“永恒之蓝”勒索病毒安全事件应急指导手册(附工具包)

相关说明

北京时间2017年05月12日,安恒信息监测到黑客利用NSA黑客武器库泄漏的“永恒之蓝”工具发起的网络攻击事件:大量服务器和个人PC感染病毒后被远程控制,成为不法分子的比特币挖矿机(挖矿会耗费大量计算资源,导致机器性能降低),甚至被安装勒索软件,磁盘文件会被病毒加密为.onion或者.WNCRY后缀,用户只有支付高额赎金后才能解密恢复文件,对个人及企业重要文件数据造成严重损失。受感染图片如下所示:

“EternalBlue”工具利用的是微软Windows操作系统的SMBv1协议中的安全漏洞。未经身份验证的攻击者可以向目标机器发送特制报文触发缓冲区溢出,导致在目标机器上远程执行任意代码。“永恒之蓝”工具会扫描开放445文件共享端口的Windows机器,只要用户开机上网,黑客就可能在电脑和服务器中植入勒索软件。

之前国内曾多次爆发利用445端口传播的蠕虫,运营商对个人用户封掉此端口;但国内特定行业的网络无此限制,存在大量暴露445端口的机器,因此也成为了此次感染事件的重灾区,已经有大量该行业网络的用户报告个人PC被安装了勒索软件。此外,根据国外媒体的报道,目前英国、美国、俄罗斯、西班牙、意大利、越南、中国台湾等国家和地区也出现了被感染的情况。

影响范围

MS17-010漏洞主要影响以下操作系统:

桌面版本操作系统:

Windows 2000

Windows XP

Windows Vista

Windows7

Windows8

Windows8.1

Windows10

服务器版本操作系统:

Windows Server 2000

Windows Server 2003

Windows Server 2008

Windows Server 2012

Windows Server 2016

检测方法

由于“EternalBlue”的利用代码主要针对Windows XP、Windows7、Windows Server 2008等,这些版本的操作系统占桌面、服务器操作系统的大部分,因此此次事件对于Windows的影响非常严重。

检测方法只需检测受影响的Windows操作系统版本只要打开了445端口、且没有安装MS17-010的机器则确认会受到影响。

检测是否对外监听445端口,可以采用Telnet方式,也可以使用专业的端口扫描工具,如下所示:

1)Telnet命令:telnet [ip 地址] 445

▲ 用Telnet检测到主机开放445端口

2)端口扫描方法:

# nmap -sS -p 445 -vv 192.168.1.1/24

或者使用其他端口扫描工具

例如:Softperfect Network Scanner

配置扫描端口为445

3)使用Nmap进行网络端口扫描:

# nmap -sS -p 445 -vv 192.168.47.1/24

▲ Nmap扫描445端口(SYN扫描速度快)

4. 检测系统安装更新情况

通过检查系统的更新情况可以知晓系统是否已经针对MS17-010安装过安全补丁,检查方法为 “控制面板”->“程序和功能”->“已安装更新”(相关布丁编号见https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx )

▲ Windows7系统安全更新情况(上图未安装)

问:我的主机没有监听445端口是不是就说明系统是没有问题的?

答:目前勒索病毒“永恒之蓝”的感染途径为网络445端口,所以阻断445端口通信可以防止来自网络的感染行为,但是系统仍然是不安全的,因为相关安全补丁还未及时更新,安恒信息专家建议做好网络防护后做好相关补丁更新工作。

问:我的网络中部署安恒信息专业APT预警平台,是否能够对相关病毒攻击行为进行审计告警?

答:明鉴APT预警平台在3月已经针对MS17-010的攻击开发了专业攻击预警策略,能够第一时间审计相关攻击行为,最快发现攻击来源及攻击目标,并及时发出告警,保障系统针对“永恒之蓝”病毒爆发、MS17-010攻击的告警。

应急处置

对于已经感染的系统

  • 断开已经感染的主机系统的网络连接,防止进一步扩散;
  • 优先检查未感染主机的漏洞状况,做好漏洞加固工作后方可恢复网络连接。
  • 已经感染终端,根据终端数据重要性决定处置方式,如果重新安装系统则建议完全格式化硬盘、使用全新操作系统、完善操作系统补丁、安装防病毒软件并通过检查确认无相关漏洞后再恢复网络连接。

对于未感染的系统

注意:以下操作有先后顺序,请逐步开展

  • [*非常重要*] 拔掉网线之后再开机启动
  • 做好重要文件的备份工作(最好备份到存储介质中)
  • 开启系统防火墙,并设置阻止向445端口进行连接,可以使用以下命令开展:

方法一:

echo "请务必以管理员身份运行"

netsh firewall set opmode enable

netsh advfirewall firewall add rule name="deny445" dir=in protocol=tcp localport=445 action=block

方法二:

Windows 32位关闭445端口批处理(bat):

REG ADD HKLM\SYSTEM\CurrentControlSet\services\NetBT\Parameters /v SMBDeviceEnabled /T REG_DWORD /D 0 /F&&sc config LanmanServer start= disabled&&net stop lanmanserver /y

Windows x64位关闭445端口批处理(bat):

