域名預(yù)訂/競價(jià)，好“米”不錯(cuò)過

一、背景

北京時(shí)間2017年5月12日全球爆發(fā)大規(guī)模勒索軟件攻擊，勒索病毒結(jié)合了蠕蟲的方式進(jìn)行傳播，傳播方式采用了前不久NSA被泄漏出來的MS17-010漏洞。在NSA泄漏的文件中，WannaCry傳播方式的漏洞利用代碼被稱為“EternalBlue”，所以也有的報(bào)道稱此次攻擊為“永恒之藍(lán)”，漏洞軟件名稱為“Wannacry”，攻擊者利用該漏洞，向用戶機(jī)器的445端口發(fā)送精心設(shè)計(jì)的包文，實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。

據(jù)知道創(chuàng)宇404實(shí)驗(yàn)室分析確認(rèn)，這一新型蠕蟲勒索病毒正是利用了4月14日影子經(jīng)紀(jì)人曝光的美國國家安全局使用的網(wǎng)絡(luò)攻擊工具，不明黑客組織利用改良后的 SMB遠(yuǎn)程命令執(zhí)行工具實(shí)施感染。雖然微軟已經(jīng)推出相關(guān)修復(fù)補(bǔ)丁(MS17-101)，但仍有大量主機(jī)特別是內(nèi)網(wǎng)主機(jī)并未完成補(bǔ)丁升級，造成了這些新型蠕蟲勒索病毒的不斷擴(kuò)散。

二、事件分析

2017年4月14日黑客組織 Shadow Brokers(影子經(jīng)紀(jì)人)公布Equation Group(方程式組織)的文件中首次出現(xiàn)MS17-010漏洞，該漏洞是利用Windows的445端口的SMB服務(wù)進(jìn)行攻擊，該漏洞級別屬于高危(遠(yuǎn)程溢出漏洞)。

2017年5月12日爆發(fā)針對此漏洞的大規(guī)模勒索軟件”Wanacry”，該勒索軟件截圖如下：

勒索病毒被漏洞遠(yuǎn)程執(zhí)行后，會從資源文件夾下釋放一個(gè)壓縮包，此壓縮包會在內(nèi)存中通過密碼：Ncry@2ol7 解密并釋放文件。該勒索軟件會將系統(tǒng)內(nèi)所有軟件進(jìn)行加密，需要用戶繳納不低于300美元的比特幣才能解密。

這些文件包含了后續(xù)彈出勒索框的exe，桌面背景圖片的bmp，包含各國語言的勒索字體，還有輔助攻擊的兩個(gè)exe文件。這些文件會釋放到了本地目錄，并設(shè)置為隱藏。勒索軟件會將系統(tǒng)中的所有照片、圖片、文檔、壓縮包、音頻、視頻、可執(zhí)行程序等幾乎所有類型的文件進(jìn)行加密，且被加密的文件后綴名被統(tǒng)一修改為“.WNCRY”。

三、臨時(shí)解決方案

● 開啟系統(tǒng)防火墻

● 利用系統(tǒng)防火墻高級設(shè)置阻止向 445 端口進(jìn)行連接(該操作會影響使用445 端口的服務(wù))

● 打開系統(tǒng)自動更新，并檢測更新進(jìn)行安裝

有話提前說：

本次勒索軟件爆發(fā)的時(shí)間點(diǎn)剛好處于我國周末，如發(fā)生在工作日期間，其蔓延速度恐怕會更加恐怖，所以對于網(wǎng)絡(luò)運(yùn)維人員來講，周一(明天)最重要的工作就是對網(wǎng)絡(luò)范圍內(nèi)的所有主機(jī)進(jìn)行妥善的檢測與修復(fù)工作。

做到以下幾點(diǎn)會對你非常有幫助：

● 檢測與修復(fù)之前有必要做全面斷網(wǎng)處理;如對外主機(jī)不確定是否已經(jīng)感染，內(nèi)網(wǎng)主機(jī)應(yīng)做脫離工作。

● 事先做好重要數(shù)據(jù)的備份工作。

(一) 針對win7、win8、win10操作步驟

1、打開控制面板-系統(tǒng)與安全-Windows防火墻，點(diǎn)擊左側(cè)啟動或關(guān)閉Windows防火墻。

選擇啟用防火墻

2、過濾445端口

(1)選擇高級設(shè)置

(2)選擇入站規(guī)則

(3)選擇右邊的新建規(guī)則

(4)選擇端口

(5)選擇TCP協(xié)議，本地特定端口445

(6)選擇阻止連接

(7)選擇所有規(guī)則

(8)名稱隨便填寫，然后選擇啟用

(二)針對XP系統(tǒng)

