永恒之蓝攻击紧急处置.docx
《永恒之蓝攻击紧急处置.docx》由会员分享,可在线阅读,更多相关《永恒之蓝攻击紧急处置.docx(11页珍藏版)》请在冰点文库上搜索。
永恒之蓝攻击紧急处置
永恒之蓝”攻击紧急处置
(WannaCry蠕虫)
苏州市信息中心
2018年01月08日
第1章安全通告
近期江苏省多地正在遭遇WannaCry勒索病毒袭击,网络出现ONION/Wncry勒索软件感染情况,磁盘文件会被病毒加密为.onion后缀,只有支付高额赎金才能解密恢复文件,对重要数据造成严重损失。
第2章事件信息
根据网络安全机构通报,这是不法分子利用NSA黑客武器库泄漏的“永恒之蓝”发起的蠕虫病毒攻击事件。
恶意代码会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。
由于以前国内多次爆发利用445端口传播的蠕虫,部分运营商在主干网络上封禁了445端口,但是教育网并没有此限制,仍然存在大量暴露445端口且存在漏洞的电脑,导致目前此蠕虫在教育网内大量传播,大概量级是每天5000个用户中招。
特别提醒:
WanaCry勒索软件除了通过ms17-010的SMBvl传播,还可能通过曾经被安装过NSADoublePulsar后门的渠道进行传播,曾被EternalBlue攻击并成功安装过DoublePulsar后门的系统,即便已安装ms17-010补丁仍有可能被该勒索软件感染
第3章处置建议
3.1安全操作提示
从目前掌握的情况来看:
1.不要轻易点击不明附件,尤其是rtf、doc等格式,可以安装360杀毒软件等相关安全产品进行查杀;
2.及时更新windows系统补丁;
3.内网中存在使用相同账号、密码情况的机器请尽快修改密码,未开机的电脑请确认口令修改完毕、补丁安装完成后再进行联网操作。
4.立即封堵不必要的SMB协议(TCP445端口);
5.针对必须启用SMB协议的网络进行深度的IPS检测,及时阻断攻击;
6.在网络内部安全域间部署防火墙设备,通过隔离安全域降低攻击的影响范围
3.2修复工具
安全团队开发的勒索蠕虫漏洞修复工具,可根本解决勒索蠕虫利用
MS17-010漏洞带来的安全隐患。
此修复工具集成免疫、SMB服务
关闭和各系统下MS17-010漏洞检测与修复于一体。
可在离线网络环境下一键式修复系统存在的MS17-010漏洞,工具下载地址:
http:
//b.360.cn/other/onionwormkiller
3.3政务网主机应急处置
3.3.1.命令行检查端口开放情况
点击windows图标,在搜索框中输入“cmd”
在搜索结果中的“cmd”上点击右键单击“以管理员身份运行”按钮
3.3.2.针对主机的处置方式
3.321.方式一:
启用蠕虫快速免疫工具
采用快速处置方式,建议使用360安全卫士的“NSA武器库免疫工具”可一键检测修复漏洞、关闭高风险服务,包括精准检测出NSA武器库使用的漏洞是否已经修复,并提示用户安装相应的补丁。
针对
WindowsXP、Windows2003等无补丁的系统版本用户,防御工具能够帮助用户关闭存在高危风险的服务,从而对NSA黑客武器攻击的系统漏洞彻底“免疫”
免疫工具的下载地址http:
//dl.b.360.cn/tools/OnionWormImmune.exe
3322方式二:
启用windows防火墙
在桌面右下角网络连接处点击右键,单击“打开网络和共享中心”,
在网络和共享中心,点击左下角“Windows防火墙”字样,
打开“Windows防火墙”管理界面,在左侧功能区点击“打开或关
闭Windows防火墙”,
打开“自定义设置”界面,分别点击下图中红框内“启用Windows防
毎吒融E拦副理开因睥站射
二却出oei^cb'diea
舞回田讦硏聃呈
母臺阴雪融阳申睪「鉢離赧再奉半旨耳唄丁旳
WSYW
宙目
:
簟牝BJ描创”吧屮
攜圉询中耳机出昭帥蛆窘祜辺
F會至日
(J)轟创出讦畚I
0巾吉菲吐瞬國
Q■申#斟
園連里岂
聊庭甩EBi催将^0■因無M他X°T™IN
彌畔融
uo3aasrpuaSey辭呵ypj
廨因珮凹咆虽
罄至隅對盘朋申肇陆也謎好丑半呂昼则
塾配¥射
田甲
:
遷胖暫¥刘£*啊吨
醸斓诃怪坯車申冒屮工
—奪堅日
(K>唐釧夠&
R爭昱半阿翡剧憎骑抑工華越営
晟脚班瞬马谟攜屈卑
至舉笛賈aI
里輕喪猛肖宴斗
旦加射HFR世怪贬-V
哥耀呀軽迎重*
。
皿轼科同萍回射筋廖宾退打辛靈空龜尋蔷丁期徹呈唧帛如沖啊!
