一、安全事件分析
1.1 安全事件综述
正值我国“一带一路”国际合作高峰论坛召开期间,自北京时间5月12日起,在国内外互联网网络中发现爆发基于网络共享协议进行攻击传播的蠕虫恶意代码(),这是不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序【主要是针对之前披露的 SMB服务漏洞(对应微软漏洞公告:MS17-010)攻击手段】发起的网络攻击事件,目前无法解密该勒索软件加密的文件,磁盘感染后,文件会被加密为.onion后缀,只有支付高额赎金才能解密恢复文件,对重要数据造成严重损失。
目前发现的蠕虫攻击行为将会扫描开放445文件共享端口的机器,无需用户任何操作window2003系统下载,只要开机上网,不法分子就能在电脑和服务器中植入执行勒索程序、远程控制木马、虚拟货币挖矿机等恶意程序。
此蠕虫目前在没有对445端口进行严格访问控制的教育网、企业内网及业务外网大量传播,呈现爆发的态势,受感染系统会被勒索高额金钱,不能按时支付赎金的系统会被销毁数据造成严重损失。该蠕虫攻击事件已经造成非常严重的现实危害,各类规模的网络也已经面临此类威胁,现已对我国互联网网络造成较为严重的安全威胁。
1.勒索软件情况分析
据目前和国内网络安全企业已获知的样本情况和分析结果,该勒索软件在传播时基于445端口并利用SMB服务漏洞(MS17-010),总体可以判断是由于此前“ ”披露漏洞攻击工具而导致的后续黑产攻击威胁。4月16日,主办的CNVD发布《关于加强防范操作系统和相关软件漏洞攻击风险的情况公告》,对影子纪经人“ ”披露的多款涉及操作系统SMB服务的漏洞攻击工具情况进行了通报(相关工具列表如下),并对有可能产生的大规模攻击进行了预警:
工具名称
主要用途
SMB和NBT漏洞,对应MS17-010漏洞,针对139和445端口发起攻击,影响范围: XP, 2003, Vista, 7, 8, 2008, 2008 R2
SMB和漏洞,对应MS10-061漏洞,针对139和445端口,影响范围: XP、 2003
SMB服务漏洞,对应MS09-050漏洞,针对445端口
SMBv1服务漏洞,针对445端口,影响范围: XP、 2003,不影响 Vista及之后的操作系统
SMBv1、SMBv2漏洞,对应MS17-010,针对445端口,影响范围:较广,从到 2012
SMBv3漏洞,对应MS17-010,针对445端口,影响范围:、
SMB v2漏洞,针对445端口
当用户主机系统被该勒索软件入侵后,弹出如下勒索对话框,提示勒索目的并向用户索要比特币。而对于用户主机上的重要文件,如:照片、图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件,被加密的文件后缀名被统一修改为“.WNCRY”、“.ONION”等后缀名。目前,安全业界暂未能有效破除该勒索软的恶意加密行为,用户主机一旦被勒索软件渗透,只能通过重装操作系统的方式来解除勒索行为,但用户重要数据文件不能直接恢复。
用户一旦感染,该勒索软件会将自身复制到系统的所有目录下window2003系统下载,并加密如下后缀名的用户文件:
.PNG.PGD..TGA.THM.TIF.TIFF.YUV.AI.EPS.PS.SVG.INDD.PCT.PDF.XLR.XLS.XLSX.ACCDB.DB.DBF.MDB.PDB.SQL.APK.APP.BAT.CGI.COM.EXE..JAR.PIF.WSF.DEM.GAM.NES.ROM.SAV.CAD.DWG.DXF.GPX.KML.KMZ.ASP.ASPX.CER.CFM.CSR.CSS.HTM.HTML.JS.JSP.PHP.RSS.XHTML.DOC.DOCX.LOG.MSG.ODT.PAGES.RTF.TEX.TXT.WPD.WPS.CSV.DAT.GED.KEY..PPS.PPT.PPTX.INI.PRF.HQX.MIM.UUE.7Z.CBR.DEB.GZ.PKG.RAR.RPM.SITX.TAR.GZ.ZIP.ZIPX.BIN.CUE.DMG.ISO.MDF.TOAST.VCD.TAR...VCF.XML.AIF.IFF.M3U.M4A.MID.MP3.MPA.WAV.WMA.3G2.3GP.ASF.AVI.FLV.M4V.MOV.MP4.MPG.RM.SRT.SWF.VOB.WMV.3DM.3DS.MAX.OBJ.BMP.DDS.GIF.JPG.CRX..FNT.FOX.OTF.TTF.CAB.CPL.CUR..DLL.DMP.DRV.ICNS.ICO.LNK.SYS.CFG
