【最新】wannacry勒索蠕虫危及99个国家 绿盟科技发布一键加固脚本及整体解决方案

北京时间5月12日晚间,全球爆发了一系列勒索软件(Wannacry)的感染事件。国内大量企业遭到感染,多个政企网络受到感染。同时英国多家医院,以及俄罗斯、意大利和大部分欧洲国家的多所高校也均被感染,该勒索软件会加密被感染系统上的资料和数据,要求支付相应的赎金才会解密和恢复。据国外报道,截至目前全球范围影响了99个国家,超过57000个计算机系统,国内大量企业遭到感染,目前这场战斗还在持续进行中。

勒索软件爆发后,绿盟科技安全人员第一时间对该蠕虫进行了紧急分析并制定了一系列安全防护及临时解决方案。

Wannacry勒索蠕虫官方解决方案

由于该勒索软件利用了一个微软官方的SMB漏洞,请用户及时检查是否安装了相关的修复补丁,并确保已经下载安装了相关补丁。

微软在2017年3月14日发布了Windows SMB服务器安全更新KB4012598。链接:https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

另外,由于本次Wannacry蠕虫事件的巨大影响,微软总部刚才决定发布已停服的XP和部分服务器版特别补丁:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

Wannacry勒索蠕虫临时解决方案

1、 绿盟科技提供一键加固脚本,将如下脚本保存为.bat,用管理员权限执行,即可帮助客户自动添加主机防火墙阻断规则:

特别注意,请在断网情况下,执行脚本,完成一键加固。本文会持续持续更新脚本,请大家关注脚本发布情况。

@echo off
mode con: cols=85 lines=30
:NSFOCUSXA
title  WannaCry勒索病毒安全加固工具  
color 0A
cls
echo.                   
echo.                      
echo -----------------------  WannaCry勒索病毒安全加固工具  --------------------------
echo.                                                                         
echo.       
echo    * WannaCry勒索软件可加密硬盘文件,受害者必须支付高额赎金才有可能解密恢复,安
echo      全风险高,影响范围广!
echo.                                                                     
echo    * 网络层面:建议边界防火墙阻断445端口的访问,可通过IPS、防火墙相关安全设备配
echo      置相关阻断策略。    
echo.
echo    * 终端层面:暂时关闭Server服务,使用命令"netstat -ano | findstr ":445"",确保
echo      关闭445端口,建议在微软官网下载MS17-010补丁,选择对应的版本进行补丁安装,补
echo      丁下载地址:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598。        
echo.     
echo    * 必须以系统管理员身份运行,以下提供此工具所做的操作的介绍:
echo.
echo       1:WIN7加固 2:WIN10加固 3:WIN2003加固 4:WIN2008加固 5:WIN2012加固
echo       6.WIN2016加固          
echo.  
echo       7: 退出                                                              
echo                                                       绿盟科技 V1.3                      
echo                                                      www.nsfocus.com 
echo                                                                  
echo ---------------------------------------------------------------------------------
echo.
set start=
set /p start=    输入(1 2 3 4 5 6)后按回车键:
if "%start%"=="1" goto WIN7
if "%start%"=="2" goto WIN10
if "%start%"=="3" goto WIN2003
if "%start%"=="4" goto WIN2008
if "%start%"=="5" goto WIN2012
if "%start%"=="6" goto WIN2016
if "%start%"=="7" goto quit
goto NSFOCUSXA

:WIN7
net stop server /Y > nul
sc config lanmanserver start= disabled
netsh advfirewall set currentprofile state on > nul
netsh advfirewall firewall add rule name="DenyEquationTCP" dir=in action=block localport=445 remoteip=any protocol=tcp > nul
netsh advfirewall firewall add rule name="DenyEquationUDP" dir=in action=block localport=445 remoteip=any protocol=udp > nul
echo ---------------------------------------------------------------------------------
echo    *  Windows 7系统加固命令执行完毕!
echo .
pause
goto NSFOCUSXA
:WIN10
net stop server > nul
sc config lanmanserver start= disabled
netsh firewall set opmode enable > nul
netsh advfirewall firewall add rule name="DenyEquationTCP" dir=in action=block localport=445 remoteip=any protocol=tcp > nul
netsh advfirewall firewall add rule name="DenyEquationUDP" dir=in action=block localport=445 remoteip=any protocol=udp > nul
echo ---------------------------------------------------------------------------------
echo    *  Windows 10系统加固命令执行完毕!
echo .
pause
goto NSFOCUSXA
:WIN2003
net stop server > nul
net start sharedaccess > nul
sc config lanmanserver start= disabled
netsh firewall add portopening protocol = ALL port = 445 name = DenyEquationTCP mode = DISABLE scope = ALL profile = ALL > nul
echo ---------------------------------------------------------------------------------
echo    *  Windows Server 2003系统加固命令执行完毕!
echo .
pause
goto NSFOCUSXA

