域名預(yù)訂/競價，好“米”不錯過

一、背景

北京時間2017年5月12日全球爆發(fā)大規(guī)模勒索軟件攻擊，勒索病毒結(jié)合了蠕蟲的方式進行傳播，傳播方式采用了前不久NSA被泄漏出來的MS17-010漏洞。在NSA泄漏的文件中，WannaCry傳播方式的漏洞利用代碼被稱為“EternalBlue”，所以也有的報道稱此次攻擊為“永恒之藍”，漏洞軟件名稱為“Wannacry”，攻擊者利用該漏洞，向用戶機器的445端口發(fā)送精心設(shè)計的包文，實現(xiàn)遠程代碼執(zhí)行。

據(jù)知道創(chuàng)宇404實驗室分析確認(rèn)，這一新型蠕蟲勒索病毒正是利用了4月14日影子經(jīng)紀(jì)人曝光的美國國家安全局使用的網(wǎng)絡(luò)攻擊工具，不明黑客組織利用改良后的 SMB遠程命令執(zhí)行工具實施感染。雖然微軟已經(jīng)推出相關(guān)修復(fù)補丁(MS17-101)，但仍有大量主機特別是內(nèi)網(wǎng)主機并未完成補丁升級，造成了這些新型蠕蟲勒索病毒的不斷擴散。

二、事件分析

2017年4月14日黑客組織 Shadow Brokers(影子經(jīng)紀(jì)人)公布Equation Group(方程式組織)的文件中首次出現(xiàn)MS17-010漏洞，該漏洞是利用Windows的445端口的SMB服務(wù)進行攻擊，該漏洞級別屬于高危(遠程溢出漏洞)。

2017年5月12日爆發(fā)針對此漏洞的大規(guī)模勒索軟件”Wanacry”，該勒索軟件截圖如下：

勒索病毒被漏洞遠程執(zhí)行后，會從資源文件夾下釋放一個壓縮包，此壓縮包會在內(nèi)存中通過密碼：Ncry@2ol7 解密并釋放文件。該勒索軟件會將系統(tǒng)內(nèi)所有軟件進行加密，需要用戶繳納不低于300美元的比特幣才能解密。

這些文件包含了后續(xù)彈出勒索框的exe，桌面背景圖片的bmp，包含各國語言的勒索字體，還有輔助攻擊的兩個exe文件。這些文件會釋放到了本地目錄，并設(shè)置為隱藏。勒索軟件會將系統(tǒng)中的所有照片、圖片、文檔、壓縮包、音頻、視頻、可執(zhí)行程序等幾乎所有類型的文件進行加密，且被加密的文件后綴名被統(tǒng)一修改為“.WNCRY”。

三、臨時解決方案

● 開啟系統(tǒng)防火墻

● 利用系統(tǒng)防火墻高級設(shè)置阻止向 445 端口進行連接(該操作會影響使用445 端口的服務(wù))

● 打開系統(tǒng)自動更新，并檢測更新進行安裝

有話提前說：

本次勒索軟件爆發(fā)的時間點剛好處于我國周末，如發(fā)生在工作日期間，其蔓延速度恐怕會更加恐怖，所以對于網(wǎng)絡(luò)運維人員來講，周一(明天)最重要的工作就是對網(wǎng)絡(luò)范圍內(nèi)的所有主機進行妥善的檢測與修復(fù)工作。

做到以下幾點會對你非常有幫助：

● 檢測與修復(fù)之前有必要做全面斷網(wǎng)處理;如對外主機不確定是否已經(jīng)感染，內(nèi)網(wǎng)主機應(yīng)做脫離工作。

● 事先做好重要數(shù)據(jù)的備份工作。

(一) 針對win7、win8、win10操作步驟

1、打開控制面板-系統(tǒng)與安全-Windows防火墻，點擊左側(cè)啟動或關(guān)閉Windows防火墻。

選擇啟用防火墻

2、過濾445端口

(1)選擇高級設(shè)置

(2)選擇入站規(guī)則

(3)選擇右邊的新建規(guī)則

(4)選擇端口

(5)選擇TCP協(xié)議，本地特定端口445

(6)選擇阻止連接

(7)選擇所有規(guī)則

(8)名稱隨便填寫，然后選擇啟用

(二)針對XP系統(tǒng)

