WCry 蠕虫勒索病毒的防护及反思 發布時間:2017-5-13

5月12日晚,WCry 勒索软件在全球爆发。在无需用户任何操作的情况下,通过Windows 445文件共享端口,传播并加密用户的数据,并对用户进行勒索。


WCry勒索蠕蟲的起源

1. 在2016?年?8?月有一个?“ShadowBrokers”?的黑客组织号称入侵了方程式组织窃取了大量机密文件,并将部分文件公开到了互联网上,方程式(EquationGroup)据称是?NSA(美国国家安全局)下属的黑客组织,有着极高的技术手段。 这部分被公开的文件包括不少隐蔽的地下的黑客工具。另外?“ShadowBrokers”?还保留了部分文件,打算以公开拍卖的形式出售给出价最高的竞价者, “ShadowBrokers”?预期的价格是?100?万比特币(价值接近5亿美元)。而“ShadowBrokers”的工具一直没卖出去。
2. 北京时间?2017?年?4?月?8?日,“ShadowBrokers”?公布了保留部分的解压缩密码,有人将其解压缩后的上传到Github网站提供下载。
3. 北京时间?2017?年?4?月?14?日晚,继上一次公开解压密码后,“Shadow Brokers”?,在推特上放出了第二波保留的部分文件,下载地址为https://yadi.sk/d/NJqzpqo_3GxZA4,解压密码是“Reeeeeeeeeeeeeee”。 此次发现其中包括新的23个黑客工具。具体请参考:https://github.com/misterch0c/shadowbroker/blob/master/file-listing。
4. 4月15日,vr彩票开户科技制作了防护漏洞的虚拟补丁,通过特征库的自动升级功能,部署到的客户环境中。
5. 4月17日,vr彩票开户科技公布了漏洞利用的方法,以及防护措施,参见《紧急!!!ShadowBrokers漏洞重现及防护》
6. 5月12日,利用漏洞的勒索软件大规模爆发。

通用的緊急防護方法

1. 设定Windows防火墙规则,关闭135/137/139/445端口的数据接入。
2. 升级微软补丁MS17-010
https://technet.microsoft.com/zh-cn/library/security/MS17-010

vr彩票开户科技对这次威胁的应对

vr彩票开户科技在4月15日针对公布的漏洞制作了虚拟补丁,使用《无边界云计算安全防护系统》的用户通过入侵防御的自动升级功能,可以及时的对其进行防护。
4月17日,vr彩票开户科技公布了漏洞的利用方法,并发出预警。

安全事件的反思

這次勒索軟件的大規模爆發發生在漏洞公布的一個月後,另外微軟已經提供了安全補丁的情況下,造成了巨大的損失。有些情況值得反思
1. 我们单位已经安装了防火墙和防毒墙,不需要买什么杀毒软件
網關的邊界安全防禦越來越難阻止惡意軟件的傳播,姑且不論惡意軟件不停變化以避免檢測,HTTPS的流行也讓安全網關成爲了擺設(爲了防止數據泄露,絕大部分的應用將采用HTTPS)。
2. 我们单位是专网,隔离网络,没有什么安全威胁
這次事件中,很多受感染的客戶是隔離網絡的用戶,由于是封閉網絡,安全防範意識不強,沒有及時的安全補丁升級的規範和措施。惡意軟件只要滲透到內網,就可以肆意傳播,全網感染(可以通過郵件、U盤等多種方式)。
3. 安全补丁打完后系统要重启?你说的容易,那是生产环境,重启就是事故
沒有建立補丁升級的規範和強制措施,運維人員爲了避免生産環境的業務中斷,忽視了系統補丁的重要性,造成了勒索軟件的巨大破壞力;又因爲業務數據非常重要,只能乖乖的支付贖金,又助長了勒索軟件的流行。
4. 我装了杀毒软件,为什么杀不了勒索软件
殺毒軟件基本上是先收集到惡意軟件樣本,才能制作出特征庫進行防禦,所以它不是解決所有問題的銀彈。特別是如今黑産公司和安全公司劇烈競爭的情況下,在變化越來越快的惡意軟件前,殺毒軟件的作用越來越小。

在這次安全事件,我們可以看到網關安全、殺毒軟件沒法保證我們的安全,強制並及時的漏洞管理、對用戶的行爲管控,減少威脅發生的概率,才是解決問題的方法。

1. 主机的漏洞管理,承载重要数据的服务器和终端,一定要有及时的安全补丁更新的制度。对于生产环境中的服务器,可以采用虚拟补丁的解決方案, 通过阻断疑似利用漏洞的数据访问行为,保证数据的安全,并避免服务重启引起的业务中断。安全的最后一道防线不是杀毒软件,而是虚拟补丁!!!
2. 用户的行为管控,对单位用户的行为数据进行审计,对于未知的威胁,也可以通过回溯用户的行为数据,找到威胁产生的根源,及时进行纠正和封堵。
3. 主机安全越来越重要,由于HTTPS、云计算的流行,企业的网络边界消失了,拒威胁于家门之外越来越不现实。很多以往在网关实现的安全防护,必须移到主机进行。这项变革Google等企业早在五年多前已经开始实施。