“永恒之蓝”勒索病毒安全事件应急指导手册(附工具包)

本文涉及的产品
云防火墙,500元 1000GB
简介:  相关说明 北京时间2017年05月12日,安恒信息监测到黑客利用NSA黑客武器库泄漏的“永恒之蓝”工具发起的网络攻击事件:大量服务器和个人PC感染病毒后被远程控制,成为不法分子的比特币挖矿机(挖矿会耗费大量计算资源,导致机器性能降低),甚至被安装勒索软件,磁盘文件会被病毒加密为.onion或者.WNCRY后缀,用户只有支付高额赎金后才能解密恢复文件,对个人及企业重要文件数据造成严重损失。
 

相关说明


北京时间2017年05月12日,安恒信息监测到黑客利用NSA黑客武器库泄漏的“永恒之蓝”工具发起的网络攻击事件:大量服务器和个人PC感染病毒后被远程控制,成为不法分子的比特币挖矿机(挖矿会耗费大量计算资源,导致机器性能降低),甚至被安装勒索软件,磁盘文件会被病毒加密为.onion或者.WNCRY后缀,用户只有支付高额赎金后才能解密恢复文件,对个人及企业重要文件数据造成严重损失。受感染图片如下所示:



“EternalBlue”工具利用的是微软Windows操作系统的SMBv1协议中的安全漏洞。未经身份验证的攻击者可以向目标机器发送特制报文触发缓冲区溢出,导致在目标机器上远程执行任意代码。“永恒之蓝”工具会扫描开放445文件共享端口的Windows机器,只要用户开机上网,黑客就可能在电脑和服务器中植入勒索软件。


之前国内曾多次爆发利用445端口传播的蠕虫,运营商对个人用户封掉此端口;但国内特定行业的网络无此限制,存在大量暴露445端口的机器,因此也成为了此次感染事件的重灾区,已经有大量该行业网络的用户报告个人PC被安装了勒索软件。此外,根据国外媒体的报道,目前英国、美国、俄罗斯、西班牙、意大利、越南、中国台湾等国家和地区也出现了被感染的情况。


 

影响范围

MS17-010漏洞主要影响以下操作系统:


桌面版本操作系统:

Windows 2000

Windows XP

Windows Vista

Windows7

Windows8

Windows8.1

Windows10


服务器版本操作系统:

Windows Server 2000

Windows Server 2003

Windows Server 2008

Windows Server 2012

Windows Server 2016


 

检测方法

由于“EternalBlue”的利用代码主要针对Windows XP、Windows7、Windows Server 2008等,这些版本的操作系统占桌面、服务器操作系统的大部分,因此此次事件对于Windows的影响非常严重。


检测方法只需检测受影响的Windows操作系统版本只要打开了445端口、且没有安装MS17-010的机器则确认会受到影响。


检测是否对外监听445端口,可以采用Telnet方式,也可以使用专业的端口扫描工具,如下所示:


1)Telnet命令:telnet [ip 地址] 445


▲ 用Telnet检测到主机开放445端口


2)端口扫描方法:

# nmap -sS -p 445 -vv 192.168.1.1/24

或者使用其他端口扫描工具

例如:Softperfect Network Scanner

配置扫描端口为445



3)使用Nmap进行网络端口扫描:

# nmap -sS -p 445 -vv 192.168.47.1/24


▲ Nmap扫描445端口(SYN扫描速度快)


4. 检测系统安装更新情况

通过检查系统的更新情况可以知晓系统是否已经针对MS17-010安装过安全补丁,检查方法为 “控制面板”->“程序和功能”->“已安装更新”(相关布丁编号见https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx )


▲ Windows7系统安全更新情况(上图未安装)


问:我的主机没有监听445端口是不是就说明系统是没有问题的?


