“永恒之蓝”事件终端自查公告

titan栋
0 ℃
2020-09-15

整理文档很辛苦，赏杯茶钱您下走！

还剩 ... 页未读，继续阅读 >>

免费阅读已结束，点击下载阅读编辑剩下 ... 页

阅读已结束，您可以下载文档离线阅读编辑

资源描述

2017年05月14日“永恒之蓝”事件终端自查手册北京启明星辰信息安全技术有限公司2目录一.事件概述...............................................................................................................................................3二.事件分析...............................................................................................................................................32.1影响范围.......................................................................................................................................32.2影响效果.......................................................................................................................................3三.核心结论...............................................................................................................................................5四.解决方案...............................................................................................................................................64.1终端自查应急方案.......................................................................................................................64.1.1未检测到病毒的windows系统主机处置........................................................................................74.1.2蓝屏重启的windows主机处置.....................................................................................................104.1.3已中招尚未运行勒索软件的windows主机处置..........................................................................104.1.4已经感染终端应急解决方案..........................................................................................................11五.终端侧防护操作指导手册.................................................................................................................125.1利用本地防火墙阻挡防护（图形）.........................................................................................125.1.1Win7、Win8、Win10的处理流程..................................................................................................125.1.2XP系统的处理流程..........................................................................................................................165.2添加防火墙策略入站出站防护规则（CMD）........................................................................173一.事件概述北京时间2017年5月12日，全球爆发大规模勒索软件感染事件，截止到目前，全球已有至少100多个国家和地区的上万台电脑受到感染，我国是此次蠕虫事件受感染的重灾区。目前，我国已有多个行业企业内网大规模受到感染，教育网受损尤为严重。经过分析，这是一起勒索软件与高危漏洞相结合的恶性蠕虫传播事件，其严重性不亚于当年的“冲击波”、“震荡波”病毒。勒索软件为最新的“wannacry”的家族，目前尚无法对加密后的文件进行解密，中招后只能重装系统或向黑客支付赎金解决。