首页>资讯动态>应对“永恒之蓝”漏洞及WannaCry勒索病毒,迈普发布应急解决方案
应对“永恒之蓝”漏洞及WannaCry勒索病毒,迈普发布应急解决方案
发布时间:2017-05-15       来源:迈普通信       阅读:1504次


2017年5月12日晚,全球性爆发基于Windows网络共享协议进行攻击传播的恶意代码,经研究发现这是不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件。“永恒之蓝”通过扫描开放445文件共享端口的Windows系统设备,在联网条件下无需用户进行任何操作,不法分子就能在设备中植入勒索软件、远程控制木马、虚拟货币挖矿机等一系列恶意程序。本次攻击主要是通过“永恒之蓝”植入名为WannaCry(及其变种)的勒索病毒,目前已有上百国家遭受到攻击,国内教育网内大量高校和部分政府机构出现感染现象。


漏洞说明

2017年3月14日,Microsoft发布了MS17-010安全公告,披露了Windows SMB远程代码执行漏洞 CVE-2017-0143、CVE-2017-0144、CVE-2017-0145、CVE-2017-0146、CVE-2017-0148,并且向Windows多个版本发布了安全更新补丁(XP和2003版本除外)。今年4月份美国国家安全局(NSA)的武器库遭黑客窃取并在网上公开下载,其中本次事件主角EternalBlue(永恒之蓝)攻击工具正是利用3月微软发布的漏洞对Windows XP以上版本未更新安全补丁的系统进行攻击,开启了文件共享服务并且存在漏洞的系统在联网状态下用户将不会有任何感知即被远程执行恶意代码,如植入本次事件另一主角WannaCry勒索病毒。

NSA武器库针对Windows用户攻击工具

 


勒索病毒说明

早在数年前,勒索病毒就已经成为不法分子牟利的一种常用工具,其特征主要有:高强度非法加密用户数据;勒索后采用匿名货币进行支付,如比特币;危害等级高,用户无有效手段对数据进行恢复;传播途径多样化,如欺骗性邮件,网站劫持,软件劫持,系统漏洞等等。

 

本次WannaCry病毒之所以影响广泛,主要在于其传播手段先进,利用了Windows最新漏洞,在宽松的网络策略下对未能及时更新安全补丁的大量设备攻击,对数据、业务造成严重影响。


WannaCry勒索软件界面

 


迈普防范攻击解决方案

针对本次大规模攻击事件,迈普从终端防护、网络安全策略两个方面给出对应防范措施和建议。

 

终端防护:

1、已被感染的设备立即断开网络,避免病毒在内网进一步扩散

2、无需共享文件的设备关闭445端口及文件共享服务

3、备份重要数据文件至外部设备并修改后缀名为.maipu

4、及时更新对应操作系统安全补丁修复文件共享漏洞(重要)

5、更新设备防病毒软件特征库

6、更新操作系统至Windows 10版本

Windows系统安全补丁链接:

https://technet.microsoft.com/zh-cn/library/security/MS17-010(非XP及2003版本)

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598(XP及2003版本)

 

网络安全策略:

使用迈普产品组建的网络,可以在位于网络边界、区域边界的关键设备上配置网络安全策略,通过阻断445及其它关联端口(如135,137,139)的方式,预防本类攻击。如网络内有文件共享、共享打印需求,则不建议在边缘接入设备如AC、接入交换机配置策略。

 

01路由交换产品:

 

网络边界出口部署迈普路由、交换产品,主要采用禁止135/137/139/445服务端口以防范风险。注意确认是否有其它正常业务涉及该端口,避免影响正常业务使用。配置方式如下:

 

全局创建ACL表项,并在对应端口上调用。

Maipu#configure terminal

Maipu (config)#ip access-list extended deny-wannacry

Maipu (config-ext-nacl)#10 deny tcp any any eq 135

Maipu (config-ext-nacl)#20 deny tcp any any eq 137

Maipu (config-ext-nacl)#30 deny tcp any any eq 139

Maipu (config-ext-nacl)#40 deny tcp any any eq 445

Maipu (config-ext-nacl)#50 deny udp any any eq 135

Maipu (config-ext-nacl)#60 deny udp any any eq 137

Maipu (config-ext-nacl)#70 deny udp any any eq 139

Maipu (config-ext-nacl)#80 deny udp any any eq 445

Maipu (config-ext-nacl)#100 permit ip any any  

 //最后必须配置允许所有,否则可能引起所有业务中断

Maipu (config-ext-nacl)#exit

Maipu (config)#interface gigabitethernet 0/1 

//对应不同端口进行调整,如路由器连接互联网的接口或者交换机对应的VLAN接口

Maipu (config-if-gigabitethernet0/1)#ip access-groupdeny-wannacry in

 

02无线产品:

 

如果网络中部署了迈普无线设备,主要采用禁止135/137/139/445服务端口以防范风险。注意确认是否有其它正常业务涉及该端口,避免影响正常业务使用。

 

1、如果AC部署在局域网环境,建议在出口设备做相应防护策略,无需调整AC配置

2、如果AC作为互联网出口,则需要在AC上部署ACL防护策略,具体配置如下:

 

Maipu#configure terminal

Maipu (config)#ip access-list extended deny-wannacry

Maipu (config-ext-nacl)#10 deny tcp any any eq 135

Maipu (config-ext-nacl)#20 deny tcp any any eq 137

Maipu (config-ext-nacl)#30 deny tcp any any eq 139

Maipu (config-ext-nacl)#40 deny tcp any any eq 445

Maipu (config-ext-nacl)#50 deny udp any any eq 135

Maipu (config-ext-nacl)#60 deny udp any any eq 137

Maipu (config-ext-nacl)#70 deny udp any any eq 139

Maipu (config-ext-nacl)#80 deny udp any any eq 445

Maipu (config-ext-nacl)#100 permit ip any any

//最后必须配置允许所有,否则可能引起所有业务中断

Maipu (config-ext-nacl)#exit

Maipu (config)#interface gigabitethernet 0/1 

 //对应不同端口进行调整

Maipu (config-if-gigabitethernet0/1)#ip access-groupdeny-wannacry in

 

03安全产品:

 

1禁止双向135/137/139/445端口的连接建立(请务必业务使用的端口是否有在此禁止行列,避免影响正常业务使用)。

 

以MPSec ISG-1000系列上网行为管理安全网关配置为例,配置步骤如下:


 


2入侵防御特征库授权在有效期内的用户,可开启入侵防御功能进行深度防御,同时升级最新版本的IPS特征库版本。

 

以MPSec ISG-1000系列上网行为管理安全网关配置为例,配置步骤如下:


更多技术支持及咨询服务,欢迎拨打迈普技术服务热线:400-886-8669转2


关注我们


更多资讯,尽在迈普官方微信