:WIN2008
net stop server /Y > nul
sc config lanmanserver start= disabled
netsh advfirewall set currentprofile state on > nul
netsh advfirewall firewall add rule name="DenyEquationTCP" dir=in action=block localport=445 remoteip=any protocol=tcp > nul
netsh advfirewall firewall add rule name="DenyEquationUDP" dir=in action=block localport=445 remoteip=any protocol=udp > nul
echo ---------------------------------------------------------------------------------
echo    *  Windows Server 2008系统加固命令执行完毕!
echo .
pause
goto NSFOCUSXA

:WIN2012
net stop server > nul
net start MpsSvc > nul
sc config lanmanserver start= disabled
netsh advfirewall firewall add rule name="DenyEquationTCP" dir=in action=block localport=445 remoteip=any protocol=tcp > nul
netsh advfirewall firewall add rule name="DenyEquationUDP" dir=in action=block localport=445 remoteip=any protocol=udp > nul
echo ---------------------------------------------------------------------------------
echo    *  Windows Server 2012系统加固命令执行完毕!
echo .
pause
goto NSFOCUSXA
:WIN2016
net stop server > nul
sc config lanmanserver start= disabled
netsh advfirewall firewall add rule name="DenyEquationTCP" dir=in action=block localport=445 remoteip=any protocol=tcp > nul
netsh advfirewall firewall add rule name="DenyEquationUDP" dir=in action=block localport=445 remoteip=any protocol=udp > nul
echo ---------------------------------------------------------------------------------
echo    *  Windows Server 2016系统加固命令执行完毕!
echo .
pause
goto NSFOCUSXA

2、 硬件防火墙添加阻断445端口规则。

Wannacry勒索蠕虫绿盟科技产品检测与防护方案

1、绿盟科技远程安全评估系统(RSAS)已经支持对MS17-010漏洞的扫描,可以对对应的windows主机进行漏洞扫描。对应漏洞编号如下:

漏洞标题(MS17-010)

CVE 编号

Windows SMB 远程代码执行漏洞

CVE-2017-0143

Windows SMB 远程代码执行漏洞

CVE-2017-0144

Windows SMB 远程代码执行漏洞

CVE-2017-0145

Windows SMB 远程代码执行漏洞

CVE-2017-0146

Windows SMB 远程代码执行漏洞

CVE-2017-0148

 

通过以下链接,将插件升级到最新版本即可检测:

RSAS 6.0:http://update.nsfocus.com/update/listRsasDetail/v/vulsys

RSAS 5.0:http://update.nsfocus.com/update/listAurora/v/5

绿盟产品入侵防御系统NIPS、威胁分析系统TAC联动防护:
设备

相关功能

NIPS

规则ID

23994

可检测 EternalBlue。

41489

可以检测利用 NSA 工具入侵之后,使用Doublepulsar 留下的后门并阻断入侵。

TAC

可捕获恶意样本,对恶意样本报警,联动 IPS 阻断恶意样本传播。

NF防火墙

可以防护阻断445端口流量。

 

绿盟入侵防御系统NIPS可以根据规则ID 41489检测并阻断EternalBlue后门:

绿盟威胁分析系统TAC利用新型虚拟执行检测技术可以有效检测出该蠕虫,并联动入侵防御系统NIPS,进行阻断:

分析恶意样本的可疑行为:

用户可通过以下链接对NIPS和TAC进行升级:

入侵防护系统(NIPS):http://update.nsfocus.com/update/downloads/id/18051

威胁分析系统(TAC):http://update.nsfocus.com/update/downloads/id/18052

同时,绿盟科技针对漏洞管理过程的复杂性、资产量大的特点,推出了一款结合威胁情报的漏洞管理方案,绿盟威胁和漏洞管理方案(简称TVM)。在上次方程式危机 绿盟科技TVM情报驱动快速应急响应,可以看到TVM能够全面的发现和梳理资产,监督漏洞修补的过程,尤其是对外部漏洞利用情况进行跟踪,对于已经有漏洞利用程序的漏洞,紧急提高优先级,提醒需要立即修补,能够一定程度上协助对抗依靠漏洞进行传播的恶意软件。

Wannacry勒索蠕虫整体防护方案

绿盟科技针对信息系统的统一安全策略配置和安全补丁管理方面,向机构客户提供安全解决方案:

