“永恒之藍”勒索病毒安全事件應急指導手冊

　　相關說明

　　北京時間2017年05月12日，安恒信息監測到黑客利用NSA黑客武器庫泄漏的“永恒之藍”工具發起的網絡攻擊事件：大量服務器和個人PC感染病毒后被遠程控制，成為不法分子的比特幣挖礦機（挖礦會耗費大量計算資源，導致機器性能降低），甚至被安裝勒索軟件，磁盤文件會被病毒加密為.onion或者.WNCRY后綴，用戶只有支付高額贖金后才能解密恢復文件，對個人及企業重要文件數據造成嚴重損失。受感染圖片如下所示：

　　“EternalBlue”工具利用的是微軟Windows操作系統的SMBv1協議中的安全漏洞。未經身份驗證的攻擊者可以向目標機器發送特制報文觸發緩沖區溢出，導致在目標機器上遠程執行任意代碼。“永恒之藍”工具會掃描開放445文件共享端口的Windows機器，只要用戶開機上網，黑客就可能在電腦和服務器中植入勒索軟件。

　　之前國內曾多次爆發利用445端口傳播的蠕蟲，運營商對個人用戶封掉此端口；但國內特定行業的網絡無此限制，存在大量暴露445端口的機器，因此也成為了此次感染事件的重災區，已經有大量該行業網絡的用戶報告個人PC被安裝了勒索軟件。此外，根據國外媒體的報道，目前英國、美國、俄羅斯、西班牙、意大利、越南、中國臺灣等國家和地區也出現了被感染的情況。

　　影響范圍

　　MS17-010漏洞主要影響以下操作系統：

　　桌面版本操作系統：

　　Windows 2000

　　Windows XP

　　Windows Vista

　　Windows7

　　Windows8

　　Windows8.1

　　Windows10

　　服務器版本操作系統：

　　Windows Server 2000

　　Windows Server 2003

　　Windows Server 2008

　　Windows Server 2012

　　Windows Server 2016

　　檢測方法

　　由于“EternalBlue”的利用代碼主要針對Windows XP、Windows7、Windows Server 2008等，這些版本的操作系統占桌面、服務器操作系統的大部分，因此此次事件對于Windows的影響非常嚴重。

　　檢測方法只需檢測受影響的Windows操作系統版本只要打開了445端口、且沒有安裝MS17-010的機器則確認會受到影響。

　　檢測是否對外監聽445端口，可以采用Telnet方式，也可以使用專業的端口掃描工具，如下所示：

　　1）Telnet命令：telnet [ip 地址] 445

　　▲ 用Telnet檢測到主機開放445端口

　　2）端口掃描方法：

　　# nmap -sS -p 445 -vv 192.168.1.1/24

　　或者使用其他端口掃描工具

　　例如：Softperfect Network Scanner

　　配置掃描端口為445

3）使用Nmap進行網絡端口掃描：

　　# nmap -sS -p 445 -vv 192.168.47.1/24

▲ Nmap掃描445端口（SYN掃描速度快）

　　4. 檢測系統安裝更新情況

　　通過檢查系統的更新情況可以知曉系統是否已經針對MS17-010安裝過安全補丁，檢查方法為 “控制面板”->“程序和功能”->“已安裝更新”(相關布丁編號見https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx )

▲ Windows7系統安全更新情況（上圖未安裝）

　　問：我的主機沒有監聽445端口是不是就說明系統是沒有問題的？

　　答：目前勒索病毒“永恒之藍”的感染途徑為網絡445端口，所以阻斷445端口通信可以防止來自網絡的感染行為，但是系統仍然是不安全的，因為相關安全補丁還未及時更新，安恒信息專家建議做好網絡防護后做好相關補丁更新工作。

　　問：我的網絡中部署安恒信息專業APT預警平臺，是否能夠對相關病毒攻擊行為進行審計告警？

　　答：明鑒APT預警平臺在3月已經針對MS17-010的攻擊開發了專業攻擊預警策略，能夠第一時間審計相關攻擊行為，最快發現攻擊來源及攻擊目標，并及時發出告警，保障系統針對“永恒之藍”病毒爆發、MS17-010攻擊的告警。

應急處置

　　對于已經感染的系統

　　斷開已經感染的主機系統的網絡連接，防止進一步擴散；

　　優先檢查未感染主機的漏洞狀況，做好漏洞加固工作后方可恢復網絡連接。

　　已經感染終端，根據終端數據重要性決定處置方式，如果重新安裝系統則建議完全格式化硬盤、使用全新操作系統、完善操作系統補丁、安裝防病毒軟件并通過檢查確認無相關漏洞后再恢復網絡連接。

　　對于未感染的系統

　　注意：以下操作有先后順序，請逐步開展

　　[*非常重要*] 拔掉網線之后再開機啟動

　　做好重要文件的備份工作（最好備份到存儲介質中）

　　開啟系統防火墻，并設置阻止向445端口進行連接，可以使用以下命令開展：

　　方法一：

　　echo "請務必以管理員身份運行"

　　netsh firewall set opmode enable

　　netsh advfirewall firewall add rule name="deny445" dir=in protocol=tcp localport=445 action=block

　　方法二：

　　Windows 32位關閉445端口批處理（bat）：

　　REG ADD HKLM\SYSTEM\CurrentControlSet\services\NetBT\Parameters /v SMBDeviceEnabled /T REG_DWORD /D 0 /F&&sc  config LanmanServer start= disabled&&net stop lanmanserver /y

　　Windows x64位關閉445端口批處理（bat）：

　　REG ADD HKLM\SYSTEM\CurrentControlSet\services\NetBT\Parameters /v SMBDeviceEnabled /T REG_QWORD /D 0 /F&&sc  config LanmanServer start= disabled&&net stop lanmanserver /y

　　新建文本文檔，然后復制以上腳本內容，另存為【.bat】格式的文件，并右鍵【管理員運行】，待CMD對話框消失后，重啟電腦即可。

　　如無必需，建議關閉SMB共享服務

　　打開系統自動更新，并檢測系統補丁進行安裝，如果是內網環境可以采用離線補丁方式更新

　　安裝殺毒軟件并升級病毒庫；

　　增強個人主機病毒防范意識，不隨意打開位置來源的文件，關閉移動存儲自動播放功能等

　　網絡層防護

　　邊界交換機、路由器、防火墻等設備禁止雙向135/137/139/445端口的TCP連接

　　內網核心主干交換路由設備禁止雙向135/137/139/445端口的TCP連接

　　更新入侵防御、入侵檢測、APT等安全設備漏洞庫，開啟防御策略

離線補丁下載地址

　　Security Update for Windows XP SP3 (KB4012598)

　　http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-chs_dca9b5adddad778cfd4b7349ff54b51677f36775.exe

　　Security Update for Windows Server 2003 (KB4012598)

　　http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-chs_b45d2d8c83583053d37b20edf5f041ecede54b80.exe

　　Security Update for Windows Server 2003 for x64 Systems (KB4012598)

　　http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-chs_68a2895db36e911af59c2ee133baee8de11316b9.exe

　　Security Update for Windows 7 (KB4012212)

　　http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu

　　Security Update for Windows 7 x64 (KB4012212)

　　http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu

　　Security Update for Windows Server 2008 R2 x64 (KB4012212)

　　http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu

　　Security Update for Windows10 (KB4012606)

　　http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x86_8c19e23de2ff92919d3fac069619e4a8e8d3492e.msu

　　Security Update for Windows10 x64 (KB4012606)

　　http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x64_e805b81ee08c3bb0a8ab2c5ce6be5b35127f8773.msu