一、文檔目標(biāo)

全球爆發(fā)大規(guī)模勒索軟件感染事件，我國(guó)大量行業(yè)企業(yè)內(nèi)網(wǎng)大規(guī)模感染，教育網(wǎng)受損嚴(yán)重，攻擊造成了教學(xué)系統(tǒng)癱瘓，甚至包括校園一卡通系統(tǒng)。?”WannaCry”勒索事件自爆發(fā)以來(lái)，造成了大量Windows主機(jī)感染，本文檔用于指導(dǎo)企業(yè)安全管理人員可以在第一時(shí)間對(duì)可能發(fā)生的病毒爆發(fā)進(jìn)行充分準(zhǔn)備，引導(dǎo)企業(yè)通過(guò)正確的流程和手段進(jìn)行危害抑制和損失控制。

為了支持文檔使用者更好的了解wannacry病毒以及永恒之藍(lán)攻擊工具，明確防御該攻擊的方法，并且指導(dǎo)使用者對(duì)基礎(chǔ)網(wǎng)絡(luò)和主機(jī)進(jìn)行安全加固，切實(shí)有效抵御攻擊和處理被攻擊的主機(jī)。

二、準(zhǔn)備工作

1． 內(nèi)部通告模板

企業(yè)應(yīng)首先建立組織內(nèi)部的通告機(jī)制，確保全員了解并遵從相關(guān)指導(dǎo)，避免錯(cuò)誤操作所造成的不必要的損失，內(nèi)部通告包括但不限于：

• 微信客戶端／短信通告/企業(yè)內(nèi)部郵箱通告
• 辦公環(huán)境人工通告

通告內(nèi)容應(yīng)說(shuō)明，可參考下文：

由于近日爆發(fā)WannaCry勒索病毒，此病毒可在局域網(wǎng)內(nèi)通過(guò)445端口自行傳播，為了避免周一上班后剛開機(jī)就被感染，且把硬盤所有文件都加密，請(qǐng)開機(jī)前先斷網(wǎng)，按順序執(zhí)行如下4條防護(hù)操作，windows服務(wù)器運(yùn)維人員請(qǐng)盡早執(zhí)行。

已經(jīng)發(fā)現(xiàn)自己中病毒，文件被加密的電腦、服務(wù)器，禁止接入網(wǎng)絡(luò)！

防護(hù)操作：

1.已感染主機(jī)禁止接入網(wǎng)絡(luò)

2.斷網(wǎng)（拔網(wǎng)線）

3.開機(jī)（若關(guān)機(jī)狀態(tài)）

4.關(guān)閉445端口并確認(rèn)（如自行可處理）：本機(jī)cmd窗口執(zhí)行命令”netstat -ano | findstr “:445″”，回車后無(wú)任何返回。

5.聯(lián)系企業(yè)IT運(yùn)維或安全人員協(xié)助離線打補(bǔ)丁，聯(lián)系人：xxxx

?

三、啟動(dòng)必讀

盡可能保持主機(jī)關(guān)閉以及斷網(wǎng)狀態(tài)：部分解決方案建議通過(guò)聯(lián)網(wǎng)下載修復(fù)工具的方式對(duì)漏洞進(jìn)行修補(bǔ)，這種行為在當(dāng)前的互聯(lián)網(wǎng)環(huán)境下是非常危險(xiǎn)的，已經(jīng)發(fā)現(xiàn)有部分處于專網(wǎng)內(nèi)的用戶在打開電腦聯(lián)網(wǎng)下載修復(fù)工具時(shí)被蠕蟲感染。這是由于存在漏洞的主機(jī)在聯(lián)網(wǎng)的同時(shí)，會(huì)迅速的被蠕蟲掃描到，相當(dāng)于給了蠕蟲可乘之機(jī)。建議如主機(jī)未開機(jī)，繼續(xù)保持主機(jī)關(guān)閉，并拔掉網(wǎng)線，關(guān)閉Wifi等可能的網(wǎng)絡(luò)接入。

付費(fèi)風(fēng)險(xiǎn)：部分中招主機(jī)可能包含關(guān)鍵信息，企業(yè)處于業(yè)務(wù)考慮可能會(huì)考慮通過(guò)比特幣付款，目前尚未確認(rèn)付款可以恢復(fù)數(shù)據(jù)，建議企業(yè)慎重考慮。

四、處置流程

WannaCry勒索蠕蟲病毒處置，如下圖：

1．人工隔離

開機(jī)前先拔出電腦連接的網(wǎng)線，斷開網(wǎng)絡(luò)。

2．網(wǎng)絡(luò)隔離

網(wǎng)絡(luò)中可能存在持續(xù)運(yùn)行的主機(jī)，這部分主機(jī)很可能已經(jīng)被感染了蠕蟲病毒，為了病毒進(jìn)一步擴(kuò)散，風(fēng)險(xiǎn)控制第一步：通過(guò)ACL網(wǎng)段訪問(wèn)控制做網(wǎng)絡(luò)層的隔離處理，防止蠕蟲病毒通過(guò)445端口在網(wǎng)段間傳播。詳細(xì)操作參考附錄B ACL網(wǎng)絡(luò)訪問(wèn)控制。

