域名預(yù)訂/競(jìng)價(jià)，好“米”不錯(cuò)過(guò)

一、背景

北京時(shí)間2017年5月12日全球爆發(fā)大規(guī)模勒索軟件攻擊，勒索病毒結(jié)合了蠕蟲(chóng)的方式進(jìn)行傳播，傳播方式采用了前不久NSA被泄漏出來(lái)的MS17-010漏洞。在NSA泄漏的文件中，WannaCry傳播方式的漏洞利用代碼被稱為“EternalBlue”，所以也有的報(bào)道稱此次攻擊為“永恒之藍(lán)”，漏洞軟件名稱為“Wannacry”，攻擊者利用該漏洞，向用戶機(jī)器的445端口發(fā)送精心設(shè)計(jì)的包文，實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。

據(jù)知道創(chuàng)宇404實(shí)驗(yàn)室分析確認(rèn)，這一新型蠕蟲(chóng)勒索病毒正是利用了4月14日影子經(jīng)紀(jì)人曝光的美國(guó)國(guó)家安全局使用的網(wǎng)絡(luò)攻擊工具，不明黑客組織利用改良后的 SMB遠(yuǎn)程命令執(zhí)行工具實(shí)施感染。雖然微軟已經(jīng)推出相關(guān)修復(fù)補(bǔ)丁(MS17-101)，但仍有大量主機(jī)特別是內(nèi)網(wǎng)主機(jī)并未完成補(bǔ)丁升級(jí)，造成了這些新型蠕蟲(chóng)勒索病毒的不斷擴(kuò)散。

二、事件分析

2017年4月14日黑客組織 Shadow Brokers(影子經(jīng)紀(jì)人)公布Equation Group(方程式組織)的文件中首次出現(xiàn)MS17-010漏洞，該漏洞是利用Windows的445端口的SMB服務(wù)進(jìn)行攻擊，該漏洞級(jí)別屬于高危(遠(yuǎn)程溢出漏洞)。

2017年5月12日爆發(fā)針對(duì)此漏洞的大規(guī)模勒索軟件”Wanacry”，該勒索軟件截圖如下：

勒索病毒被漏洞遠(yuǎn)程執(zhí)行后，會(huì)從資源文件夾下釋放一個(gè)壓縮包，此壓縮包會(huì)在內(nèi)存中通過(guò)密碼：Ncry@2ol7 解密并釋放文件。該勒索軟件會(huì)將系統(tǒng)內(nèi)所有軟件進(jìn)行加密，需要用戶繳納不低于300美元的比特幣才能解密。

這些文件包含了后續(xù)彈出勒索框的exe，桌面背景圖片的bmp，包含各國(guó)語(yǔ)言的勒索字體，還有輔助攻擊的兩個(gè)exe文件。這些文件會(huì)釋放到了本地目錄，并設(shè)置為隱藏。勒索軟件會(huì)將系統(tǒng)中的所有照片、圖片、文檔、壓縮包、音頻、視頻、可執(zhí)行程序等幾乎所有類型的文件進(jìn)行加密，且被加密的文件后綴名被統(tǒng)一修改為“.WNCRY”。

三、臨時(shí)解決方案

● 開(kāi)啟系統(tǒng)防火墻

● 利用系統(tǒng)防火墻高級(jí)設(shè)置阻止向 445 端口進(jìn)行連接(該操作會(huì)影響使用445 端口的服務(wù))

● 打開(kāi)系統(tǒng)自動(dòng)更新，并檢測(cè)更新進(jìn)行安裝

有話提前說(shuō)：

本次勒索軟件爆發(fā)的時(shí)間點(diǎn)剛好處于我國(guó)周末，如發(fā)生在工作日期間，其蔓延速度恐怕會(huì)更加恐怖，所以對(duì)于網(wǎng)絡(luò)運(yùn)維人員來(lái)講，周一(明天)最重要的工作就是對(duì)網(wǎng)絡(luò)范圍內(nèi)的所有主機(jī)進(jìn)行妥善的檢測(cè)與修復(fù)工作。

做到以下幾點(diǎn)會(huì)對(duì)你非常有幫助：

● 檢測(cè)與修復(fù)之前有必要做全面斷網(wǎng)處理;如對(duì)外主機(jī)不確定是否已經(jīng)感染，內(nèi)網(wǎng)主機(jī)應(yīng)做脫離工作。

● 事先做好重要數(shù)據(jù)的備份工作。

(一) 針對(duì)win7、win8、win10操作步驟

1、打開(kāi)控制面板-系統(tǒng)與安全-Windows防火墻，點(diǎn)擊左側(cè)啟動(dòng)或關(guān)閉Windows防火墻。

選擇啟用防火墻

2、過(guò)濾445端口

(1)選擇高級(jí)設(shè)置

(2)選擇入站規(guī)則

(3)選擇右邊的新建規(guī)則

(4)選擇端口

(5)選擇TCP協(xié)議，本地特定端口445

(6)選擇阻止連接

(7)選擇所有規(guī)則

(8)名稱隨便填寫，然后選擇啟用

(二)針對(duì)XP系統(tǒng)

