关于大型机构防范永恒之蓝勒索蠕虫攻击的建议-360企业安全.PDF

关于大型机构防范 “永恒之蓝”勒索蠕虫攻击的建议 2017 年 05 月 13 日 1 遭受攻击信息 2017 年5 月12 日起，在国内外网络中发现爆发基于Windows 网络共享协议 进行攻击传播的蠕虫恶意代码，这是不法分子通过改造之前泄露的 NSA 黑客武 器库中“永恒之蓝”攻击程序发起的网络攻击事件。 目前发现的蠕虫会扫描开放445 文件共享端口的Windows 机器，无需用户任 何操作，只要开机上网，不法分子就能在电脑和服务器中植入执行勒索程序、远 程控制木马、虚拟货币挖矿机等恶意程序。 此蠕虫目前在没有对445 端口进行严格访问控制的机构、企业内网、高校等 单位大量传播，呈现爆发的态势，受感染系统会被勒索高额金钱，不能按时支付 赎金的系统会被销毁数据造成严重损失。该蠕虫攻击事件已经造成非常严重的现 实危害，各类规模的企业内网也已经面临此类威胁。 360 安全监测与响应中心对此事件的风险评级为：危急。 前情提要：北京时间2017 年4 月14 日晚，一大批新的NSA 相关网络攻击工 具及文档被Shadow Brokers 组织公布，其中包含了涉及多个Windows 系统服务 （SMB、RDP、IIS）的远程命令执行工具。 第 2 页 共 11 页 2 确认影响范围 建议首先确认影响范围，主要工作包括： 1) 网络边界：扫描内网，发现所有开放445 SMB 服务端口的终端和服务器， 对于Win7 及以上版本的系统确认是否安装了 MS17-010 补丁，如没有安装则受 威胁影响。Win7 以下的Windows XP/2003 目前没有补丁，只要开启SMB 服务就 受影响。 2) 网关设备：查看网关设备的IOC _IP 连接情况，确认感染范围。 3) DNS 流量：查看DNS_IOC 请求情况，确认内网感染范围。 4) 安全设备：监测所有对445 端口的扫描事件。 第 3 页 共 11 页 3 紧急抑制方法 大型机构针对永恒之蓝勒索蠕虫的应急防范措施，应从 DMZ 非军事化隔离 区、生产区域、办公区域、互联网边界的网络和终端层面全面做好紧急抑制工作。 大型机构具有网络庞大、接入方式复杂、设备数量众多、敏感数据多、业务 连续性要求高等特点，尤其是生产系统的可用性和可靠性要求极高，出现安全事 件的负面影响很大。为切实避免“永恒之蓝”勒索蠕虫对业务系统和办公终端带 来影响，建议通过集中管控的方式对防护策略进行统一下发和管理。 3.1 DMZ 非军事化隔离区  网络层面 强烈建议网络管理员在网络边界的防火墙上阻断445 端口的访问，如果边界 上有IPS 和360 天堤智慧防火墙之类的设备，请升级设备的检测规则到最新版本 并设置相应漏洞攻击的阻断，直到确认网内的电脑已经安装了MS17-010 补丁或 关闭了Server 服务。  主机层面 1) 暂时关闭Server 服务：在命令行下输入netstat –an 命令，查看结果中是 否还有445 端口 （如下图所示）。 第 4 页 共 11 页 如果发现445 端口开放，需要关闭Server 服务（Win7 系统：点击 开始 按 钮，在搜索框中输入 cmd ，右键点击菜单上面出现的cmd 图标，选择 以管理 员身份运行，在出来的cmd 窗口中执行 “net stop server”命令，出现“server 服 务已成功停止”提示即可）。 2) 升级网内的电脑，安装 MS17-010 补丁。补丁下载地址： /zh-cn/library/security/ms17-010.asp x 3) 安装敲诈者病毒免疫工具。目前360 企业安全天擎团队已经开发一个系 统免疫工具，程序在电脑上运行以后，现有蠕虫将不会感染系统。请到 如下地址下载：/surl_yZ3RsYgQuvu （提取码：