答:目前勒索病毒“永恒之蓝”的感染途径为网络445端口,所以阻断445端口通信可以防止来自网络的感染行为,但是系统仍然是不安全的,因为相关安全补丁还未及时更新,安恒信息专家建议做好网络防护后做好相关补丁更新工作。

 

问:我的网络中部署安恒信息专业APT预警平台,是否能够对相关病毒攻击行为进行审计告警?


答:明鉴APT预警平台在3月已经针对MS17-010的攻击开发了专业攻击预警策略,能够第一时间审计相关攻击行为,最快发现攻击来源及攻击目标,并及时发出告警,保障系统针对“永恒之蓝”病毒爆发、MS17-010攻击的告警。


 

应急处置


对于已经感染的系统

  • 断开已经感染的主机系统的网络连接,防止进一步扩散;

  • 优先检查未感染主机的漏洞状况,做好漏洞加固工作后方可恢复网络连接。

  • 已经感染终端,根据终端数据重要性决定处置方式,如果重新安装系统则建议完全格式化硬盘、使用全新操作系统、完善操作系统补丁、安装防病毒软件并通过检查确认无相关漏洞后再恢复网络连接。


对于未感染的系统

注意:以下操作有先后顺序,请逐步开展

 

  • [*非常重要*] 拔掉网线之后再开机启动

  • 做好重要文件的备份工作(最好备份到存储介质中)

  • 开启系统防火墙,并设置阻止向445端口进行连接,可以使用以下命令开展:


方法一:

echo "请务必以管理员身份运行"

netsh firewall set opmode enable

netsh advfirewall firewall add rule name="deny445" dir=in protocol=tcp localport=445 action=block

 

方法二:

Windows 32位关闭445端口批处理(bat):

 

REG ADD HKLM\SYSTEM\CurrentControlSet\services\NetBT\Parameters /v SMBDeviceEnabled /T REG_DWORD /D 0 /F&&sc  config LanmanServer start= disabled&&net stop lanmanserver /y

 

Windows x64位关闭445端口批处理(bat):

 

REG ADD HKLM\SYSTEM\CurrentControlSet\services\NetBT\Parameters /v SMBDeviceEnabled /T REG_QWORD /D 0 /F&&sc  config LanmanServer start= disabled&&net stop lanmanserver /y

 

新建文本文档,然后复制以上脚本内容,另存为【.bat】格式的文件,并右键【管理员运行】,待CMD对话框消失后,重启电脑即可。

 

  • 如无必需,建议关闭SMB共享服务

  • 打开系统自动更新,并检测系统补丁进行安装,如果是内网环境可以采用离线补丁方式更新

  • 安装杀毒软件并升级病毒库;

  • 增强个人主机病毒防范意识,不随意打开位置来源的文件,关闭移动存储自动播放功能等


网络层防护

边界交换机、路由器、防火墙等设备禁止双向135/137/139/445端口的TCP连接


内网核心主干交换路由设备禁止双向135/137/139/445端口的TCP连接


更新入侵防御、入侵检测、APT等安全设备漏洞库,开启防御策略


 

离线补丁下载地址

Security Update for Windows XP SP3 (KB4012598)

http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-chs_dca9b5adddad778cfd4b7349ff54b51677f36775.exe

 

Security Update for Windows Server 2003 (KB4012598)

http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-chs_b45d2d8c83583053d37b20edf5f041ecede54b80.exe

 

Security Update for Windows Server 2003 for x64 Systems (KB4012598)

http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-chs_68a2895db36e911af59c2ee133baee8de11316b9.exe

 

Security Update for Windows 7 (KB4012212)

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu

 

Security Update for Windows 7 x64 (KB4012212)

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu

 

Security Update for Windows Server 2008 R2 x64 (KB4012212)

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu

 

Security Update for Windows10 (KB4012606)

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x86_8c19e23de2ff92919d3fac069619e4a8e8d3492e.msu

 

Security Update for Windows10 x64 (KB4012606)

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x64_e805b81ee08c3bb0a8ab2c5ce6be5b35127f8773.msu

 

