WannaCry 應對措施
2017-03-16
一���、 事件回顧
2017年5月12日起互聯(lián)網(wǎng)爆發(fā)了名為“WannaCry”新型勒索病毒,此病毒通過445端口利用SMB漏洞MS17-101在Windows電腦間擴散感染���,被感染電腦的文件將被加密,導致文件不可用���。
根據(jù)網(wǎng)絡安全機構(gòu)通報��,這是不法分子利用NSA黑客武器庫泄漏的“永恒之藍”發(fā)起的蠕蟲病毒攻擊事件����。惡意代碼會掃描開放445文件共享端口的Windows機器,無需用戶任何操作���,只要開機上網(wǎng)��,不法分子就能在電腦和服務器中植入勒索軟件�、遠程控制木馬����、虛擬貨幣挖礦機等惡意程序。
小貼士:什么是勒索軟件�?
勒索軟件通常會將用戶系統(tǒng)上文檔、郵件��、數(shù)據(jù)庫��、源代碼���、圖片����、壓縮文件等多種文件進行某種形式的加密操作,使之不可用����,或者通過修改系統(tǒng)配置文件、干擾用戶正常使用系統(tǒng)的方法使系統(tǒng)的可用性降低����,然后通過彈出窗口、對話框或生成文本文件等的方式向用戶發(fā)出勒索通知���,要求用戶向指定帳戶匯款來獲得解密文件的密碼或者獲得恢復系統(tǒng)正常運行的方法��。
二���、 解決方案
該攻擊涉及MS17-010漏洞,我們可以采用以下方案進行解決
1.漏洞名稱:
Microsoft Windows SMB遠程任意代碼執(zhí)行漏洞 (MS17-010)
包含如下CVE:
CVE-2017-0143 嚴重 遠程命令執(zhí)行
CVE-2017-0144 嚴重 遠程命令執(zhí)行
CVE-2017-0145 嚴重 遠程命令執(zhí)行
CVE-2017-0146 嚴重 遠程命令執(zhí)行
CVE-2017-0147 重要 信息泄露
CVE-2017-0148嚴重 遠程命令執(zhí)行
漏洞描述:
SMBv1 server是其中的一個服務器協(xié)議組件����。
Microsoft Windows中的SMBv1服務器存在遠程代碼執(zhí)行漏洞。
遠程攻擊者可借助特制的數(shù)據(jù)包利用該漏洞執(zhí)行任意代碼�。
以下版本受到影響:
Microsoft Windows Vista SP2
Windows Server 2008 SP2和R2 SP1
Windows 7 SP1
Windows 8.1
Windows Server 2012 Gold和R2
Windows RT 8.1
Windows 10 Gold
1511和1607
Windows Server 2016
2.防護方法
2.1. 對于終端主機
1)為計算機安全最新的安全補丁����,微軟已經(jīng)發(fā)布補丁MS17-010,網(wǎng)址為https://technet.microsoft.com/zh-cn/library/security/MS17-010
2)關閉445�、135����、137、138���、139端口���,關閉網(wǎng)絡共享。
3)建議仍在使用windows xp��, windows 2003操作系統(tǒng)的用戶盡快升級到 window 7/windows 10����,或 windows 2008/2012/2016操作系統(tǒng)。
4)禁止內(nèi)網(wǎng)終端接入互聯(lián)網(wǎng)����。
2.1 聯(lián)軟桌面管理軟件快速分發(fā)補丁的方法:
1)分發(fā)禁用445端口腳本
功能:將腳本下發(fā)到每個客戶端。禁止訪問445端口(可能影響共享打印機使用)�。
下載鏈接:https://pan.baidu.com/s/1eS9WTI6
在聯(lián)軟控制臺上的桌面管理——軟件分發(fā)配置——基本配置頁面,上傳指定文件����,并且執(zhí)行安裝指令:安裝包名稱(Anti445.exe)
填寫應用范圍(此處為所有)
2)補丁分發(fā)
方法一:通過軟件分發(fā)功能進行補丁分發(fā):
補丁下載鏈接:https://pan.baidu.com/s/1eSvJIh0
補丁下載鏈接:https://pan.baidu.com/s/1bpNAhR5
依照下圖進行設置:
方法二:通過補丁下載管理進行分發(fā)安裝:
運行補丁下載器(如下圖)
下載完畢之后將下載好的補丁文件補丁拷貝至LeagSoft\LeagView\JBOSS402\bin\download\distribute\smartcab\
重啟聯(lián)軟leagview運維管理服務����,查詢是否存在需要的補丁��,配置指定補丁更新策略�����,下發(fā)客戶端安裝�。
微軟自帶的WSUS的補丁分發(fā)功能比較簡單,聯(lián)軟的軟件分發(fā)及補丁分發(fā)功能強大�,統(tǒng)計功能一目了然,是提高生產(chǎn)力的有效工具����。
2.2.CheckPoint安全設備防范來自外網(wǎng)及安全域之間的攻擊和感染,具體操作如下:
策略規(guī)則庫:
1)登錄防火墻管理平臺��,在安全規(guī)則策略最頂端新建一條Drop策略
2)在策略規(guī)則“Service”里新添加TCP445�����、TCP135����、TCP137、TCP138���、TCP139端口
(注:CheckPoint對于445端口和139端口設備本身協(xié)議庫里默認自帶��,無需新建該端口����,如下圖所示)
3)策略規(guī)則庫里源地址和目的地址均為“any”
(CheckPoint默認規(guī)則庫的源和目的對象均為any���,無需另外添加)
4)完成以上配置后����,執(zhí)行“install policy”把配置推送至防火墻執(zhí)行�����。
IPS簽名庫:
CheckPoint IPS簽名庫早在4月24日就release了�,只要CheckPoint設備之前一直有運行IPS功能,只需開啟圖中的簽名即可
2.3 綠盟NIPS設備防范來自外網(wǎng)及安全域之間的攻擊和感染���,具體操作如下:
檢查規(guī)則庫是否存在新增規(guī)則“Windows SMB遠程代碼執(zhí)行漏洞(ShadowBrokers EternalBlue)補丁”���,規(guī)則號為“23994和“41489可以查詢NIPS規(guī)則庫中詳細的規(guī)則信息�����,如下圖所示��,可以按照規(guī)則編號或規(guī)則描述進行搜索���,也可以直接單擊“查詢”列出全部規(guī)則。
如果規(guī)則庫中無23994和41489規(guī)則號��,則系統(tǒng)規(guī)則庫需升級至5.6.9.15945
三���、前事不忘后事之師——日常的安全防范措施
1. 定期更新Windows操作系統(tǒng)��,應保證Windows版本在微軟的支持范圍內(nèi)
2. 定期更新Windows的安全補丁����,重要的安全補丁全部
3. 定期更新IPS的規(guī)則庫
4. 在防火墻上封堵高危的端口�����,如TCP445�、TCP137���、TCP138、TCP139
5. 采用提高生產(chǎn)力的運維管理工具����,如:桌面管理系統(tǒng)���、準入控制系統(tǒng)���、集中管理的防火墻等等
6. 多與業(yè)界知名的安全公司交流,掌握最新安全新技術
7. 把功夫用在日常�,遇到安全事件時才不會抓瞎