  • BVS安全配置核查系统,协助机构客户制定操作系统的统一安全配置策略基线,并可使用自动化手段对策略配置的落实情况进行检查,督促包括Windows服务器和桌面终端在内的信息资产有效实现最小化的安全策略配置。

  • TVM威胁漏洞管理平台,协助机构客户实现高效的安全漏洞全生命周期闭环管理,从根本上杜绝利用系统安全漏洞的恶意攻击和恶意代码感染风险。

  • NGSD云安全桌面解决方案,协助机构客户建立云安全桌面机制,更高效地实现终端系统安全策略的统一集中管理,降低分布式桌面系统的整体安全风险。

Wannacry勒索蠕虫攻击机理分析

WannaCry主要利用钓鱼邮件进入受害机构的内部网络,进而以蠕虫病毒方式侵害内部网络中的其它Windows服务器和桌面终端。

WannaCry利用MS17-010漏洞,向用户机器的445端口发送精心设计的网络数据包文,实现远程代码执行。勒索软件被漏洞远程执行后,会通过Windows Crypto API对多种类型的文件进行AES+RSA的组合加密,被加密后的文件扩展名被统一改为“.WNCRY”。

Windows系统中以下所有后缀类型的文件均会被WannaCry进行恶意加密:

.docx.docb.docm.dot.dotm.dotx.xls.xlsx.xlsm.xlsb.xlw.xlt.xlm.xlc.xltx.xltm.ppt.pptx.pptm.pot.pps.ppsm.ppsx.ppam.potx.potm.pst.ost.msg.eml.edb.vsd.vsdx.txt.csv.rtf.123.wks.wk1.pdf.dwg.onetoc2.snt.hwp.602.sxi.sti.sldx.sldm.sldm.vdi.vmdk.vmx.gpg.aes.ARC.PAQ.bz2.tbk.bak.tar.tgz.gz.7z.rar.zip.backup.iso.vcd.jpeg.jpg.bmp.png.gif.raw.cgm.tif.tiff.nef.psd.ai.svg.djvu.m4u.m3u.mid.wma.flv.3g2.mkv.3gp.mp4.mov.avi.asf.mpeg.vob.mpg.wmv.fla.swf.wav.mp3.sh.class.jar.java.rb.asp.php.jsp.brd.sch.dch.dip.pl.vb.vbs.ps1.bat.cmd.js.asm.h.pas.cpp.c.cs.suo.sln.ldf.mdf.ibd.myi.myd.frm.odb.dbf.db.mdb.accdb.sql.sqlitedb.sqlite3.asc.lay6.lay.mml.sxm.otg.odg.uop.std.sxd.otp.odp.wb2.slk.dif.stc.sxc.ots.ods.3dm.max.3ds.uot.stw.sxw.ott.odt.pem.p12.csr.crt.key.pfx.der。

攻击者向WannaCry的受害者在六个小时期限内索要相当于300美元的比特币赎金,此后每隔数小时,赎金会进一步上涨。已有证据表明,即便受害者缴纳了赎金,攻击者也未按照承诺提供文件解密。

Wannacry勒索蠕虫防护建议

需要特别说明的是,对于已经感染WannaCry的计算机,目前没有理想办法实现数据恢复,因此应急防范的重点应当在于尽可能抑制该勒索软件的传播和扩散,使大量可能被感染的计算机和网络具备针对该勒索软件的免疫能力,最大程度上降低受影响的计算机数量和范围。

  由于WannaCry是通过网络传播,且利用Windows系统服务中的漏洞进行感染,因此针对该类型勒索软件的紧急防范,也应该在网络传播途径和Windows终端系统两方面进行应对。

  WannaCry主要通过钓鱼电子邮件传入机构内部网络,因此在网络边界应当部署可以检测到该勒索软件特征的IPS入侵防范系统,绿盟科技在捕获到WannaCry的样本,对其进行分析之后,对应的检测规则已经添加到IPS系统的攻击规则库中,部署了绿盟IPS系统的客户应当尽快进行规则库升级,以实现对WannaCry的有效检测和阻断,这样能够抑制该勒索软件的扩散和传播。

  WannaCry利用Windows系统服务445端口存在的漏洞实现感染,无论是关闭可能存在漏洞的系统服务,还是及时安装微软最新发布的安全补丁,都能够实现针对该勒索软件的有效免疫。已经被感染的终端用户该怎么办?