H
Wl^d^W<5T¥^"呼■汕宙凰
沖阳邑眸临箍對
願
毋列释歸|[專亠
si¥ua、fr*鲍連瞬偉舅*鯉蜩*jpO0
_▼—1'*k—
艮叵L
雪茅则=«j™?
1m
更丰爭更啤可
封者”b«m.e^a^wno丑
□團“骑”购sMopwM”低回’“尹飙e^w'“if”
打开“高级安全Windows防火墙“窗口,
-IDIxi
pO-
董存出耙…
緒傑襲
3&
点击“入站规则”-“新建规则”,
SSStsfi^S
立甘沖燥trmts&'.^JWRfiixi
卷IS]18三
罰戍全卫士范印i丁timin妙亦嗨全卫士晁:
用卜丁皆Util决酉蝕茂全卫士交时惭P爭祸全卫士爲砒护
0存全卫士刷扌惧护
涉吟全卫士彌他护
<>38052卫十硏1现护
站全卫士诙册
d独应全中袒
毎钺吱全中心
谕3»杀审升遊序
it1^Apjrlj«HTTP玄・wt
g
ApirljiHTEFSifvkt
1■亠U■!
■■&亠d-Li-mj.
然后点击“下一步
在协议和端口页,特定本地端口处,输入“445”然后点击“下一步
协议和躍:
口
指定此规鳴应用于的协很和端口。
删则应用于血还是utr?
障TCFCVDP
|445
示例:
80^fl43s5QQO-5010
r所有本抱端口3)赫恃左鳶地洁口凸):
了蹈枷彳丁和诰□的注翎洁自
<上T⑻|下一步or〕〉]砒]
在操作页,选中“阻止连接”,然后点击下一步,
按作
步
-规则类型
-*协谕和諾口
£赫
■曹CE交件
*名称
扌錠在连搖与规则中牯定的条件相匹駅时要执行的操作。
连接苻台指走条件1寸应该谡行什幺操作?
「冗许连接(M
退色括梗用IP^C保护以浚未粳用IfBCC保护的淫接。
L只九许妄全连接〔町
噩黠曙擬溜攏聘。
蟻酬中的躍疝连斂
赫阴止连接00
了齧壘匡的谨纸信昱
<上T⑻|下一步or〕〉]砒]
在配置文件页,“何时应用该规则?
”处全部选中,然后点击下一步,
打开“名称”页,在名称处输入“阻断445端口”,然后点击“完成”
<上一歩⑧|「融⑥]取消
此时可以看到入站规则最顶端出现刚添加的“阻断445”规则,配置
完成。
3.3.3.针对核心网络设备应急处置
大型机构由于设备众多,为了避免感染设备之后的广泛传播,建议利用各网络设备的ACL策略配置,以实现临时封堵。
该蠕虫病毒主要利用TCP的139、445端口进行传播,对于各大企事业单位影响很大。
为了阻断病毒快速传播,建议在核心网络设备的三层接口位置,配置ACL规则从网络层面阻断TCP139、445端口
的通讯