English    下載中心    聯係黄瓜视频
黄瓜视频>資源中心>新聞中心>應對“永恒之藍”漏洞及WannaCry勒索病毒,黄瓜视频發布應急解決方案
應對“永恒之藍”漏洞及WannaCry勒索病毒,黄瓜视频發布應急解決方案


2017年5月12日晚,全球性爆發基於Windows網絡共享協議進行攻擊傳播的惡意代碼,經研究發現這是不法分子通過改造之前泄露的NSA黑客武器庫中“永恒之藍”攻擊程序發起的網絡攻擊事件。“永恒之藍”通過掃描開放445文件共享端口的Windows係統設備,在聯網條件下無需用戶進行任何操作,不法分子就能在設備中植入勒索軟件、遠程控製木馬、虛擬貨幣挖礦機等一係列惡意程序。本次攻擊主要是通過“永恒之藍”植入名為WannaCry(及其變種)的勒索病毒,目前已有上百國家遭受到攻擊,國內教育網內大量高校和部分政府機構出現感染現象。


漏洞說明

2017年3月14日,Microsoft發布了MS17-010安全公告,披露了Windows SMB遠程代碼執行漏洞 CVE-2017-0143、CVE-2017-0144、CVE-2017-0145、CVE-2017-0146、CVE-2017-0148,並且向Windows多個版本發布了安全更新補丁(XP和2003版本除外)。今年4月份美國國家安全局(NSA)的武器庫遭黑客竊取並在網上公開下載,其中本次事件主角EternalBlue(永恒之藍)攻擊工具正是利用3月微軟發布的漏洞對Windows XP以上版本未更新安全補丁的係統進行攻擊,開啟了文件共享服務並且存在漏洞的係統在聯網狀態下用戶將不會有任何感知即被遠程執行惡意代碼,如植入本次事件另一主角WannaCry勒索病毒。

NSA武器庫針對Windows用戶攻擊工具

 


勒索病毒說明

早在數年前,勒索病毒就已經成為不法分子牟利的一種常用工具,其特征主要有:高強度非法加密用戶數據;勒索後采用匿名貨幣進行支付,如比特幣;危害等級高,用戶無有效手段對數據進行恢複;傳播途徑多樣化,如欺騙性郵件,網站劫持,軟件劫持,係統漏洞等等。

 

本次WannaCry病毒之所以影響廣泛,主要在於其傳播手段先進,利用了Windows最新漏洞,在寬鬆的網絡策略下對未能及時更新安全補丁的大量設備攻擊,對數據、業務造成嚴重影響。


WannaCry勒索軟件界麵

 


黄瓜视频防範攻擊解決方案

針對本次大規模攻擊事件,黄瓜视频從終端防護、網絡安全策略兩個方麵給出對應防範措施和建議。

 

終端防護:

1、已被感染的設備立即斷開網絡,避免病毒在內網進一步擴散

2、無需共享文件的設備關閉445端口及文件共享服務

3、備份重要數據文件至外部設備並修改後綴名為.maipu

4、及時更新對應操作係統安全補丁修複文件共享漏洞(重要)

5、更新設備防病毒軟件特征庫

6、更新操作係統至Windows 10版本

Windows係統安全補丁鏈接:

https://technet.microsoft.com/zh-cn/library/security/MS17-010(非XP及2003版本)

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598(XP及2003版本)

 

網絡安全策略:

使用黄瓜视频產品組建的網絡,可以在位於網絡邊界、區域邊界的關鍵設備上配置網絡安全策略,通過阻斷445及其它關聯端口(如135,137,139)的方式,預防本類攻擊。如網絡內有文件共享、共享打印需求,則不建議在邊緣接入設備如AC、接入交換機配置策略。

 

01路由交換產品:

 

網絡邊界出口部署黄瓜视频路由、交換產品,主要采用禁止135/137/139/445服務端口以防範風險。注意確認是否有其它正常業務涉及該端口,避免影響正常業務使用。配置方式如下:

 

全局創建ACL表項,並在對應端口上調用。

Maipu#configure terminal

Maipu (config)#ip access-list extended deny-wannacry

Maipu (config-ext-nacl)#10 deny tcp any any eq 135

Maipu (config-ext-nacl)#20 deny tcp any any eq 137

Maipu (config-ext-nacl)#30 deny tcp any any eq 139

Maipu (config-ext-nacl)#40 deny tcp any any eq 445

Maipu (config-ext-nacl)#50 deny udp any any eq 135

Maipu (config-ext-nacl)#60 deny udp any any eq 137

Maipu (config-ext-nacl)#70 deny udp any any eq 139

Maipu (config-ext-nacl)#80 deny udp any any eq 445

Maipu (config-ext-nacl)#100 permit ip any any  

 //最後必須配置允許所有,否則可能引起所有業務中斷

Maipu (config-ext-nacl)#exit

Maipu (config)#interface gigabitethernet 0/1 

//對應不同端口進行調整,如路由器連接互聯網的接口或者交換機對應的VLAN接口

Maipu (config-if-gigabitethernet0/1)#ip access-groupdeny-wannacry in

 

02無線產品:

 

如果網絡中部署了黄瓜视频無線設備,主要采用禁止135/137/139/445服務端口以防範風險。注意確認是否有其它正常業務涉及該端口,避免影響正常業務使用。

 

1、如果AC部署在局域網環境,建議在出口設備做相應防護策略,無需調整AC配置

2、如果AC作為互聯網出口,則需要在AC上部署ACL防護策略,具體配置如下:

 

Maipu#configure terminal

Maipu (config)#ip access-list extended deny-wannacry

Maipu (config-ext-nacl)#10 deny tcp any any eq 135

Maipu (config-ext-nacl)#20 deny tcp any any eq 137

Maipu (config-ext-nacl)#30 deny tcp any any eq 139

Maipu (config-ext-nacl)#40 deny tcp any any eq 445

Maipu (config-ext-nacl)#50 deny udp any any eq 135

Maipu (config-ext-nacl)#60 deny udp any any eq 137

Maipu (config-ext-nacl)#70 deny udp any any eq 139

Maipu (config-ext-nacl)#80 deny udp any any eq 445

Maipu (config-ext-nacl)#100 permit ip any any

//最後必須配置允許所有,否則可能引起所有業務中斷

Maipu (config-ext-nacl)#exit

Maipu (config)#interface gigabitethernet 0/1 

 //對應不同端口進行調整

Maipu (config-if-gigabitethernet0/1)#ip access-groupdeny-wannacry in

 

03安全產品:

 

1禁止雙向135/137/139/445端口的連接建立(請務必業務使用的端口是否有在此禁止行列,避免影響正常業務使用)。

 

以MPSec ISG-1000係列上網行為管理安全網關配置為例,配置步驟如下:


 


2入侵防禦特征庫授權在有效期內的用戶,可開啟入侵防禦功能進行深度防禦,同時升級最新版本的IPS特征庫版本。

 

以MPSec ISG-1000係列上網行為管理安全網關配置為例,配置步驟如下:


更多技術支持及谘詢服務,歡迎撥打黄瓜视频技術服務熱線:400-886-8669轉2