WannaCry 应对措施

一、 事件回顾
2017年5月12日起互联网爆发了名为“WannaCry”新型勒索病毒，此病毒通过445端口利用SMB漏洞MS17-101在Windows电脑间扩散感染，被感染电脑的文件将被加密，导致文件不可用。
根据网络安全机构通报，这是不法分子利用NSA黑客武器库泄漏的“永恒之蓝”发起的蠕虫病毒攻击事件。恶意代码会扫描开放445文件共享端口的Windows机器，无需用户任何操作，只要开机上网，不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。
小贴士：什么是勒索软件？
勒索软件通常会将用户系统上文档、邮件、数据库、源代码、图片、压缩文件等多种文件进行某种形式的加密操作，使之不可用，或者通过修改系统配置文件、干扰用户正常使用系统的方法使系统的可用性降低，然后通过弹出窗口、对话框或生成文本文件等的方式向用户发出勒索通知，要求用户向指定帐户汇款来获得解密文件的密码或者获得恢复系统正常运行的方法。

二、 解决方案
 该攻击涉及MS17-010漏洞，我们可以采用以下方案进行解决
1.漏洞名称：
    Microsoft Windows SMB远程任意代码执行漏洞 (MS17-010)
包含如下CVE：
CVE-2017-0143 严重 远程命令执行
CVE-2017-0144 严重 远程命令执行
CVE-2017-0145 严重 远程命令执行
CVE-2017-0146 严重 远程命令执行
CVE-2017-0147 重要 信息泄露
CVE-2017-0148严重 远程命令执行
 
漏洞描述：
SMBv1 server是其中的一个服务器协议组件。
Microsoft Windows中的SMBv1服务器存在远程代码执行漏洞。
远程攻击者可借助特制的数据包利用该漏洞执行任意代码。
以下版本受到影响：

Microsoft Windows Vista SP2
Windows Server 2008 SP2和R2 SP1
Windows 7 SP1
Windows 8.1
Windows Server 2012 Gold和R2
Windows RT 8.1
Windows 10 Gold
1511和1607
Windows Server 2016

2.防护方法
2.1. 对于终端主机
1）为计算机安全最新的安全补丁，微软已经发布补丁MS17-010,网址为https://technet.microsoft.com/zh-cn/library/security/MS17-010
2）关闭445、135、137、138、139端口，关闭网络共享。
3）建议仍在使用windows xp， windows 2003操作系统的用户尽快升级到 window 7/windows 10，或 windows 2008/2012/2016操作系统。
4）禁止内网终端接入互联网。

2.1 联软桌面管理软件快速分发补丁的方法：
1）分发禁用445端口脚本
功能：将脚本下发到每个客户端。禁止访问445端口（可能影响共享打印机使用）。
下载链接：https://pan.baidu.com/s/1eS9WTI6
在联软控制台上的桌面管理——软件分发配置——基本配置页面，上传指定文件，并且执行安装指令：安装包名称(Anti445.exe)
填写应用范围（此处为所有）
 
2）补丁分发
方法一：通过软件分发功能进行补丁分发：
补丁下载链接：https://pan.baidu.com/s/1eSvJIh0
补丁下载链接：https://pan.baidu.com/s/1bpNAhR5
依照下图进行设置：
 
方法二：通过补丁下载管理进行分发安装：
运行补丁下载器（如下图）
下载完毕之后将下载好的补丁文件补丁拷贝至LeagSoft\LeagView\JBOSS402\bin\download\distribute\smartcab\
重启联软leagview运维管理服务，查询是否存在需要的补丁，配置指定补丁更新策略，下发客户端安装。
微软自带的WSUS的补丁分发功能比较简单，联软的软件分发及补丁分发功能强大，统计功能一目了然，是提高生产力的有效工具。

2.2.CheckPoint安全设备防范来自外网及安全域之间的攻击和感染，具体操作如下：
策略规则库：
1）登录防火墙管理平台，在安全规则策略最顶端新建一条Drop策略
 
2）在策略规则“Service”里新添加TCP445、TCP135、TCP137、TCP138、TCP139端口
（注：CheckPoint对于445端口和139端口设备本身协议库里默认自带，无需新建该端口，如下图所示）
  
3）策略规则库里源地址和目的地址均为“any”
（CheckPoint默认规则库的源和目的对象均为any，无需另外添加）

4）完成以上配置后，执行“install policy”把配置推送至防火墙执行。
 
IPS签名库：
CheckPoint IPS签名库早在4月24日就release了，只要CheckPoint设备之前一直有运行IPS功能，只需开启图中的签名即可
 
2.3 绿盟NIPS设备防范来自外网及安全域之间的攻击和感染，具体操作如下：
检查规则库是否存在新增规则“Windows SMB远程代码执行漏洞(ShadowBrokers EternalBlue)补丁”，规则号为“23994和“41489可以查询NIPS规则库中详细的规则信息，如下图所示，可以按照规则编号或规则描述进行搜索，也可以直接单击“查询”列出全部规则。
 
如果规则库中无23994和41489规则号，则系统规则库需升级至5.6.9.15945

三、前事不忘后事之师——日常的安全防范措施
1. 定期更新Windows操作系统，应保证Windows版本在微软的支持范围内
2. 定期更新Windows的安全补丁，重要的安全补丁全部
3. 定期更新IPS的规则库
4. 在防火墙上封堵高危的端口，如TCP445、TCP137、TCP138、TCP139
5. 采用提高生产力的运维管理工具，如：桌面管理系统、准入控制系统、集中管理的防火墙等等
6. 多与业界知名的安全公司交流，掌握最新安全新技术
7. 把功夫用在日常，遇到安全事件时才不会抓瞎