“永恒之蓝”勒索病毒安全事件应急指导手册(附工具包)

本文涉及的产品
云防火墙,500元 1000GB
简介:  相关说明 北京时间2017年05月12日,安恒信息监测到黑客利用NSA黑客武器库泄漏的“永恒之蓝”工具发起的网络攻击事件:大量服务器和个人PC感染病毒后被远程控制,成为不法分子的比特币挖矿机(挖矿会耗费大量计算资源,导致机器性能降低),甚至被安装勒索软件,磁盘文件会被病毒加密为.onion或者.WNCRY后缀,用户只有支付高额赎金后才能解密恢复文件,对个人及企业重要文件数据造成严重损失。
 

相关说明


北京时间2017年05月12日,安恒信息监测到黑客利用NSA黑客武器库泄漏的“永恒之蓝”工具发起的网络攻击事件:大量服务器和个人PC感染病毒后被远程控制,成为不法分子的比特币挖矿机(挖矿会耗费大量计算资源,导致机器性能降低),甚至被安装勒索软件,磁盘文件会被病毒加密为.onion或者.WNCRY后缀,用户只有支付高额赎金后才能解密恢复文件,对个人及企业重要文件数据造成严重损失。受感染图片如下所示:



“EternalBlue”工具利用的是微软Windows操作系统的SMBv1协议中的安全漏洞。未经身份验证的攻击者可以向目标机器发送特制报文触发缓冲区溢出,导致在目标机器上远程执行任意代码。“永恒之蓝”工具会扫描开放445文件共享端口的Windows机器,只要用户开机上网,黑客就可能在电脑和服务器中植入勒索软件。


之前国内曾多次爆发利用445端口传播的蠕虫,运营商对个人用户封掉此端口;但国内特定行业的网络无此限制,存在大量暴露445端口的机器,因此也成为了此次感染事件的重灾区,已经有大量该行业网络的用户报告个人PC被安装了勒索软件。此外,根据国外媒体的报道,目前英国、美国、俄罗斯、西班牙、意大利、越南、中国台湾等国家和地区也出现了被感染的情况。


 

影响范围

MS17-010漏洞主要影响以下操作系统:


桌面版本操作系统:

Windows 2000

Windows XP

Windows Vista

Windows7

Windows8

Windows8.1

Windows10


服务器版本操作系统:

Windows Server 2000

Windows Server 2003

Windows Server 2008

Windows Server 2012

Windows Server 2016


 

检测方法

由于“EternalBlue”的利用代码主要针对Windows XP、Windows7、Windows Server 2008等,这些版本的操作系统占桌面、服务器操作系统的大部分,因此此次事件对于Windows的影响非常严重。


检测方法只需检测受影响的Windows操作系统版本只要打开了445端口、且没有安装MS17-010的机器则确认会受到影响。


检测是否对外监听445端口,可以采用Telnet方式,也可以使用专业的端口扫描工具,如下所示:


1)Telnet命令:telnet [ip 地址] 445


▲ 用Telnet检测到主机开放445端口


2)端口扫描方法:

# nmap -sS -p 445 -vv 192.168.1.1/24

或者使用其他端口扫描工具

例如:Softperfect Network Scanner

配置扫描端口为445



3)使用Nmap进行网络端口扫描:

# nmap -sS -p 445 -vv 192.168.47.1/24


▲ Nmap扫描445端口(SYN扫描速度快)


4. 检测系统安装更新情况

通过检查系统的更新情况可以知晓系统是否已经针对MS17-010安装过安全补丁,检查方法为 “控制面板”->“程序和功能”->“已安装更新”(相关布丁编号见https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx )


▲ Windows7系统安全更新情况(上图未安装)


问:我的主机没有监听445端口是不是就说明系统是没有问题的?


答:目前勒索病毒“永恒之蓝”的感染途径为网络445端口,所以阻断445端口通信可以防止来自网络的感染行为,但是系统仍然是不安全的,因为相关安全补丁还未及时更新,安恒信息专家建议做好网络防护后做好相关补丁更新工作。

 

问:我的网络中部署安恒信息专业APT预警平台,是否能够对相关病毒攻击行为进行审计告警?


答:明鉴APT预警平台在3月已经针对MS17-010的攻击开发了专业攻击预警策略,能够第一时间审计相关攻击行为,最快发现攻击来源及攻击目标,并及时发出告警,保障系统针对“永恒之蓝”病毒爆发、MS17-010攻击的告警。


 

应急处置


对于已经感染的系统

  • 断开已经感染的主机系统的网络连接,防止进一步扩散;

  • 优先检查未感染主机的漏洞状况,做好漏洞加固工作后方可恢复网络连接。

  • 已经感染终端,根据终端数据重要性决定处置方式,如果重新安装系统则建议完全格式化硬盘、使用全新操作系统、完善操作系统补丁、安装防病毒软件并通过检查确认无相关漏洞后再恢复网络连接。


对于未感染的系统

注意:以下操作有先后顺序,请逐步开展

 

  • [*非常重要*] 拔掉网线之后再开机启动

  • 做好重要文件的备份工作(最好备份到存储介质中)

  • 开启系统防火墙,并设置阻止向445端口进行连接,可以使用以下命令开展:


方法一:

echo "请务必以管理员身份运行"

netsh firewall set opmode enable

netsh advfirewall firewall add rule name="deny445" dir=in protocol=tcp localport=445 action=block

 

方法二:

Windows 32位关闭445端口批处理(bat):

 

REG ADD HKLM\SYSTEM\CurrentControlSet\services\NetBT\Parameters /v SMBDeviceEnabled /T REG_DWORD /D 0 /F&&sc  config LanmanServer start= disabled&&net stop lanmanserver /y