REG ADD HKLM\SYSTEM\CurrentControlSet\services\NetBT\Parameters /v SMBDeviceEnabled /T REG_QWORD /D 0 /F&&sc config LanmanServer start= disabled&&net stop lanmanserver /y

新建文本文档,然后复制以上脚本内容,另存为【.bat】格式的文件,并右键【管理员运行】,待CMD对话框消失后,重启电脑即可。

  • 如无必需,建议关闭SMB共享服务
  • 打开系统自动更新,并检测系统补丁进行安装,如果是内网环境可以采用离线补丁方式更新
  • 安装杀毒软件并升级病毒库;
  • 增强个人主机病毒防范意识,不随意打开位置来源的文件,关闭移动存储自动播放功能等

网络层防护

边界交换机、路由器、防火墙等设备禁止双向135/137/139/445端口的TCP连接

内网核心主干交换路由设备禁止双向135/137/139/445端口的TCP连接

更新入侵防御、入侵检测、APT等安全设备漏洞库,开启防御策略

离线补丁下载地址

Security Update for Windows XP SP3 (KB4012598)

http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-chs_dca9b5adddad778cfd4b7349ff54b51677f36775.exe

Security Update for Windows Server 2003 (KB4012598)

http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-chs_b45d2d8c83583053d37b20edf5f041ecede54b80.exe

Security Update for Windows Server 2003 for x64 Systems (KB4012598)

http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-chs_68a2895db36e911af59c2ee133baee8de11316b9.exe

Security Update for Windows 7 (KB4012212)

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu

Security Update for Windows 7 x64 (KB4012212)

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu

Security Update for Windows Server 2008 R2 x64 (KB4012212)

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu

Security Update for Windows10 (KB4012606)

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x86_8c19e23de2ff92919d3fac069619e4a8e8d3492e.msu

Security Update for Windows10 x64 (KB4012606)

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x64_e805b81ee08c3bb0a8ab2c5ce6be5b35127f8773.msu

安恒信息“永恒之蓝”勒索病毒应急包汇总:

http://www.dbappsecurity.com.cn/%E5%AE%89%E6%81%92%E4%BF%A1%E6%81%AF%E5%85%B3%E4%BA%8E%E6%9C%80%E6%96%B0%E5%8B%92%E7%B4%A2%E7%97%85%E6%AF%92%E5%AE%89%E5%85%A8%E5%A4%84%E7%BD%AE%E5%B7%A5%E5%85%B7%E9%9B%86.rar

原文发布于微信公众号 - 安恒信息(DBAPP2013)

原文发表时间:2017-05-15

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏QQ音乐技术团队的专栏

Android Wear 开发初探

Android Wear从2014年3月发布到现在已经从1.0发展到2.0(目前还没正式发布)。其产品定位也发化了巨大变化,因为Android Wear 1.0...

5019
来自专栏信安之路

模拟挖矿黑客攻击过程

眨眼间,2018 年的上半年就这样飞逝而过,在上半年的工作中,接触最常规的安全事件就是服务器或者办公主机被远控作为肉鸡挖矿来获取利益或者对其它网站进行 DDoS...

2440
来自专栏FreeBuf

Palo Alto Networks:新型恶意软件家族Reaver与SunOrcal存在一定联系

概要 Unit 42安全小组已经发现了一种新的恶意软件家族,并将其命名为“Reaver”。研究人员表示,这一新型恶意软件与在2016年针对中国台湾地区的黑客攻击...

2555
来自专栏blackpiglet

Discourse 搭建

Discourse 是由 Stack Overflow 创始人之一的 Jeff Atwood 主导的开源论坛项目,使用时能感受到和 Stack Overflow...

3292
来自专栏玄魂工作室

【翻译】旧技术成就新勒索软件,Petya添加蠕虫特性

原文链接:https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-tech...

2856
来自专栏FreeBuf

漫谈攻击链:从WebShell到域控的奇妙之旅

做渗透测试时遇到的域环境经常就是要么太复杂我们搞不定,要么太简单进去就拿到域控没啥意思,这些显然都无法满足我们实践已掌握知识的刚需。同时为了给我们道格安全技术小...

2205
来自专栏FreeBuf

从某电商钓鱼事件探索黑客“一站式服务”

深信服EDR安全团队,整理分析了一起某电商钓鱼事件,通过关联信息,发现背后可能存在一个“产业链齐全”的黑客团伙,研究发现其具备“一站式服务”的黑客攻击手段。

1383
来自专栏www.96php.cn

thinkphp整合系列之微信扫码支付

thinkphp整合系列之微信扫码支付 一:导入sdk /ThinkPHP/Library/Vendor/Weixinpay 鹅厂的sdk那酸爽谁用谁知道;...

4459
来自专栏FreeBuf

攻击中东欧的间谍工具集

图1 在过去的一年里,ESET检测并分析了若干有针对性的进行间谍活动的恶意软件,被称作SBDH工具集。它使用了强大的过滤器,多种通信方式以及非常有意思的驻留技术...

22810
来自专栏安恒信息

以银行为目标的Office 0day漏洞利用木马分析

步骤分析 近日,国外安全厂商McAfee和FireEye发现了一个针对银行的木马,该木马利用了一个Office零日漏洞发起攻击,危害性非常高,经过安恒研究院分析...

3497

扫码关注云+社区

领取腾讯云代金券