相關說明
中原標準時間2017年05月12日,安恒資訊監測到黑客利用nsa黑客武器庫洩漏的“永恒之藍”工具發起的網絡攻擊事件:大量伺服器和個人pc感染病毒後被遠端控制,成為不法分子的比特币挖礦機(挖礦會耗費大量計算資源,導緻機器性能降低),甚至被安裝勒索軟體,磁盤檔案會被病毒加密為.onion或者.wncry字尾,使用者隻有支付高額贖金後才能解密恢複檔案,對個人及企業重要檔案資料造成嚴重損失。受感染圖檔如下所示:
“eternalblue”工具利用的是微軟windows作業系統的smbv1協定中的安全漏洞。未經身份驗證的攻擊者可以向目标機器發送特制封包觸發緩沖區溢出,導緻在目标機器上遠端執行任意代碼。“永恒之藍”工具會掃描開放445檔案共享端口的windows機器,隻要使用者開機上網,黑客就可能在電腦和伺服器中植入勒索軟體。
之前國内曾多次爆發利用445端口傳播的蠕蟲,營運商對個人使用者封掉此端口;但國内特定行業的網絡無此限制,存在大量暴露445端口的機器,是以也成為了此次感染事件的重災區,已經有大量該行業網絡的使用者報告個人pc被安裝了勒索軟體。此外,根據國外媒體的報道,目前英國、美國、俄羅斯、西班牙、意大利、越南、中國台灣等國家和地區也出現了被感染的情況。
影響範圍
ms17-010漏洞主要影響以下作業系統:
桌面版本作業系統:
windows 2000
windows xp
windows vista
windows7
windows8
windows8.1
windows10
伺服器版本作業系統:
windows server 2000
windows server 2003
windows server 2008
windows server 2012
windows server 2016
檢測方法
由于“eternalblue”的利用代碼主要針對windows xp、windows7、windows server 2008等,這些版本的作業系統占桌面、伺服器作業系統的大部分,是以此次事件對于windows的影響非常嚴重。
檢測方法隻需檢測受影響的windows作業系統版本隻要打開了445端口、且沒有安裝ms17-010的機器則确認會受到影響。
檢測是否對外監聽445端口,可以采用telnet方式,也可以使用專業的端口掃描工具,如下所示:
1)telnet指令:telnet [ip 位址] 445
▲ 用telnet檢測到主機開放445端口
2)端口掃描方法:
# nmap -ss -p 445 -vv 192.168.1.1/24
或者使用其他端口掃描工具
例如:softperfect network scanner
配置掃描端口為445
3)使用nmap進行網絡端口掃描:
# nmap -ss -p 445 -vv 192.168.47.1/24
▲ nmap掃描445端口(syn掃描速度快)
4. 檢測系統安裝更新情況
通過檢查系統的更新情況可以知曉系統是否已經針對ms17-010安裝過安全更新檔,檢查方法為 “控制台”->“程式和功能”->“已安裝更新”(相關布丁編号見https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx )
▲ windows7系統安全更新情況(上圖未安裝)
問:我的主機沒有監聽445端口是不是就說明系統是沒有問題的?
答:目前勒索病毒“永恒之藍”的感染途徑為網絡445端口,是以阻斷445端口通信可以防止來自網絡的感染行為,但是系統仍然是不安全的,因為相關安全更新檔還未及時更新,安恒資訊專家建議做好網絡防護後做好相關更新檔更新工作。
問:我的網絡中部署安恒資訊專業apt預警平台,是否能夠對相關病毒攻擊行為進行審計告警?
答:明鑒apt預警平台在3月已經針對ms17-010的攻擊開發了專業攻擊預警政策,能夠第一時間審計相關攻擊行為,最快發現攻擊來源及攻擊目标,并及時發出告警,保障系統針對“永恒之藍”病毒爆發、ms17-010攻擊的告警。
應急處置
對于已經感染的系統
斷開已經感染的主機系統的網絡連接配接,防止進一步擴散;
優先檢查未感染主機的漏洞狀況,做好漏洞加強工作後方可恢複網絡連接配接。
已經感染終端,根據終端資料重要性決定處置方式,如果重新安裝系統則建議完全格式化硬碟、使用全新作業系統、完善作業系統更新檔、安裝防病毒軟體并通過檢查确認無相關漏洞後再恢複網絡連接配接。
對于未感染的系統
注意:以下操作有先後順序,請逐漸開展
[*非常重要*] 拔掉網線之後再開機啟動
做好重要檔案的備份工作(最好備份到存儲媒體中)
開啟系統防火牆,并設定阻止向445端口進行連接配接,可以使用以下指令開展:
方法一:
echo "請務必以管理者身份運作"
netsh firewall set opmode enable
netsh advfirewall firewall add rule name="deny445" dir=in protocol=tcp localport=445 action=block
方法二:
windows 32位關閉445端口批處理(bat):
reg add hklm\system\currentcontrolset\services\netbt\parameters /v smbdeviceenabled /t reg_dword /d 0 /f&&sc config lanmanserver start= disabled&&net stop lanmanserver /y
windows x64位關閉445端口批處理(bat):
reg add hklm\system\currentcontrolset\services\netbt\parameters /v smbdeviceenabled /t reg_qword /d 0 /f&&sc config lanmanserver start= disabled&&net stop lanmanserver /y
建立文本文檔,然後複制以上腳本内容,另存為【.bat】格式的檔案,并右鍵【管理者運作】,待cmd對話框消失後,重新開機電腦即可。
如無必需,建議關閉smb共享服務
打開系統自動更新,并檢測系統更新檔進行安裝,如果是内網環境可以采用離線更新檔方式更新
安裝防毒軟體并更新病毒庫;
增強個人主機病毒防範意識,不随意打開位置來源的檔案,關閉移動存儲自動播放功能等
網絡層防護
邊界交換機、路由器、防火牆等裝置禁止雙向135/137/139/445端口的tcp連接配接
内網核心主幹交換路由裝置禁止雙向135/137/139/445端口的tcp連接配接
更新入侵防禦、入侵檢測、apt等安全裝置漏洞庫,開啟防禦政策
離線更新檔下載下傳位址
security update for windows xp sp3 (kb4012598)
http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-chs_dca9b5adddad778cfd4b7349ff54b51677f36775.exe
security update for windows server 2003 (kb4012598)
http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-chs_b45d2d8c83583053d37b20edf5f041ecede54b80.exe
security update for windows server 2003 for x64 systems (kb4012598)
http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-chs_68a2895db36e911af59c2ee133baee8de11316b9.exe
security update for windows 7 (kb4012212)
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu
security update for windows 7 x64 (kb4012212)
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu
security update for windows server 2008 r2 x64 (kb4012212)
security update for windows10 (kb4012606)
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x86_8c19e23de2ff92919d3fac069619e4a8e8d3492e.msu
security update for windows10 x64 (kb4012606)
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x64_e805b81ee08c3bb0a8ab2c5ce6be5b35127f8773.msu
安恒資訊“永恒之藍”勒索病毒應急包彙總:
<a target="_blank"></a>
轉載自阿裡雲合作夥伴“安恒資訊”