1、打開(kāi)防火墻

依次打開(kāi)控制面板-Windows防火墻，選擇啟用防火墻

2、關(guān)閉smb服務(wù)

依次點(diǎn)擊開(kāi)始-運(yùn)行-輸入cmd，然后依次輸入以下幾條命令

net stop rdr

net stop srv

net stop netbt

(三)通用解決方案

微軟官方補(bǔ)丁地址：(優(yōu)先在線更新，如暫停支持請(qǐng)與支持列表中手動(dòng)下載更新)

重要：在線更新需確認(rèn)已經(jīng)實(shí)施445端口過(guò)濾，手動(dòng)更新請(qǐng)與安全網(wǎng)絡(luò)環(huán)境下下載更新包，主機(jī)斷網(wǎng)后執(zhí)行更新補(bǔ)丁)

四、檢測(cè)方案

建議采用知道創(chuàng)宇自研發(fā)的雷達(dá)系統(tǒng)和云圖大數(shù)據(jù)威脅系統(tǒng)進(jìn)行該漏洞的掃描探測(cè)和勒索軟件的探測(cè)服務(wù)。

(一)資源漏洞掃描服務(wù)

知道創(chuàng)宇“雷達(dá)“產(chǎn)品是一個(gè)檢索網(wǎng)絡(luò)空間節(jié)點(diǎn)的搜索引擎。通過(guò)后端的分布式爬蟲(chóng)引擎對(duì)全球節(jié)點(diǎn)的分析，對(duì)每個(gè)節(jié)點(diǎn)的所擁有的特征進(jìn)行判別，從而獲得設(shè)備類型、固件版本、分布地點(diǎn)、開(kāi)放端口服務(wù)等。

借助后臺(tái)強(qiáng)大的搜索引擎和設(shè)備指紋技術(shù)，資源測(cè)繪服務(wù)能夠達(dá)到B類網(wǎng)段800秒的急速探測(cè)。并依靠3萬(wàn)余種資源和15萬(wàn)個(gè)版本信息的匹配，達(dá)到對(duì)現(xiàn)有幾乎所有資源的精準(zhǔn)識(shí)別。

同時(shí)通過(guò)“雷達(dá)“與知道創(chuàng)宇Seebug漏洞庫(kù)的聯(lián)動(dòng)，可以實(shí)現(xiàn)漏洞預(yù)警能力。Seebug漏洞庫(kù)會(huì)將最新漏洞推送到預(yù)警服務(wù)中，由預(yù)警服務(wù)向用戶報(bào)警，用戶也可通過(guò)Seebug獲得漏洞細(xì)節(jié)，并及時(shí)對(duì)該漏洞進(jìn)行修補(bǔ)和防護(hù)。

(二)云圖檢測(cè)系統(tǒng)

同時(shí)還可以通過(guò)知道創(chuàng)宇云圖態(tài)勢(shì)感知系統(tǒng)進(jìn)行分析檢測(cè)，該系統(tǒng)采用機(jī)器學(xué)習(xí)及全面沙箱分析與入侵指標(biāo)(IOC)確認(rèn)技術(shù)，通過(guò)BDE行為檢測(cè)引擎及SDE規(guī)則檢測(cè)引擎實(shí)時(shí)分析網(wǎng)絡(luò)流量，可深度監(jiān)控鏈接所有可疑活動(dòng)。

云圖擁有以下幾大功能：

云圖最終通過(guò)在沙箱(Sandbox)中運(yùn)行(行為激活/內(nèi)容“引爆”)各種文件和內(nèi)容的功能，并觀察虛擬機(jī)中的一些入侵指標(biāo)，識(shí)別出未知威脅，以便進(jìn)一步采取相關(guān)措施，能夠極速探測(cè)出用戶資產(chǎn)中是否存在該勒索病毒或其它APT攻擊。

云圖檢測(cè)出該勒索軟件的截圖如下：

(三)漏洞檢測(cè)工具自檢

針對(duì) MS17-010 漏洞，知道創(chuàng)宇404安全團(tuán)隊(duì)現(xiàn)對(duì)外公布了相關(guān)的漏洞檢測(cè)工具，安全運(yùn)維人員可自行下載使用。

漏洞檢測(cè)工具下載地址：

該檢測(cè)工具可由網(wǎng)絡(luò)管理人員于cmd中執(zhí)行檢測(cè)目標(biāo)ip主機(jī)是否受MS17-010 漏洞影響，Win7系統(tǒng)可直接下載執(zhí)行文件進(jìn)行檢測(cè)，其它版本系統(tǒng)如不能正常檢測(cè)，請(qǐng)自行安裝 Python 運(yùn)行環(huán)境。

附. Windows 環(huán)境下 Python安裝教程：

首先，從Python的官方網(wǎng)站python.org下載最新的2.7版本，網(wǎng)速慢的同學(xué)請(qǐng)移步國(guó)內(nèi)鏡像。

下載地址為：

然后，運(yùn)行下載的MSI安裝包，在選擇安裝組件的一步時(shí)，勾上所有的組件：

特別要注意選上pip和Add python.exe to Path，然后一路點(diǎn)“Next”即可完成安裝。

申請(qǐng)創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！