155
“永恒之藍”勒索病毒安全事件應急指導手冊(附工具包)
相關說明
北京時間2017年05月12日,安恒信息監測到黑客利用NSA黑客武器庫泄漏的“永恒之藍”工具發起的網絡攻擊事件:大量服務器和個人PC感染病毒後被遠程控製,成為不法分子的比特幣挖礦機(挖礦會耗費大量計算資源,導致機器性能降低),甚至被安裝勒索軟件,磁盤文件會被病毒加密為.onion或者.WNCRY後綴,用戶隻有支付高額贖金後才能解密恢複文件,對個人及企業重要文件數據造成嚴重損失。受感染圖片如下所示:
“EternalBlue”工具利用的是微軟Windows操作係統的SMBv1協議中的安全漏洞。未經身份驗證的攻擊者可以向目標機器發送特製報文觸發緩衝區溢出,導致在目標機器上遠程執行任意代碼。“永恒之藍”工具會掃描開放445文件共享端口的Windows機器,隻要用戶開機上網,黑客就可能在電腦和服務器中植入勒索軟件。
之前國內曾多次爆發利用445端口傳播的蠕蟲,運營商對個人用戶封掉此端口;但國內特定行業的網絡無此限製,存在大量暴露445端口的機器,因此也成為了此次感染事件的重災區,已經有大量該行業網絡的用戶報告個人PC被安裝了勒索軟件。此外,根據國外媒體的報道,目前英國、美國、俄羅斯、西班牙、意大利、越南、中國台灣等國家和地區也出現了被感染的情況。
影響範圍
MS17-010漏洞主要影響以下操作係統:
桌麵版本操作係統:
Windows 2000
Windows XP
Windows Vista
Windows7
Windows8
Windows8.1
Windows10
服務器版本操作係統:
Windows Server 2000
Windows Server 2003
Windows Server 2008
Windows Server 2012
Windows Server 2016
檢測方法
由於“EternalBlue”的利用代碼主要針對Windows XP、Windows7、Windows Server 2008等,這些版本的操作係統占桌麵、服務器操作係統的大部分,因此此次事件對於Windows的影響非常嚴重。
檢測方法隻需檢測受影響的Windows操作係統版本隻要打開了445端口、且沒有安裝MS17-010的機器則確認會受到影響。
檢測是否對外監聽445端口,可以采用Telnet方式,也可以使用專業的端口掃描工具,如下所示:
1)Telnet命令:telnet [ip 地址] 445
▲ 用Telnet檢測到主機開放445端口
2)端口掃描方法:
# nmap -sS -p 445 -vv 192.168.1.1/24
或者使用其他端口掃描工具
例如:Softperfect Network Scanner
配置掃描端口為445
3)使用Nmap進行網絡端口掃描:
# nmap -sS -p 445 -vv 192.168.47.1/24
▲ Nmap掃描445端口(SYN掃描速度快)
4. 檢測係統安裝更新情況
通過檢查係統的更新情況可以知曉係統是否已經針對MS17-010安裝過安全補丁,檢查方法為 “控製麵板”->“程序和功能”->“已安裝更新”(相關布丁編號見https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx )
▲ Windows7係統安全更新情況(上圖未安裝)
問:我的主機沒有監聽445端口是不是就說明係統是沒有問題的?
答:目前勒索病毒“永恒之藍”的感染途徑為網絡445端口,所以阻斷445端口通信可以防止來自網絡的感染行為,但是係統仍然是不安全的,因為相關安全補丁還未及時更新,安恒信息專家建議做好網絡防護後做好相關補丁更新工作。
問:我的網絡中部署安恒信息專業APT預警平台,是否能夠對相關病毒攻擊行為進行審計告警?