被加密的用户文件示例图,如下:
1.3 安全风险等级
此次安全事件涉及的漏洞安全风险等级:紧急高危。
1.4 影响范围
目前已知受此次安全事件影响的操作系统版本,如下:
XP、 2000、 2003
Vista、 2008、 2008 R2
7、 8、 10
2012、 2012 R2、 2016
二、安全加固建议
针对本次安全事件的影响,建议采用先网络层再主机层的纵深安全防护的方式进行安全加固。
2.1网络层安全加固建议
1、如条件允许,请先将互联网网络断开连接;
2、在互联网边界出口交换路由设备及安全防护设备(如:防火墙等)上配置安全策略禁止外网对内网135/137/139/445端口的连接;
3、在内网核心主干交换路由设备及安全防护设备(如:防火墙等)上配置安全策略禁止外部网络区域对内网区域135/137/139/445端口的连接;
4、如果有部署入侵防御等防护系统则尽快检查漏洞库升级,并开启防御策略;
5、紧急发布内部通知通告,要求内部全体重点留意邮件、移动存储介质等传播渠道,做好重点检查防护工作。
2.2 主机层安全加固建议
1、未受到感染的主机,请务必将主机磁盘中的所有文件及数据进行全面备份至多种存储介质中(如:移动存储介质、光盘刻录等);
2、对内网进行扫描,发现所有开放445 SMB服务端口的终端和服务器,对于Win7及以上版本的系统确认是否安装了MS07-010补丁,如没有安装则受威胁影响。Win7以下的 XP/2003目前没有补丁,只要开启SMB服务就受影响。
3、要求所有内网主机终端及服务器自行检查是否开启了服务(445端口),如已开启,请进行关闭,具体的检查方法如下:
(1)点击“开始”—“运行”,输入“cmd”,确定,(弹出命令提示符窗口);
(2)在“命令提示符窗口”中输入命令“ -an”回车;
(3)查看返回结果中是否有445端口处于状态,如下图:
4、如发现445端口处于开放状态,则需要进行关闭服务(445端口),具体操作步骤如下:
(1)点击“开始”—“运行”,输入“cmd”,确定,(弹出命令提示符窗口);
(2)在“命令提示符窗口”中输入命令“net stop ”回车;具体会话示意图如下:
5、开启操作系统防火墙,并配置安全策略用于阻挡攻击,具体操作示意图(以win7为例)如下:
2.3 已感染主机的处置建议
1、拔掉已感染主机网线,断开网络连接,阻止进一步的扩散;
2、优先检查未感染主机的漏洞状况,做好漏洞加固工作后方可恢复网络连接;
3、已经感染终端,根据终端数据类型决定处置方式,如果重新安装系统则建议完全格式化硬盘、使用新操作系统、完善操作系统补丁、通过检查确认无相关漏洞后再恢复网络连接;
4、如果已经被感染了,建议把加密文件备份一下,以备以后可以解密的话再进行解密。
2.4 根治措施
1、对于及以上版本的操作系统,目前微软已发布补丁MS17-010修复了“(永恒之蓝)”攻击的安全漏洞,请立即下载该补丁程序进行安装,以修复相应的操作系统漏洞(下载地址:);(由于微软所给予的补丁是一个积累版本,它是包含很多组件补丁的集合,当某一组件不适用时,就会出现打补丁失败情况。针对以上情况建议操作如下:(1)要保证危险端口如135,137,138,139,445关闭或扫描不到;(2)可尝试更新微软默认组件。如系统默认ie更新至ie10以上版本。)
2、基于权限最小化安装的原则,如未涉及使用到服务的用户,请务必将操作系统中的服务进行关闭;
3、对于使用、2003等版本的操作系统的用户,可参考以下地址进行漏洞补丁安装:
4、对于、2003等微软已停止安全服务的操作系统,建议采用国内安全厂商360的“NAS武器库免疫工具”用于检测操作系统是否存在安全漏洞,并关闭受安全漏洞影响的端口,以免遭到勒索蠕虫病毒的危害(下载地址:),并且在后续的安全加固中,建议升级操作系统版本,替换、2003操作系统。
5、对于可使用360杀毒的用户,请使用360杀毒功能大全中的防黑加固,对系统进行加固服务。
限时特惠:本站持续每日更新海量各大内部创业课程,一年会员仅需要98元,全站资源免费下载
点击查看详情
站长微信:Jiucxh
