這種勒索病毒名為WannaCry ,圖中是安全研究人員的安全的計(jì)算機(jī)環(huán)境中進(jìn)行演示�����。
2017年5月12日起�,全球范圍內(nèi)爆發(fā)了基于Windows網(wǎng)絡(luò)共享協(xié)議進(jìn)行攻擊傳播的蠕蟲惡意代碼�。五個(gè)小時(shí)內(nèi)����,包括美國(guó)��、俄羅斯以及整個(gè)歐洲在內(nèi)的100多個(gè)國(guó)家���,及國(guó)內(nèi)的高校內(nèi)網(wǎng)���、大型企業(yè)內(nèi)網(wǎng)和政府機(jī)構(gòu)專網(wǎng)中招���,被勒索支付高額贖金才能解密恢復(fù)文件��,對(duì)重要數(shù)據(jù)造成嚴(yán)重?fù)p失。
這次的“永恒之藍(lán)”勒索蠕蟲��,是NSA網(wǎng)絡(luò)軍火民用化的全球第一例����。一個(gè)月前,第四批NSA相關(guān)網(wǎng)絡(luò)攻擊工具及文檔被Shadow Brokers組織公布�����,包含了涉及多個(gè)Windows系統(tǒng)服務(wù)(SMB��、RDP����、IIS)的遠(yuǎn)程命令執(zhí)行工具,其中就包括“永恒之藍(lán)”攻擊程序����。
非常幸運(yùn),我司的客戶產(chǎn)品不必?fù)?dān)心受“永恒之藍(lán)”的攻擊����,我司的產(chǎn)品一直以來在硬件防火墻層面�����、操作系統(tǒng)底層����。均對(duì)445端口以及相關(guān)共享服務(wù)做了封堵。云主機(jī)客戶切記不能隨意變動(dòng)模板中內(nèi)置的防火墻規(guī)則�。避免不必要的影響�。如果非我司的產(chǎn)品(如果其他IDC的server��,或者是個(gè)人電腦)的情況應(yīng)該如何應(yīng)急如何處理
如已經(jīng)感染,則立即斷開網(wǎng)絡(luò)�,避免內(nèi)網(wǎng)傳播。并可以通過pe等工具,備份未被感染的文件����,已經(jīng)感染的文件�,可以嘗試使用360/金山提供的恢復(fù)工具嘗試恢復(fù)
如未感染�����,則立即關(guān)閉445端口以及相關(guān)文件共享服務(wù)�����。
點(diǎn)擊開始菜單���,運(yùn)行��,cmd,確認(rèn)���。
輸入命令netstat –an查看端口狀態(tài)
輸入net stop rdr 回車
net stop srv 回車
net stop netbt 回車
然后盡快升級(jí)windows MS17-010補(bǔ)丁,附地址:https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
快速下載地址:https://yunpan.cn/cXLwmvHrMF3WI訪問密碼 614d
另外還可以通過配置主機(jī)級(jí)ACL策略封堵445端口
通過組策略IP安全策略限制Windows網(wǎng)絡(luò)共享協(xié)議相關(guān)端口
開始菜單->運(yùn)行�,輸入gpedit.msc回車��。打開組策略編輯器
在組策略編輯器中�����,計(jì)算機(jī)配置->windows設(shè)置->安全設(shè)置->ip安全策略 下,在編輯器右邊空白處鼠標(biāo)右鍵單擊,選擇“創(chuàng)建IP安全策略”
下一步->名稱填寫“封端口”��,下一步->下一步->勾選編輯屬性�,并點(diǎn)完成
去掉“使用添加向?qū)А钡墓催x后����,點(diǎn)擊“添加”
在新彈出的窗口�,選擇“IP篩選列表”選項(xiàng)卡��,點(diǎn)擊“添加”
在新彈出的窗口中填寫名稱�,去掉“使用添加向?qū)А鼻懊娴墓?�,單擊“添加?/span>
10在新彈出的窗口中���,“協(xié)議”選項(xiàng)卡下����,選擇協(xié)議和設(shè)置到達(dá)端口信息,并點(diǎn)確定�����。
重復(fù)第7個(gè)步驟�����,添加TCP端口135���、139、445��。添加UDP端口137���、138�。添加全部完成后��,確定�。
選中剛添加完成的“端口過濾”規(guī)則,然后選擇“篩選器操作”選項(xiàng)卡��。
去掉“使用添加向?qū)А惫催x�����,單擊“添加”按鈕
選擇“阻止”
2. 選擇“常規(guī)”選項(xiàng)卡�����,給這個(gè)篩選器起名“阻止”����,然后“確定”���。
3. 確認(rèn)“IP篩選列表”選項(xiàng)卡下的“端口過濾”被選中�。確認(rèn)“篩選器操作”選項(xiàng)卡下的“阻止”被選中���。然后點(diǎn)擊“關(guān)閉”�。
4. 確認(rèn)安全規(guī)則配置正確。點(diǎn)擊確定�。
5. 在“組策略編輯器”上��,右鍵“分配”�,將規(guī)則啟用����。
另外如果是同行IDC廠商或者是大型企業(yè),PC規(guī)模較大����,建議優(yōu)先考慮在邊界防火墻以及核心交換機(jī)對(duì)445端口的通訊進(jìn)行攔截。