2.1 Juniper 設(shè)備的建議配置

set?? firewall family? inet? filter deny-wannacry???????? term???????? deny445?? from protocol?? tcp

set?? firewall???? family?????? inet filter deny-wannacry???????? term???????? deny445?? from destination-port?????? 445

set?? firewall???? family?????? inet? filter deny-wannacry???????? term???????? deny445?? then discard

set?? firewall???? family?????? inet? filter deny-wannacry???????? term???????? default???? then accept

#在全局應(yīng)用規(guī)則

set?? forwarding-options family?????? inet? filter output???? deny-wannacry

set?? forwarding-options family?????? inet? filter input???????? deny-wannacry

#在三層接口應(yīng)用規(guī)則

set?? interfaces?????? [ 需 要 掛 載 的 三 層 端 口 名 稱 ]???????? unit???????? 0???? family???? inet???????? filter?????? output

deny-wannacry

set?? interfaces?????? [ 需 要 掛 載 的 三 層 端 口 名 稱 ]???????? unit???????? 0???? family???? inet???????? filter?????? input

deny-wannacry

2.2 華三(H3C)設(shè)備的建議配置

新版本:

acl??? number??? 3050

rule? deny tcp?? destination-port?????? 445

rule? permit????? ip

interface? [需要掛載的三層端口名稱]

packet-filter???? 3050???????? inbound

packet-filter???? 3050???????? outbound

舊版本:

acl??? number??? 3050

rule? permit????? tcp?? destination-port?????? 445

traffic?????? classifier? deny-wannacry

if-match?? acl??? 3050

traffic?????? behavior? deny-wannacry

filter deny

qos?? policy??????? deny-wannacry

classifier? deny-wannacry???????? behavior? deny-wannacry

#在全局應(yīng)用

qos?? apply???????? policy??????? deny-wannacry???????? global?????? inbound

qos?? apply???????? policy??????? deny-wannacry???????? global?????? outbound

#在三層接口應(yīng)用規(guī)則

interface? [需要掛載的三層端口名稱]

qos?? apply???????? policy??????? deny-wannacry???????? inbound

qos?? apply???????? policy??????? deny-wannacry???????? outbound

2.3 華為設(shè)備的建議配置

acl??? number??? 3050

rule? deny tcp?? destination-port?????? eq???? 445

rule? permit????? ip

traffic?????? classifier? deny-wannacry???????? type and

if-match?? acl??? 3050

traffic?????? behavior? deny-wannacry

traffic?????? policy??????? deny-wannacry

classifier? deny-wannacry???????? behavior? deny-wannacry???????? precedence????? 5

interface? [需要掛載的三層端口名稱]

traffic-policy???? deny-wannacry???????? inbound

traffic-policy???? deny-wannacry???????? outbound

2.4 Cisco 設(shè)備的建議配置

舊版本:

ip????? access-list??????? extended deny-wannacry

deny tcp?? any?? any?? eq???? 445

permit????? ip????? any?? any

interface? [需要掛載的三層端口名稱]

ip????? access-group?? deny-wannacry???????? in

ip????? access-group?? deny-wannacry???????? out

新版本:

ip????? access-list??????? deny-wannacry

deny tcp?? any?? any?? eq???? 445

permit????? ip????? any?? any

interface? [需要掛載的三層端口名稱]

ip????? access-group?? deny-wannacry???????? in

ip????? access-group?? deny-wannacry???????? out

2.5 銳捷設(shè)備的建議配置

ip????? access-list??????? extended deny-wannacry

deny tcp?? any?? any?? eq???? 445

permit????? ip????? any?? any

interface? [需要掛載的三層端口名稱]

ip????? access-group?? deny-wannacry???????? in

ip access-group??????? deny-wannacry???????? out

五、風(fēng)險(xiǎn)檢測(cè)

做好網(wǎng)段間的445端口訪問(wèn)控制后，使用主動(dòng)檢測(cè)結(jié)合被動(dòng)檢測(cè)的方式，對(duì)網(wǎng)絡(luò)中存在的被感染主機(jī)以及漏洞主機(jī)進(jìn)行風(fēng)險(xiǎn)排查。

1．人工排查

對(duì)于未開機(jī)的主機(jī)，風(fēng)險(xiǎn)排查確認(rèn)網(wǎng)絡(luò)中不存在感染主機(jī)后，斷開網(wǎng)絡(luò)后再進(jìn)行開機(jī)檢查；