 

Windows x64位关闭445端口批处理(bat):

 

REG ADD HKLM\SYSTEM\CurrentControlSet\services\NetBT\Parameters /v SMBDeviceEnabled /T REG_QWORD /D 0 /F&&sc  config LanmanServer start= disabled&&net stop lanmanserver /y

 

新建文本文档,然后复制以上脚本内容,另存为【.bat】格式的文件,并右键【管理员运行】,待CMD对话框消失后,重启电脑即可。

 

  • 如无必需,建议关闭SMB共享服务

  • 打开系统自动更新,并检测系统补丁进行安装,如果是内网环境可以采用离线补丁方式更新

  • 安装杀毒软件并升级病毒库;

  • 增强个人主机病毒防范意识,不随意打开位置来源的文件,关闭移动存储自动播放功能等


网络层防护

边界交换机、路由器、防火墙等设备禁止双向135/137/139/445端口的TCP连接


内网核心主干交换路由设备禁止双向135/137/139/445端口的TCP连接


更新入侵防御、入侵检测、APT等安全设备漏洞库,开启防御策略


 

离线补丁下载地址

Security Update for Windows XP SP3 (KB4012598)

http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-chs_dca9b5adddad778cfd4b7349ff54b51677f36775.exe

 

Security Update for Windows Server 2003 (KB4012598)

http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-chs_b45d2d8c83583053d37b20edf5f041ecede54b80.exe

 

Security Update for Windows Server 2003 for x64 Systems (KB4012598)

http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-chs_68a2895db36e911af59c2ee133baee8de11316b9.exe

 

Security Update for Windows 7 (KB4012212)

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu

 

Security Update for Windows 7 x64 (KB4012212)

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu

 

Security Update for Windows Server 2008 R2 x64 (KB4012212)

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu

 

Security Update for Windows10 (KB4012606)

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x86_8c19e23de2ff92919d3fac069619e4a8e8d3492e.msu

 

Security Update for Windows10 x64 (KB4012606)

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x64_e805b81ee08c3bb0a8ab2c5ce6be5b35127f8773.msu

 

安恒信息“永恒之蓝”勒索病毒应急包汇总:

http://www.dbappsecurity.com.cn/%E5%AE%89%E6%81%92%E4%BF%A1%E6%81%AF%E5%85%B3%E4%BA%8E%E6%9C%80%E6%96%B0%E5%8B%92%E7%B4%A2%E7%97%85%E6%AF%92%E5%AE%89%E5%85%A8%E5%A4%84%E7%BD%AE%E5%B7%A5%E5%85%B7%E9%9B%86.rar

 转载自阿里云合作伙伴“安恒信息”

相关文章
|
1月前
|
SQL 安全 算法
网络安全的盾牌与剑:漏洞防御与加密技术的实战应用
【9月更文挑战第30天】在数字时代的浪潮中,网络安全成为守护信息资产的关键防线。本文深入浅出地探讨了网络安全中的两大核心议题——安全漏洞与加密技术,并辅以实例和代码演示,旨在提升公众的安全意识和技术防护能力。
|
3月前
|
SQL 安全 算法
网络安全的盾牌与剑:漏洞防御与加密技术的深度剖析
【8月更文挑战第27天】在数字世界的海洋中,网络安全是航行者不可或缺的罗盘和船锚。本文将深入探索网络安全的两大支柱——防御漏洞和加密技术,揭示它们如何成为保护信息安全的关键。通过分析最新的安全威胁、探讨加密算法的原理,以及提升个人和组织的网络安全意识,我们旨在为读者提供一套实用的网络安全策略。无论你是IT专家还是日常互联网用户,这篇文章都将为你的安全之旅指引方向。
|
6月前
|
SQL 安全 测试技术
渗透测试基础之永恒之蓝漏洞复现
对于当下来说我们使用的电脑大多是win11或是win10,还是有很多政府和公司,或是学校中使用的系统还停留在win7系统.今天是我进行渗透测试的第一次实战,通过永恒之蓝漏洞利用对win7系统进行渗透,当然也会对渗透测试的流程进行一个详细的介绍.,渗透测试的流程信息较为详细,内容较多,如果想看实战流程,直接通过通过这次的渗透测试,虽然不是对web间进行渗透测试,但是通过实战能够使我能够熟悉渗透测试的流程,当然在实践过程中也出现了很多问题,例如从kali上传文件到win主机路径出现问题,配置攻击模块时将ip地址设置错误,但在我不断的思考和尝试下,最终解决了问题,对于我的解决问题的能力也是一种提升.
340 3
|
Web App开发 开发框架 安全
网络安全实验四 熊猫烧香病毒剖析
网络安全实验四 熊猫烧香病毒剖析
255 0
|
监控 安全 程序员
勒索病毒不算啥,这种计算机病毒一直在受国家监控!
计算机病毒的历史可以划分为三个时代:DOS时代、PC时代和互联网时代。
701 0
勒索病毒不算啥,这种计算机病毒一直在受国家监控!
|
SQL 安全
艾伟_转载:预防SQL注入攻击之我见
  SQL注入攻击的本质:让客户端传递过去的字符串变成SQL语句,而且能够被执行。  每个程序员都必须肩负起防止SQL注入攻击的责任。  说起防止SQL注入攻击,感觉很郁闷,这么多年了大家一直在讨论,也一直在争论,可是到了现在似乎还是没有定论。
1207 0
|
安全 数据安全/隐私保护 Windows
|
Web App开发 安全 数据安全/隐私保护
|
安全 数据安全/隐私保护 Windows