安恒信息“永恒之蓝”勒索病毒应急包汇总:

http://www.dbappsecurity.com.cn/%E5%AE%89%E6%81%92%E4%BF%A1%E6%81%AF%E5%85%B3%E4%BA%8E%E6%9C%80%E6%96%B0%E5%8B%92%E7%B4%A2%E7%97%85%E6%AF%92%E5%AE%89%E5%85%A8%E5%A4%84%E7%BD%AE%E5%B7%A5%E5%85%B7%E9%9B%86.rar

 转载自阿里云合作伙伴“安恒信息”

相关文章
|
7月前
|
SQL 安全 测试技术
渗透测试基础之永恒之蓝漏洞复现
对于当下来说我们使用的电脑大多是win11或是win10,还是有很多政府和公司,或是学校中使用的系统还停留在win7系统.今天是我进行渗透测试的第一次实战,通过永恒之蓝漏洞利用对win7系统进行渗透,当然也会对渗透测试的流程进行一个详细的介绍.,渗透测试的流程信息较为详细,内容较多,如果想看实战流程,直接通过通过这次的渗透测试,虽然不是对web间进行渗透测试,但是通过实战能够使我能够熟悉渗透测试的流程,当然在实践过程中也出现了很多问题,例如从kali上传文件到win主机路径出现问题,配置攻击模块时将ip地址设置错误,但在我不断的思考和尝试下,最终解决了问题,对于我的解决问题的能力也是一种提升.
367 3
|
安全 Windows 网络安全
威胁快报|Bulehero挖矿蠕虫升级,PhpStudy后门漏洞加入武器库
近日,阿里云安全团队监控到Bulehero挖矿蠕虫进行了版本升级,蠕虫升级后开始利用最新出现的PHPStudy后门漏洞作为新的攻击方式对Windows主机进行攻击,攻击成功后会下载门罗币挖矿程序进行牟利。建议用户及时排查自身主机是否存在安全漏洞,并关注阿里云安全团队的相关文章。
3311 0
|
安全 云安全 Windows
威胁预警 | watchbog挖矿蠕虫升级,利用Bluekeep RDP等多个漏洞蓄势待发
近日,阿里云安全团队监测到watchbog挖矿蠕虫的变种。该蠕虫在原先挖矿功能与C&C通信的基础上[1],增加了使用多个CVE漏洞进行传播的能力,利用这些漏洞,攻击者可以执行任意指令非法牟利或以此为跳板扩大攻击范围,对被入侵主机带来极大的安全隐患。
4059 0
|
Web App开发 安全 算法
微软再爆IE 0day漏洞 绿盟科技提供预警及防护手段
继今年1月14日微软IE浏览器曝出“Aurora”0day漏洞而引发了大规模的挂马攻击后,昨日微软IE浏览器再次爆出严重级别的0day漏洞(Microsoft IE畸形对象操作内存破坏漏洞CVE-2010-0806),受影响的IE浏览器版本包括IE7.0、IE6.0 SP1、IE6.0等几乎所有主流版本。
998 0
|
安全 数据安全/隐私保护 Windows
|
Web App开发 安全 数据安全/隐私保护
|
安全 数据安全/隐私保护 Windows
|
安全 数据安全/隐私保护 Windows
趋势科技技术分析:详解无文件勒索病毒Sorebrect
本文讲的是趋势科技技术分析:详解无文件勒索病毒Sorebrect,Fileless威胁和ransomware并不是什么新的东西,但是包含其特征组合的恶意软件却可能成为一种新的危险。例如,我们最近发现的Fileless代码注入ransomware – SOREBRECT。
1764 0
|
安全 数据安全/隐私保护 Windows
Petya勒索软件攻击预警更新:赛门铁克进一步解析Petya勒索软件
本文讲的是Petya勒索软件攻击预警更新:赛门铁克进一步解析Petya勒索软件,2017年6月27日,一个名为Petya的勒索软件开始大肆传播,导致许多企业遭受攻击。
1301 0
下一篇
DataWorks