對(duì)于持續(xù)開機(jī)運(yùn)行的主機(jī)，人工查看是否感染了勒索蠕蟲病毒。

– 若感染病毒，立即斷網(wǎng)隔離，等待下一步處置；

– 若未感染病毒，斷網(wǎng)查看是否安裝了相關(guān)的安全補(bǔ)丁，排查方法如下：

windows Server 2003檢測(cè)方法

在“添加或者刪除程序”功能面板中，開啟“顯示更新”，查找是否存在KB4012598補(bǔ)丁。

下圖為已安裝補(bǔ)丁顯示。

Windows 7?補(bǔ)丁檢測(cè)方法：

打開“控制面板”——> “程序和功能”——> “查看已安裝的更新”，查找Windows 7操作系統(tǒng)的MS17-010漏洞對(duì)應(yīng)的更新補(bǔ)?。↘B4012212）。

由于不同系統(tǒng)版本中補(bǔ)丁編號(hào)不同，對(duì)照如下表所示的相應(yīng)補(bǔ)丁進(jìn)行查找：

如果找不到該補(bǔ)丁安裝記錄，需要及時(shí)下載對(duì)應(yīng)版本的升級(jí)補(bǔ)丁進(jìn)行安裝，請(qǐng)參考附錄A MS17-010補(bǔ)丁對(duì)應(yīng)和下載列表。

網(wǎng)絡(luò)層抓包分析

若網(wǎng)絡(luò)中存在被感染主機(jī)，則WannaCry病毒會(huì)持續(xù)不斷的發(fā)起探測(cè)請(qǐng)求，因此，接入主機(jī)可通過(guò)抓取網(wǎng)絡(luò)層流量，查看是否存在感染主機(jī)。具體操作過(guò)程如下：
1.接入設(shè)備（設(shè)備系統(tǒng)已升級(jí)至最新補(bǔ)丁，確定不會(huì)受蠕蟲病毒感染），開放445端口；
2.打開抓包工具wireshark，監(jiān)聽本地網(wǎng)卡，抓取網(wǎng)絡(luò)層流量。

3.通過(guò)規(guī)則tcp.port==445過(guò)濾網(wǎng)絡(luò)中發(fā)起的445端口流量，若能看到存在大量的445請(qǐng)求，并出現(xiàn)IPC$共享鏈接請(qǐng)求，可初步判斷網(wǎng)絡(luò)中存在蠕蟲病毒。

4.通過(guò)上圖可以看到，192.168.1.2主機(jī)正在向外發(fā)起大量TCP請(qǐng)求，并且在連接192.168.56.20主機(jī)的IPC共享，可初步判斷192.168.1.2主機(jī)已被感染且正在探測(cè)56.20主機(jī)。

六、風(fēng)險(xiǎn)定位

通過(guò)主動(dòng)檢測(cè)和被動(dòng)檢測(cè)的方式，排查網(wǎng)段中是否存在被感染主機(jī)，若排查確認(rèn)存在，則通過(guò)IP/MAC定位主機(jī)，然后人工確認(rèn)是否誤報(bào)并判斷是否感染病毒，進(jìn)行下一步處理。
病毒感染和漏洞風(fēng)險(xiǎn)檢測(cè)根據(jù)交叉得出風(fēng)險(xiǎn)評(píng)估結(jié)論：

無(wú)主機(jī)感染+無(wú)漏洞影響=安全；

無(wú)主機(jī)感染+有漏洞影響=有風(fēng)險(xiǎn)；

有主機(jī)感染+有漏洞影響/無(wú)漏洞影響=危險(xiǎn)；

若主機(jī)已被感染病毒，屏幕會(huì)顯示如下的告知付贖金的界面。

若通過(guò)分析和掃描，確認(rèn)存在感染主機(jī)后，可在命令行下通過(guò)IP獲取主機(jī)MAC地址，執(zhí)行如下命令，查看IP地址對(duì)應(yīng)的Mac地址。

arp -a | findstr “192.168.88.133”? 或者? arp -a |find “192.168.88.133”

然后依據(jù)Mac查找到具體的主機(jī)。

七、風(fēng)險(xiǎn)處置

1．已感染病毒病毒主機(jī)處置

1.1感染主機(jī)處置

針對(duì)已感染W(wǎng)annaCry病毒的主機(jī)，首先進(jìn)行斷網(wǎng)隔離，判斷加密文件的重要性，決定是否格式化磁盤重裝系統(tǒng)，還是保持?jǐn)嗑W(wǎng)狀態(tài)等待進(jìn)一步解密進(jìn)展。

如果內(nèi)網(wǎng)存在主機(jī)無(wú)法訪問(wèn)外部網(wǎng)絡(luò)的情況，需要迅速在內(nèi)網(wǎng)中添加DNS解析，將www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com解析到某臺(tái)內(nèi)網(wǎng)中可以訪問(wèn)的主機(jī)上，確保內(nèi)網(wǎng)主機(jī)可以訪問(wèn)該域名，阻斷蠕蟲的進(jìn)一步傳播。