答:明鑒APT預警平台在3月已經針對MS17-010的攻擊開發了專業攻擊預警策略,能夠第一時間審計相關攻擊行為,最快發現攻擊來源及攻擊目標,並及時發出告警,保障係統針對“永恒之藍”病毒爆發、MS17-010攻擊的告警。
應急處置
對於已經感染的係統
-
斷開已經感染的主機係統的網絡連接,防止進一步擴散;
-
優先檢查未感染主機的漏洞狀況,做好漏洞加固工作後方可恢複網絡連接。
-
已經感染終端,根據終端數據重要性決定處置方式,如果重新安裝係統則建議完全格式化硬盤、使用全新操作係統、完善操作係統補丁、安裝防病毒軟件並通過檢查確認無相關漏洞後再恢複網絡連接。
對於未感染的係統
注意:以下操作有先後順序,請逐步開展
-
[*非常重要*] 拔掉網線之後再開機啟動
-
做好重要文件的備份工作(最好備份到存儲介質中)
-
開啟係統防火牆,並設置阻止向445端口進行連接,可以使用以下命令開展:
方法一:
echo "請務必以管理員身份運行"
netsh firewall set opmode enable
netsh advfirewall firewall add rule name="deny445" dir=in protocol=tcp localport=445 action=block
方法二:
Windows 32位關閉445端口批處理(bat):
REG ADD HKLM\SYSTEM\CurrentControlSet\services\NetBT\Parameters /v SMBDeviceEnabled /T REG_DWORD /D 0 /F&&sc config LanmanServer start= disabled&&net stop lanmanserver /y
Windows x64位關閉445端口批處理(bat):
REG ADD HKLM\SYSTEM\CurrentControlSet\services\NetBT\Parameters /v SMBDeviceEnabled /T REG_QWORD /D 0 /F&&sc config LanmanServer start= disabled&&net stop lanmanserver /y
新建文本文檔,然後複製以上腳本內容,另存為【.bat】格式的文件,並右鍵【管理員運行】,待CMD對話框消失後,重啟電腦即可。
-
如無必需,建議關閉SMB共享服務
-
打開係統自動更新,並檢測係統補丁進行安裝,如果是內網環境可以采用離線補丁方式更新
-
安裝殺毒軟件並升級病毒庫;
-
增強個人主機病毒防範意識,不隨意打開位置來源的文件,關閉移動存儲自動播放功能等
網絡層防護
邊界交換機、路由器、防火牆等設備禁止雙向135/137/139/445端口的TCP連接
內網核心主幹交換路由設備禁止雙向135/137/139/445端口的TCP連接
更新入侵防禦、入侵檢測、APT等安全設備漏洞庫,開啟防禦策略
離線補丁下載地址
Security Update for Windows XP SP3 (KB4012598)
https://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-chs_dca9b5adddad778cfd4b7349ff54b51677f36775.exe
Security Update for Windows Server 2003 (KB4012598)
https://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-chs_b45d2d8c83583053d37b20edf5f041ecede54b80.exe
Security Update for Windows Server 2003 for x64 Systems (KB4012598)
https://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-chs_68a2895db36e911af59c2ee133baee8de11316b9.exe
Security Update for Windows 7 (KB4012212)
https://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu
Security Update for Windows 7 x64 (KB4012212)
https://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu
Security Update for Windows Server 2008 R2 x64 (KB4012212)
https://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu
Security Update for Windows10 (KB4012606)
https://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x86_8c19e23de2ff92919d3fac069619e4a8e8d3492e.msu
Security Update for Windows10 x64 (KB4012606)
https://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x64_e805b81ee08c3bb0a8ab2c5ce6be5b35127f8773.msu
安恒信息“永恒之藍”勒索病毒應急包匯總:
https://www.dbappsecurity.com.cn/%E5%AE%89%E6%81%92%E4%BF%A1%E6%81%AF%E5%85%B3%E4%BA%8E%E6%9C%80%E6%96%B0%E5%8B%92%E7%B4%A2%E7%97%85%E6%AF%92%E5%AE%89%E5%85%A8%E5%A4%84%E7%BD%AE%E5%B7%A5%E5%85%B7%E9%9B%86.rar
轉載自阿裏雲合作夥伴“安恒信息”
最後更新:2017-05-15 10:02:09