此次“wannacry”勒索蠕虫疯狂传播的原因是借助了前不久泄露的EquationGroup（方程式组织）的“EternalBlue（永恒之蓝）”漏洞利用工具的代码。该工具利用了微软今年3月份修补的MS17-010SMB协议远程代码执行漏洞，该漏洞可影响主流的绝大部分Windows操作系统版本。二.事件分析2.1影响范围MS17-010漏洞主要影响以下操作系统：Windows2000，Windows2003，WindowsXP，WindowsVista，Windows7，Windows8，Windows10，Windows2008，Windows2012。由于EternalBlue的利用代码主要针对WindowsXP以及Windows7，2008，因此此次事件对于WindowsXP、Windows7，Windows2008的影响更为严重。上述Win7及以上操作系统只要打开了445端口且没有安装MS17-010的机器则确认会受到影响。注：以下设备不受影响安卓手机，iOS设备，MacOS设备，*nix设备、Win10用户如果已经开启自动更新不受影响。2.2影响效果当系统被该勒索软件入侵后，会弹出以下勒索对话框：4该勒索软件采用包括英语、简体中文、繁体中文等28种语言进行“本地化”。会将自身复制到每个文件夹下，并重命名为“@WanaDecryptor@.exe”。同时衍生大量语言配置等文件，该勒索软件AES和RSA加密算法，加密的文件以“WANACRY!”开头，加密如下后缀名的文件：5该勒索软件属于勒索蠕虫型病毒，其利用了MS17-010漏洞进行传播，一旦某台电脑中招，相邻的存在漏洞的网络主机都会被其主动攻击，整个网络都可能被感染该蠕虫病毒，受害感染主机数据最终将呈几何性增长。如果受害者未按病毒作者要求的三日内支付相应的比特币，一周后将永久无法解密已加密的文件。三.核心结论勒索攻击名为“wannacry、ONION、Wncry”是早前披露NSA黑客武器库泄漏的“永恒之蓝”发起的攻击事件，目前无法解密该勒索软件加密的文件。磁盘感染后，文件会被加密为.onion后缀，只有支付高额赎金才能解密恢复文件，对重要数据造成严重损失。攻击行为会扫描开放445文件共享端口的Windows机器，无需用户任何操作，只要开机上网，攻击者就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。由于以前国内多次爆发利用445端口传播的蠕虫，部分运营商在主干网络上封禁了445端口，但是教育网并没有此限制，仍然存在大量暴露445端口且存在漏洞的电脑，导致目前此蠕虫在教育网内大量传播，大概量级是每天5000个用户中招。该勒索攻击迅速感染的原因是利用了基于445端口传播扩散的“SMB漏洞MS17-101”，微软在今年3月份发布了该漏洞的补丁，补丁链接下：防护的有效性最终会体现在与攻击者的对抗过程，尽管这次事件带来的损失可能十分惨痛，但能够警醒所有信息管理者，这种后果严重的大规模灾难本质上是一种浅层次风险造成的后果，相对更为深度、隐蔽风险，这些浅层次风险有效完善纵深防御体系和执行能力更是日常信息安全工作的重中之重。6四.解决方案4.1终端自查应急方案确认电脑是否中招上班开电脑之前，现将自己使用的所有电脑隔离网络（拔掉网线）。再开机。准备好本次终端自查所需要的文件。文件可以从：按照需要下载根据现有案例发现该病毒会导致三种情况第一种是蓝屏重启。第二种是已被勒索，这两种是最直观的表现。第三种为已中招但还没有运行勒索软件的，该范围内的主机比例巨大。(一)方式一7针对第三种，可使用netstat–ano查看主机端口进程列表如下可确认已被植入病毒：CMD命令行下查看445服务端口开启状态方法：正常情况：非正常情况：可以看到本机发送SYN连接至大量服务器的445端口可确认中招。(二)方式二使用各个网络安全厂商的勒索病毒专杀工具：4.1.1未检测到病毒的windows系统主机处置(一)Step1更新MS17-010补丁。根据自己的操作系统选择对应的操作系统补丁更新包下载。更新完后重启电脑。8(二)Step2添加防护规则添加阻止所有到本地的135、137、138、139、445端口的入站规则。规则设置有两种方式，一种通过网盘的链接下载脚本执行。另一种根据第五章手工执行。网盘方式：推荐123不一定凑效。可以通过netstat–ano|findstr445确认。PS:网盘中的端口及补丁一键修复可以完成445端口加固及补丁修复功能。9(三)Step3修复补丁及关闭漏洞后，需要用验证工具检查策略是否生效。可以用网盘中的漏洞验证工具验证，任选其一。如下图104.1.2蓝屏重启的windows主机处置蓝屏重启是由于被网络内某主机持续执行MS17-010攻击导致。隔离网络后可正常启动，然后更新MS17-010补丁或添加添加阻止所有到本地的135、137、138、139、445端口的入站规则。具体操作请参阅4.1.1章节未检测到病毒的windows系统主机处置。4.1.3已中招尚未运行勒索软件的windows主机处置通过netsatat-ano记录445连接的进程PID，打开任务管理器PID列显示：通过任务管理器或cmd的tasklist中进程的PID定位到445对应的进程，通过进程定位到病毒文件位置，示例如下：11如图可定位到主机C盘windows目录存在病毒文件mssecsvc，结束此进程并删除该文件。然后更新MS-17010补丁或添加阻止所有到本地的135、137、138、139、445端口的入站规则以及添加阻止本地到所有的135、137、138、139、445端口的出站规则。具体操作请参阅4.1.1章节未检测到病毒的windows系统主机处置。4.1.4已经感染终端应急解决方案断开网络连接，阻止进一步扩散。优先检查未感染主机的漏洞状况，做好漏洞加固工作后方可恢复网络连接。已经感染终端，根据终端数据类型决定处置方式:1)如果重新安装系统则建议完全格式化硬盘、使用新操作系统、完善操作系统补丁、通过检查确认无相关漏洞后再恢复网络连接。2)可以在断开网络后，