XP/Vista/7/2003/2008㏑∧。

        补丁文件下载地址∪﹢：Windows安全更新程序 (KB4012598)，http://www.catalog.update.microsoft.com/search.aspx?q=4012598

        7∴℅、Eclipsedwing 

        工具及漏洞说明‰>：Eclipsedwing是针对Windows系统SMB/NBT协议中可能允许远程执行代码∩∨的漏洞利用工具，对应漏洞㏑∟的相关信息见Microsoft 安全公告 MS08-067（https://technet.microsoft.com/library/security/ms08-067）∶≈。

        受影响产品及版本≈⊿：Windows XP/2003/2008℅<。

        补丁下载地址⊙∫：Windows安全更新程序 (KB958644)，http://www.catalog.update.microsoft.com/Search.aspx?q=958644

        8≡∴、EternalChampion

        工具及漏洞说明≧≮：EternalChampion是针对Windows系统SMBv1协议‰㏒的漏洞攻击工具，可能影响大部分Windows版本∝⊿。对应漏洞≡≦的相关信息可参考Microsoft 安全公告 MS17-010（https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx）∫∝。

        受影响产品及版本℅√：全平台Windows‰∫。

        补丁文件下载地址π﹥：Windows安全更新程序 (KB4012598)，http://www.catalog.update.microsoft.com/search.aspx?q=4012598

        针对上述SMB等协议相关漏洞及攻击工具﹣∮的相关建议如下≠∞：

      （1）及时更新和安装Windows已发布∴⊿的安全补丁；

      （2）关闭135±‰、137≮﹣、139∫≧、445等端口≤㏑的外部网络访问权限，在主机上关闭不必要%÷的上述服务端口；

      （3）加强对135⊿⊥、137∈π、139≡≠、445等端口≠∈的内部网络区域访问审计，及时发现非授权行为或潜在=﹥的攻击行为；

      （4）由于微软对部分操作系统停止对Window XP和Windows server 2003%≧的安全更新，建议对这两类操作系统主机重点进行排查∞∽。针对上述漏洞，Window XP和Windows Server 2003用户以及其他无法直接使用Windows自动更新功能≠∴的用户可根据Windows系统和版本自行从微软官网（见上述各⌒∏个漏洞工具描述中提供≥的补丁下载地址链接）下载补丁文件并安装﹣‰。

      （二）Windows系统RDP≧∝、IIS∮=、Kerberos协议相关漏洞及攻击工具（共3∝∫个）

        1﹣≥、Esteemaudit 

       工具及漏洞说明=≡：ESTEEMAUDIT是一∪⊥个针对3389端口∩≡的远程溢出程序，它利用Windows 远程桌面访问RDP协议缺陷实施攻击≥㏑。

       受影响产品及版本∏≒：目前已⌒×知可能受影响≡∟的操作系统是Windows XP和Windows Server 2003≒⌒。

        应对建议∑±：由于微软公司已经停止对Windows XP和Windows Server 2003∑的安全更新，使用这两种版本操作系统并且开放RDP3389端口服务∏>的计算机用户需要尽快开展处置措施±≒。

      （1）如不需要远程访问,建议关闭远程协助功能和远程桌面访问，开启网络防火墙⊥、Windows防火墙拦截RDP默认端口=⊿的访问；

      （2）如果业务需要开启远程访问，建议配置网络防火墙或Windows防火墙只允许信任‰∈的白名单IP地址≤⊿的访问，或者将RDP服务端口3389配置（映射）为其他非常用端口；

      （3）由于微软对部分操作系统停止对Window XP和Windows server 2003∫≠的安全更新，建议对这两类操作系统主机重点进行排查≠∷。

         2∧∝、Eskimoroll  

        工具及漏洞说明﹤=：Eskimoroll是 Kerberos协议允许特权提升≤=的Kerberos漏洞攻击工具，可能影响Windows域控服务<≧。详细情况可参考微软安全公告MS14-068（https://technet.microsoft.com/zh-cn/library/security/ms14-068.aspx）∷﹢。