1、打開防火墻

依次打開控制面板-Windows防火墻，選擇啟用防火墻

2、關(guān)閉smb服務(wù)

依次點(diǎn)擊開始-運(yùn)行-輸入cmd，然后依次輸入以下幾條命令

net stop rdr

net stop srv

net stop netbt

(三)通用解決方案

微軟官方補(bǔ)丁地址：(優(yōu)先在線更新，如暫停支持請與支持列表中手動下載更新)

重要：在線更新需確認(rèn)已經(jīng)實(shí)施445端口過濾，手動更新請與安全網(wǎng)絡(luò)環(huán)境下下載更新包，主機(jī)斷網(wǎng)后執(zhí)行更新補(bǔ)丁)

四、檢測方案

建議采用知道創(chuàng)宇自研發(fā)的雷達(dá)系統(tǒng)和云圖大數(shù)據(jù)威脅系統(tǒng)進(jìn)行該漏洞的掃描探測和勒索軟件的探測服務(wù)。

(一)資源漏洞掃描服務(wù)

知道創(chuàng)宇“雷達(dá)“產(chǎn)品是一個(gè)檢索網(wǎng)絡(luò)空間節(jié)點(diǎn)的搜索引擎。通過后端的分布式爬蟲引擎對全球節(jié)點(diǎn)的分析，對每個(gè)節(jié)點(diǎn)的所擁有的特征進(jìn)行判別，從而獲得設(shè)備類型、固件版本、分布地點(diǎn)、開放端口服務(wù)等。

借助后臺強(qiáng)大的搜索引擎和設(shè)備指紋技術(shù)，資源測繪服務(wù)能夠達(dá)到B類網(wǎng)段800秒的急速探測。并依靠3萬余種資源和15萬個(gè)版本信息的匹配，達(dá)到對現(xiàn)有幾乎所有資源的精準(zhǔn)識別。

同時(shí)通過“雷達(dá)“與知道創(chuàng)宇Seebug漏洞庫的聯(lián)動，可以實(shí)現(xiàn)漏洞預(yù)警能力。Seebug漏洞庫會將最新漏洞推送到預(yù)警服務(wù)中，由預(yù)警服務(wù)向用戶報(bào)警，用戶也可通過Seebug獲得漏洞細(xì)節(jié)，并及時(shí)對該漏洞進(jìn)行修補(bǔ)和防護(hù)。

(二)云圖檢測系統(tǒng)

同時(shí)還可以通過知道創(chuàng)宇云圖態(tài)勢感知系統(tǒng)進(jìn)行分析檢測，該系統(tǒng)采用機(jī)器學(xué)習(xí)及全面沙箱分析與入侵指標(biāo)(IOC)確認(rèn)技術(shù)，通過BDE行為檢測引擎及SDE規(guī)則檢測引擎實(shí)時(shí)分析網(wǎng)絡(luò)流量，可深度監(jiān)控鏈接所有可疑活動。

云圖擁有以下幾大功能：

云圖最終通過在沙箱(Sandbox)中運(yùn)行(行為激活/內(nèi)容“引爆”)各種文件和內(nèi)容的功能，并觀察虛擬機(jī)中的一些入侵指標(biāo)，識別出未知威脅，以便進(jìn)一步采取相關(guān)措施，能夠極速探測出用戶資產(chǎn)中是否存在該勒索病毒或其它APT攻擊。

云圖檢測出該勒索軟件的截圖如下：

(三)漏洞檢測工具自檢

針對 MS17-010 漏洞，知道創(chuàng)宇404安全團(tuán)隊(duì)現(xiàn)對外公布了相關(guān)的漏洞檢測工具，安全運(yùn)維人員可自行下載使用。

漏洞檢測工具下載地址：

該檢測工具可由網(wǎng)絡(luò)管理人員于cmd中執(zhí)行檢測目標(biāo)ip主機(jī)是否受MS17-010 漏洞影響，Win7系統(tǒng)可直接下載執(zhí)行文件進(jìn)行檢測，其它版本系統(tǒng)如不能正常檢測，請自行安裝 Python 運(yùn)行環(huán)境。

附. Windows 環(huán)境下 Python安裝教程：

首先，從Python的官方網(wǎng)站python.org下載最新的2.7版本，網(wǎng)速慢的同學(xué)請移步國內(nèi)鏡像。

下載地址為：

然后，運(yùn)行下載的MSI安裝包，在選擇安裝組件的一步時(shí)，勾上所有的組件：

特別要注意選上pip和Add python.exe to Path，然后一路點(diǎn)“Next”即可完成安裝。

申請創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！