2．未感染病毒主機(jī)處置

剔除掉網(wǎng)段中存在的被感染病毒的主機(jī)后，對(duì)網(wǎng)段中的其他未感染的和未開機(jī)的終端進(jìn)行安全排查并進(jìn)行加固。

2.1 防火墻屏蔽

本機(jī)防火墻策略屏蔽445端口流量防護(hù)

在控制面板中打開Windows防火墻：

進(jìn)入Windows防火墻配置界面，點(diǎn)擊“高級(jí)設(shè)置”。

點(diǎn)擊入站規(guī)則，再點(diǎn)擊新建規(guī)則創(chuàng)建防火墻入站規(guī)則：

在新建入站規(guī)則向?qū)е?，針?duì)協(xié)議和端口步驟，選擇對(duì)端口過(guò)濾。

選擇TCP協(xié)議和特定本地端口：445

5.在操作步驟中，選擇阻止連接。

6、在應(yīng)用該規(guī)則處，勾選域、專用以及公用選項(xiàng)。

7、填入規(guī)則名稱，完成創(chuàng)建。

規(guī)則創(chuàng)建完成后，可看到入棧規(guī)則中存在445阻斷規(guī)則。

2.2 禁用服務(wù)

禁用Server服務(wù)加固處理

使用win+r組合按鍵，調(diào)出運(yùn)行框，輸入“services.msc”調(diào)出本地服務(wù)瀏覽窗口。

打開服務(wù)后，查找server服務(wù)：

將啟動(dòng)類型修改為禁用，此操作會(huì)防止重啟以后server服務(wù)重新啟動(dòng)。點(diǎn)擊停止按紐，將服務(wù)狀態(tài)修改為‘已停止’狀態(tài)。如下圖所示

2.3 IP安全策略

通過(guò)組策略 IP 安全策略限制 Windows 網(wǎng)絡(luò)共享協(xié)議相關(guān)端口

開始菜單->運(yùn)行，輸入 gpedit.msc 回車。打開組策略編輯器

在組策略編輯器中，計(jì)算機(jī)配置->windows 設(shè)置->安全設(shè)置->ip 安全策略 下，在編輯器右邊空白處鼠標(biāo)右鍵單擊，選擇“創(chuàng)建 IP 安全策略”

下一步->名稱填寫“封端口”，下一步->下一步->勾選編輯屬性，并點(diǎn)完成

去掉“使用添加向?qū)А钡墓催x后，點(diǎn)擊“添加”

在新彈出的窗口，選擇“IP 篩選列表”選項(xiàng)卡，點(diǎn)擊“添加”

在新彈出的窗口中填寫名稱，去掉“使用添加向?qū)А鼻懊娴墓?，單擊“添加?/p>

在新彈出的窗口中，“協(xié)議”選項(xiàng)卡下，選擇協(xié)議和設(shè)置到達(dá)端口信息，并點(diǎn)確定。

重復(fù)第 7 個(gè)步驟，添加 TCP 端口 135、139、445。添加 UDP 端口 137、138。

添加全部完成后，確定。

選中剛添加完成的“端口過(guò)濾”規(guī)則，然后選擇“篩選器操作”選項(xiàng)卡。

去掉“使用添加向?qū)А惫催x，單擊“添加”按鈕

選擇“阻止”

選擇“常規(guī)”選項(xiàng)卡，給這個(gè)篩選器起名“阻止”，然后“確定”。

點(diǎn)擊

確認(rèn)“IP 篩選列表”選項(xiàng)卡下的“端口過(guò)濾”被選中。確認(rèn)“篩選器操作” 選項(xiàng)卡下的“阻止”被選中。然后點(diǎn)擊“關(guān)閉”。

確認(rèn)安全規(guī)則配置正確。點(diǎn)擊確定。

在“組策略編輯器”上，右鍵“分配”，將規(guī)則啟用。

2.4 補(bǔ)丁修復(fù)

對(duì)于提供文件共享以及與認(rèn)證服務(wù)相關(guān)的服務(wù)器，由于業(yè)務(wù)需求不能關(guān)閉端口和禁用服務(wù)，因此，建議使用升級(jí)補(bǔ)丁的方式進(jìn)行加固處理。

根據(jù)附錄A MS17-010補(bǔ)丁對(duì)應(yīng)和下載列表查找機(jī)器對(duì)應(yīng)的更新補(bǔ)丁包，使用一臺(tái)合理加固后的主機(jī)下載漏洞修復(fù)補(bǔ)丁，拷貝至目標(biāo)主機(jī)后進(jìn)行安裝升級(jí)。