        受影响产品及版本×⊙：Windows 2000/2003/2008/2012℅≒。

        补丁下载地址⊥≦：Windows安全更新程序 (KB3011780)，http://www.catalog.update.microsoft.com/Search.aspx?q=3011780

        应对建议∴∶：针对Windows 2003/2008/2012，下载和升级系统补丁，并在防火墙中配置tcp 88端口﹣≧的安全访问控制∈√。针对不提供升级更新支持≡⌒的Windows 2000，建议重点进行排查/√。

        3∽%、Explodingcan

        工具及漏洞说明∶≤：Explodingcan是针对Windows 2003系统 IIS6.0服务‰⊙的远程攻击工具，但需要目标主机开启WEBDAV才能攻击，不支持安全补丁更新≈㏒。

        受影响产品及版本=≤：Windows 2003 IIS6.0（开启WEBDAV）∝≧。

        应对建议=≠：微软不再支持Windows 2003系统安全更新，建议关闭WEBDAV，使用WAF≧∑、IPS等安全防护，或者升级操作系统%∩。

       （三）办公软件及邮件系统相关漏洞及攻击工具（共4﹣≤个）

       1∴∟、Easybee  

        工具及漏洞说明∫×：针对邮件系统MDaemon远程代码执行漏洞≥∶的利用工具≡>。

        受影响产品及版本≒∮：受影响∫≯的MDaemon是美国Alt-N公司开发∮≥的一款标准SMTP/POP/IMAP邮件系统≤﹤。

        较旧≈≯的不受支持≠∵的版本（9.x–11.x）可能容易受到EasyBee攻击≯>。

        版本12.x和13.0可能容易受到EasyBee使用﹤∩的漏洞利用影响≤∫。

        版本13.5和更新版本不容易受到攻击∈≡。

        应对建议∮∟：将所有旧≦∫的∫、不受支持÷﹢的MDaemon版本升级到最新﹣∫的∏、安全﹥∨的版本㏒∫。参考官方网站http://www.altn.com/Support/进行漏洞升级∨﹤。

        2∮=、Englishmansdentist 

        工具及漏洞说明∫≥：针对Outlook Exchange邮件系统﹣∩的漏洞利用程序，可攻击开放http 80或https 443端口提供web访问⊥√的Outlook Exchange邮件系统%∷。

        受影响产品及版本=∩：Outlook Exchange邮件系统早期版本Exchange 2003，Exchange 2007≤∏。

       应对建议∴∏：升级到Exchange 2010及以上版本，安全备份邮件数据≮⊿。

        3﹥≌、Ewokfrenzy

        工具及漏洞说明∮⊙：针对 Lotus Domino软件IMAP服务∑㏒的漏洞攻击工具≒∩。

        受影响产品及版本⊥﹤：IBM Lotus Domino 6.5.4 to 7.0.2≌√。

        应对建议±∞： 升级最新≥∟、安全∠≤的版本或使用其他替代产品，安全备份邮件数据≤∠。

        4㏒⊥、Emphasismine 

       工具及漏洞说明=∪：针对 Lotus Domino软件IMAP服务≧≠的漏洞攻击工具≌∷。

        受影响产品及版本∴=：Lotus Domino 6.5.4, 6.5.5, 7.0-8.5.2≡∩。

        应对建议≡∠： 升级最新∽∶、安全∑的版本或使用其他替代产品，安全备份邮件数据≡∧。

        二∷∨、其他应急措施

        除了上述针对各类利用漏洞%﹣的防护建议外，特别是针对Windows XP和Windows 2003等停止更新服务≥∪的系统，建议广大用户在网络边界≌±、内部网络区域≤∞、主机资产∫∥、数据备份方面还要做好如下应急措施工作，避免和降低网络攻击风险﹢⊿：

       （一）做好本单位Windows XP和Windows 2003主机∑≠的排查；

       （二）升级更新终端安全防护软件，加强网络和主机⊥≠的安全防护≈⊿。

       （三）做好信息系统业务和文件数据在不同存储介质上∫∨的安全可靠备份≦≧。