  由于WannaCry采用的是AES+RSA的高强度加密机制,因此在没有解密秘钥的情况下,没有有效办法实现文件恢复,似乎向攻击者缴纳赎金是唯一的出路,但是绿盟科技建议受害用户对缴纳赎金持谨慎态度,如同现实中的绑架案件,即便缴纳了赎金仍然频频发生撕票的结果,勒索软件的攻击者也是完全无底线的,目前已有证据表明,有的受害者在约定期限内向攻击者缴纳了赎金,然而攻击者却不按照约定承诺提供解密秘钥,受害者被加密的文件数据仍然无法解密恢复,我们应该清楚认识到,勒索软件的攻击者只是以敲诈受害者的赎金为最终目的的无赖,而远非盗亦有道的江湖侠客。 

尚未受感染的终端用户该怎么办?

  由于存在着同一网络中已存在被感染的其它Windows计算机,导致WannaCry在内部网络中扩散的风险,尚未受感染的终端用户应当在第一时间于断开网络状态下,紧急屏蔽Windows的445服务端口,最简单的方法是按照如下操作步骤,完成windows防火墙的设置。

屏蔽445服务端口后,用户应尽快完成微软MS17-010安全补丁升级,微软在2017年3月14日发布了Windows SMB服务器安全更新KB4012598,链接为:

https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

  另外,由于本次Wannacry蠕虫事件的巨大影响,微软总部决定发布已停服的XP和部分服务器版特别补丁,链接为:

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

安全运维又该怎么做?

网络边界如果已经部署NIPS系统,运维人员应当尽快完成NIPS检测规则库的升级,阻断WannaCry勒索软件从互联网进入机构内部网络的主要途径。

如果机构内部网络中部署有集中的补丁管理系统,应当尽快完成微软MS17-010安全补丁的统一升级,使得Windows计算机具备对WannaCry勒索软件的免疫能力。

基于多年漏洞管理经验,对日常防勒索软件提出 5点建议:

1、 漏洞及时修补

系统补丁要及时更新,对于严重漏洞更要抓紧时间修补。被此次勒索软件事件利用的微软SMB漏洞,绿盟科技漏洞扫描产品在3月份的微软补丁公布时就已经提供升级监测能力,可以及早检测和修补。

另外,尤其是当漏洞程序公开的情况下,更要立刻进行补丁更新。关注绿盟科技威胁公众号,能够及时获得此类漏洞动态信息。

2、 提高防范意识

勒索软件不止一种,也不仅是通过Windows漏洞进行传播,也会通过广撒网的垃圾邮件携带恶意软件的方式进行钓鱼攻击,或者诱使受害人点击不良网站上的URL进行攻击。安全防范意识需要进行日常教育、不断积累,绿盟科技也会经常发布安全提醒文章在公众号中。

3、 备份

如果资料非常重要,建议经常备份,不只是面对勒索软件如此,各类软硬件故障也会导致资料消失,定期备份重要数据是非常有效的防御手段,备份周期视数据的实时性和重要性以及成本来确定。

4、 不要轻易付款

先不提即使付款也不一定能找回你的数据,勒索行为跟盗窃一样,一次获益会让攻击者尝到甜头,而持续成为攻击目标。

5、 防病毒软件

一些专业的防病毒软件,在有些情况下可以起到作用,如金山毒霸等。

Wannacry勒索蠕虫引发的一些思考

这次勒索软件复杂吗?它的攻击形式高明吗?它所利用的漏洞没有补丁吗?答案都是否定的,我们可以很清楚的看到:

既然类似的事件有了,漏洞补丁早就有了,而且利用程序早就知道了,为什么还有这么多网络中招儿?漏洞被利用有一个时间周期,正常情况下,我们可以在这段时间内修补存在的漏洞。漏洞利用也是一个动态的过程,一些漏洞相关的安全事件发生,漏洞修补的响应级别就应该相应提高,尤其已经有了漏洞利用程序被公开。

然而,经常由于对人员时间、精力等而修补缓慢,或者由于业务系统在内网重重隔离环境下而掉以轻心,或者根本就有些资产疏于管理而长久没有更新。

终于,勒索软件盯上了这个点,结果也是非常严重的,从之前安全加报道勒索软件的系列文章就可以看到,勒索软件在近2年是非常活跃的,勒索软件盯上工控了 来看看工控勒索软件ClearEnergy和Scythe, 勒索软件盯上了大数据 , Popcorn Time勒索软件玩传销 , PetrWrap勒索软件半道绑架了Petya勒索软件 , 勒索软件+蠕虫病毒结合 , 垃圾邮件、勒索软件、DDoS攻击三合一 , Karmen勒索软件即服务诞生了 , 解密勒索软件 遭到疯狂报复 

我们应该看到应对勒索软件,需要整个安全运维生命周期来进行,既有安全策略,安全流程,也有安全产品的使用,是一个持续的,长期的,不断更新的过程。

发表评论