一些參考配置方式:
Juniper設(shè)備的建議配置(示例):
set firewall family inet filter deny-wannacry term deny445 fromprotocol tcp
set firewall family inet filter deny-wannacry term deny445 fromdestination-port 445
set firewall family inet filter deny-wannacry term deny445 thendiscard
set firewall family inet filter deny-wannacry term default thenaccept
#在全局應(yīng)用規(guī)則
set forwarding-options family inet filter output deny-wannacry
set forwarding-options family inet filter input deny-wannacry
#在三層接口應(yīng)用規(guī)則
set interfaces [需要掛載的三層端口名稱] unit 0 family inet filteroutput deny-wannacry
set interfaces [需要掛載的三層端口名稱] unit 0 family inet filter inputdeny-wannacry
華三(H3C)設(shè)備的建議配置(示例):
新版本:
acl number 3050
rule deny tcp destination-port 445
rule permit ip
interface [需要掛載的三層端口名稱]
packet-filter 3050 inbound
packet-filter 3050 outbound
舊版本:
acl number 3050
rule permit tcp destination-port 445
traffic classifier deny-wannacry
if-match acl 3050
traffic behavior deny-wannacry
filter deny
qos policy deny-wannacry
classifier deny-wannacry behavior deny-wannacry
#在全局應(yīng)用
qos apply policy deny-wannacry global inbound
qos apply policy deny-wannacry global outbound
#在三層接口應(yīng)用規(guī)則
interface [需要掛載的三層端口名稱]
qos apply policy deny-wannacry inbound
qos apply policy deny-wannacry outbound
華為設(shè)備的建議配置(示例):
acl number 3050
rule deny tcp destination-port eq 445
rule permit ip
traffic classifier deny-wannacry type and
if-match acl 3050
traffic behavior deny-wannacry
traffic policy deny-wannacry
classifier deny-wannacry behavior deny-wannacry precedence 5
interface [需要掛載的三層端口名稱]
traffic-policy deny-wannacry inbound
traffic-policy deny-wannacry outbound
Cisco設(shè)備的建議配置(示例):
舊版本:
ip access-list extended deny-wannacry
deny tcp any anyeq 445
permit ip any any
interface [需要掛載的三層端口名稱]
ip access-group deny-wannacry in
ip access-group deny-wannacry out
新版本:
ip access-list deny-wannacry
deny tcp any anyeq 445
permit ip any any
interface [需要掛載的三層端口名稱]
ip access-group deny-wannacry in
ip access-group deny-wannacry out
銳捷設(shè)備的建議配置(示例):
ip access-list extended deny-wannacry
deny tcp any anyeq 445
permit ip any any
interface [需要掛載的三層端口名稱]
ip access-group deny-wannacry in
ip access-group deny-wannacry out
