巧设“蜜罐”，定位蓝屏攻击源

不过在问题的处理上，我们常见的作法是对所有的电脑进行打补丁、封端口和安装专业企业版杀毒软件，问题倒是得到了有效的解决，但对于一些客户尤其是大型客户，这样的操作虽然能彻底解决问题，并不能迅速定位和解决问题，如果能快速定位攻击源，并对这些中毒的电脑进行优先处理，那么无疑会大大降低这次攻击所带来的危害。

下面是我今天处理的一个用户的例子，希望能为大家提供一个解决问题的思路：

情况描述：某单位从昨天开始，收款机的服务器开始出现蓝屏重启的现象，开始以为是硬件故障，于是晚上做了一些处理，如主板除尘、内存条插拔、CPU降温等措施，结果今天又频繁蓝屏，大约十几分钟就要蓝屏一次，频繁的蓝屏导致收款业务受到严重影响。用户怀疑可能是病毒原因，于是联系到了我。

问题分析：根据症状描述，结合最近在其他单位遇到的同样问题，可以初步判定为局域网内存在ShadowBrokers病毒，该病毒利用微软的MS17-010漏洞，通过UDP协议攻击局域网内的其他机器的445端口，如果网络内的电脑没有安装补丁，就会出现频繁的重启现象（该病毒和攻击的详细情况，参看《小心，一大波病毒来袭！！》）。因为该服务器为WINDOWS2000 SERVER操作系统，该系统早已不在微软的服务支持列表中，因此也没有发布针对该系统的补丁程序，导致该服务器频繁重启。

解决办法：要彻底解决这次攻击带来的危害，需要找到攻击源，在终端上安装杀毒软件彻底删除病毒体，同时开启主机防火墙，关闭445端口。为了快速定位攻击源，我们在网络内找了几个和重启服务器同网段的终端，在终端上安装卡巴斯基企业防病毒软件客户端。并故意打开系统的445端口（卡巴斯基默认开启防火墙并关闭445端口）并记录所有行为，同时开启“反网络攻击”功能，将这几台终端设计为一个“蜜罐”，以吸引病毒攻击。

大约一个小时之后，我们在报告中就发现了来自几个终端的攻击记录。

根据IP，我们找到了其中的一台，经检查，该电脑不属于该单位所有，而是属于停车场管理公司，但接入该单位网络读取数据，以实现数据共享，该机器为WIN7操作系统，未更新SP1补丁，因此也无法安装MS17-010补丁，在这台电脑上，安装的有某免费的杀毒软件，提示发现ShadowBrokers病毒，并已删除，但检查后发现实际上该病毒一直存在，并在后台不断的发送攻击数据包，通过本地端口攻击遍历攻击局域网内的其他电脑的445端口（遍历一次的时间应该是服务器重启的时间间隔）。

因为该电脑为停车场监控电脑，正是业务高峰期，不能重启，也就无法安装补丁和杀毒软件。因此暂时采取了措施，打开了本机防火墙，阻止了本机对远程445端口的访问。同时准备了一台备用机，安装好补丁和卡巴斯基杀毒软件后，等晚上下班后进行主机替换。

安全建议：

1、网络内所有的电脑安装MS17-010补丁。注意有些系统要求必须先安装SP1补丁后才可以安装该补丁。

2、关闭本机的UDP和TCP的445端口，也禁止对远程电脑的445进行访问。

3、安装专业的企业级杀毒软件，要具备防火墙功能和反网络攻击功能。

4、进行系统和数据备份。

5、对网络内所有的接入电脑进行如上的安全防护。对于非本单位但接入本单位网络的电脑要有相应的隔离措施，如防火墙，并进行协议、端口以及访问目标计算机的限制。

关于这个攻击的几点说明：

1、蓝屏的电脑上不一定感染了病毒。是因本机没有打补丁而被攻击。

2、中毒的电脑不一定会蓝屏。中毒的电脑主要是对外发起攻击，并不会造成自身的重启。除非自身没有打补丁，而网络内还有别的电脑中毒发起攻击导致自身被攻击而蓝屏。

3、打过补丁不代表不会中病毒。病毒的感染途径有很多，比如U盘、比如内外网互联。

4、关闭端口不代表不会被攻击。攻击行为是病毒发起的，端口只是攻击的途径。

5、事实上，你很难做到为每一台终端打上补丁。如操作系统版本的问题、盗版的问题等。

6、事实上，你很难关闭每一台电脑的139\445\3389等，且不说病毒攻击的端口会变，即使不变，这些端口你还有其他用途，如果把每一个端口都关了，网络也就不能用了。

7、事实上，任何杀毒软件都不可能承诺你100%的防范所有的病毒和攻击。道高一尺魔高一丈。当然好的专业的杀毒软件和普通的还是有很大区别的。

综上所述，安全事故不可避免，不是会不会发生的问题，而是什么时候发生的问题。我们要做的是：

1、提前做好安全防范措施。要做到防患于未然，未雨绸缪。

2、任何的安全措施都不能保证100%安全，多考虑一些万一的情况，做好应急预案。

欢迎关注：大兵说安全

如果你觉得本文对你有价值，欢迎打赏