ImmunityCanvas“军用级”武器库泄露,大大降低了攻击门槛。企业应及早未雨绸缪。包含959个漏洞利用工具(已去重)。值得注意的是,2018年公开的英特尔“Spectre”漏洞的利用工具也在泄露的武器库中。什么是免疫画布?CANVAS是Immunity开发的专业安全工具包。它为世界各地的渗透测试人员和安全专家提供了数百个漏洞。它是一个自动化漏洞利用系统和一个全面可靠的漏洞利用开发框架。不择手段的黑客可能会在未经用户许可的情况下使用泄露的工具包来检测和渗透感兴趣的目标。这一事件引起了安防行业的广泛关注。该工具包每年售价数万美元:事实上,研究人员表示,至少从2020年12月开始,CANVAS7.26的破解版就已经泄露并在网上交易。坏消息:攻击门槛降低了。ImmunityCanvas工具包具有集成化、自动化、简单化的特点,大大降低了攻击门槛。本次泄露的内容包含该工具的源代码,更多专业的黑客会根据个人喜好添加新的武器和功能。集成:针对Windows、Linux、MACOS操作系统,有数百种涉及扫描、检测、入侵的工具;自动化:攻击流程自动化,傻瓜式攻击操作,有一定基础的安全爱好者,点击鼠标即可完成一次攻击。腾讯安全团队对泄露的工具包进行了简单分析,判断为功能齐全的红队工具包。此次泄漏包括该工具的源代码,可以直接安装在windows和linux上。根据Changelog.txt文件可以看出目前泄露的ImmunityCANVAS7.26很可能是2020年9月的版本:、Proxy、Rootkit等:下图是使用ImmunityCANVAS控制台利用永恒之蓝漏洞进行攻击:好消息:泄露的工具包比较老,目前还没有发现0day。但是,我们将工具包中的CVE进行整理,发现老漏洞较多,新漏洞相对较少。从标记为CVE的漏洞插件来看,2019年和2020年的漏洞占比均<5%。暂时没有在泄露的武器库中发现0day漏洞。工具包中包含的大部分漏洞利用脚本已经公开:漏洞披露时间与工具集成时间对比:几款重量级攻击武器尽管如此,工具包中仍有几款重量级高危漏洞攻击组件需要关注(虽然这些漏洞已经修复并发布了补丁,但仍然有很多公司内部没有更新组件和补丁)。(1)spectre_file_leak(CVE-2017-5753):2018年轰动一时的两个CPU漏洞之一“Spectre”,熔断。利用幽灵(Spectre)漏洞,当用户通过浏览器访问含有恶意漏洞的网站时,其账号、密码、邮箱等个人隐私信息可能会被泄露。该漏洞源于CPU制造商为提高CPU性能而引入的新功能。无论是台式机、笔记本电脑、云服务器、智能手机等硬件产品,还是Windows、Linux、MacOS、IOS、Android等操作系统,都受到这两者的影响CPU漏洞。参考链接:https://s.tencent.com/research/bsafe/360.html(二)SMBGHOST(CVE-2020-0796):曾引起轰动的SMBGhost漏洞,攻击者可以在未经许可的情况下利用该漏洞实现远程代码执行,被黑客攻击的目标系统只要开机在线即可入侵。该漏洞造成的后果与《永恒之蓝》系列非常相似,都是利用WindowsSMB漏洞远程攻击获取系统最高权限。大量恶意软件利用该漏洞进行传播。参考链接:https://s.tencent.com/research/bsafe/908.html(3)BLUEKEEP(CVE-2019-0708):Windows远程桌面服务漏洞,一旦攻击者成功触发该漏洞,目标可以任意在系统上执行代码,触发漏洞不需要任何用户交互。该漏洞是网络黑客使用最广泛的攻击工具之一。参考链接:https://s.tencent.com/research/bsafe/720.html“军用级”黑产武器多次泄露,影响深远ImmunityCanvas攻击武器库源码军用级武器库被曝光已经不是第一次,也不会是最后一次。类似事件包括:2015年7月,意大利安全公司HackingTeam被黑客入侵,泄露了超过400GB的数据,包括该公司的黑客工具包和公司的业务文档,泄露的攻击软件包含一些高危0day漏洞。该公司因与政府甚至极端组织交易网络攻击工具包以监视受害者而受到抨击。2016年,ShadowBrokers黑客组织入侵FormulaHackingGroup,窃取该组织使用的大量网络攻击工具包并公开。泄露的永恒之蓝系列工具后来造成了巨大的影响,无数的勒索软件团伙、挖矿木马团伙利用这些工具大举入侵。2020年,美国知名安全公司Fireeye被黑,公司使用的红队工具被泄露。幸运的是,大部分泄露的工具包都是存在已知漏洞的工具,并未造成严重破坏。腾讯安全专家判断,在不久的将来,将会有网络黑客利用泄露的ImmunityCanvas工具包对政企机构的网络资产进行各种扫描、检测和渗透活动。建议用户对正在运行的业务进行安全检查,及时扫描修复包括个人电脑、企业服务器在内的各种安全漏洞,降低黑客入侵的风险。腾讯安全已将该工具包中的恶意程序添加到入侵指标(IOC)中,如果入侵者试图使用这些工具进行攻击,则会触发安全警报。