1、打開防火墻

依次打開控制面板-Windows防火墻，選擇啟用防火墻

2、關(guān)閉smb服務(wù)

依次點擊開始-運行-輸入cmd，然后依次輸入以下幾條命令

net stop rdr

net stop srv

net stop netbt

(三)通用解決方案

微軟官方補丁地址：(優(yōu)先在線更新，如暫停支持請與支持列表中手動下載更新)

重要：在線更新需確認(rèn)已經(jīng)實施445端口過濾，手動更新請與安全網(wǎng)絡(luò)環(huán)境下下載更新包，主機斷網(wǎng)后執(zhí)行更新補丁)

四、檢測方案

建議采用知道創(chuàng)宇自研發(fā)的雷達系統(tǒng)和云圖大數(shù)據(jù)威脅系統(tǒng)進行該漏洞的掃描探測和勒索軟件的探測服務(wù)。

(一)資源漏洞掃描服務(wù)

知道創(chuàng)宇“雷達“產(chǎn)品是一個檢索網(wǎng)絡(luò)空間節(jié)點的搜索引擎。通過后端的分布式爬蟲引擎對全球節(jié)點的分析，對每個節(jié)點的所擁有的特征進行判別，從而獲得設(shè)備類型、固件版本、分布地點、開放端口服務(wù)等。

借助后臺強大的搜索引擎和設(shè)備指紋技術(shù)，資源測繪服務(wù)能夠達到B類網(wǎng)段800秒的急速探測。并依靠3萬余種資源和15萬個版本信息的匹配，達到對現(xiàn)有幾乎所有資源的精準(zhǔn)識別。

同時通過“雷達“與知道創(chuàng)宇Seebug漏洞庫的聯(lián)動，可以實現(xiàn)漏洞預(yù)警能力。Seebug漏洞庫會將最新漏洞推送到預(yù)警服務(wù)中，由預(yù)警服務(wù)向用戶報警，用戶也可通過Seebug獲得漏洞細節(jié)，并及時對該漏洞進行修補和防護。

(二)云圖檢測系統(tǒng)

同時還可以通過知道創(chuàng)宇云圖態(tài)勢感知系統(tǒng)進行分析檢測，該系統(tǒng)采用機器學(xué)習(xí)及全面沙箱分析與入侵指標(biāo)(IOC)確認(rèn)技術(shù)，通過BDE行為檢測引擎及SDE規(guī)則檢測引擎實時分析網(wǎng)絡(luò)流量，可深度監(jiān)控鏈接所有可疑活動。

云圖擁有以下幾大功能：

云圖最終通過在沙箱(Sandbox)中運行(行為激活/內(nèi)容“引爆”)各種文件和內(nèi)容的功能，并觀察虛擬機中的一些入侵指標(biāo)，識別出未知威脅，以便進一步采取相關(guān)措施，能夠極速探測出用戶資產(chǎn)中是否存在該勒索病毒或其它APT攻擊。

云圖檢測出該勒索軟件的截圖如下：

(三)漏洞檢測工具自檢

針對 MS17-010 漏洞，知道創(chuàng)宇404安全團隊現(xiàn)對外公布了相關(guān)的漏洞檢測工具，安全運維人員可自行下載使用。

漏洞檢測工具下載地址：

該檢測工具可由網(wǎng)絡(luò)管理人員于cmd中執(zhí)行檢測目標(biāo)ip主機是否受MS17-010 漏洞影響，Win7系統(tǒng)可直接下載執(zhí)行文件進行檢測，其它版本系統(tǒng)如不能正常檢測，請自行安裝 Python 運行環(huán)境。

附. Windows 環(huán)境下 Python安裝教程：

首先，從Python的官方網(wǎng)站python.org下載最新的2.7版本，網(wǎng)速慢的同學(xué)請移步國內(nèi)鏡像。

下載地址為：

然后，運行下載的MSI安裝包，在選擇安裝組件的一步時，勾上所有的組件：

特別要注意選上pip和Add python.exe to Path，然后一路點“Next”即可完成安裝。

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機遇！