下载中心    联系我们
首页>资源中心>新闻中心>应对“永恒之蓝”漏洞及WannaCry勒索病毒,迈普发布应急 解决方案
应对“永恒之蓝”漏洞及WannaCry勒索病毒,迈普发布应急 解决方案


2017年5月12日晚,全球性爆发基于Windows网络共享协议 进行攻击传播的恶意代码,经研究发现这 是不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起 的网络攻击事件。“永恒之蓝”通过扫描开放445文件共享端口的Windows系统设备,在联网条件下 无需用户进行任何操作,不法分子就能 在设备中植入勒索软件、远程控制木马、虚拟货币挖矿 机等一系列恶意程序。本次攻击主要是通过“永恒之蓝”植入名为WannaCry(及其变种)的勒索病毒,目前已有上百 国家遭受到攻击,国内教育网内 大量高校和部分政府机构出现感染现象。


漏洞说明

2017年3月14日,Microsoft发布了MS17-010安全公告,披露了Windows SMB远程代码执行漏洞 CVE-2017-0143、CVE-2017-0144、CVE-2017-0145、CVE-2017-0146、CVE-2017-0148,并且向Windows多个版本发布 了安全更新补丁(XP和2003版本除外)。今年4月份美国国家安全局(NSA)的武器库遭黑 客窃取并在网上公开下载,其中本次事件主角EternalBlue(永恒之蓝)攻击工具正是利用3月微软发布的漏洞对Windows XP以上版本未更 新安全补丁的系统进行攻击,开启了文件共 享服务并且存在漏洞的系统在联网状态下用户将不会有任何感知即被远程执行恶意代码,如植入本次事 件另一主角WannaCry勒索病毒。

NSA武器库针对Windows用户攻击工具

 


勒索病毒说明

早在数年前,勒索病毒就已 经成为不法分子牟利的一种常用工具,其特征主要有:高强度非法加 密用户数据;勒索后采用匿 名货币进行支付,如比特币;危害等级高,用户无有效手 段对数据进行恢复;传播途径多样化,如欺骗性邮件,网站劫持,软件劫持,系统漏洞等等。

 

本次WannaCry病毒之所以影响广泛,主要在于其传 播手段先进,利用了Windows最新漏洞,在宽松的网络 策略下对未能及时更新安全补丁的大量设备攻击,对数据、业务造成严重影响。


WannaCry勒索软件界面

 


迈普防范攻击 解决方案

针对本次大规 模攻击事件,迈普从终端防护、网络安全策略 两个方面给出对应防范措施和建议。

 

终端防护:

1、已被感染的设 备立即断开网络,避免病毒在内 网进一步扩散

2、无需共享文件 的设备关闭445端口及文件共享服务

3、备份重要数据 文件至外部设备并修改后缀名为.maipu

4、及时更新对应 操作系统安全补丁修复文件共享漏洞(重要)

5、更新设备防病 毒软件特征库

6、更新操作系统至Windows 10版本

Windows系统安全补丁链接:

https://technet.microsoft.com/zh-cn/library/security/MS17-010(非XP及2003版本)

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598(XP及2003版本)

 

网络安全策略:

使用迈普产品 组建的网络,可以在位于网络边界、区域边界的关键设备上 配置网络安全策略,通过阻断445及其它关联端口(如135,137,139)的方式,预防本类攻击。如网络内有文件共享、共享打印需求,则不建议在边 缘接入设备如AC、接入交换机配置策略。

 

01路由交换产品:

 

网络边界出口 部署迈普路由、交换产品,主要采用禁止135/137/139/445服务端口以防范风险。注意确认是否 有其它正常业务涉及该端口,避免影响正常 业务使用。配置方式如下:

 

全局创建ACL表项,并在对应端口上调用。

Maipu#configure terminal

Maipu (config)#ip access-list extended deny-wannacry

Maipu (config-ext-nacl)#10 deny tcp any any eq 135

Maipu (config-ext-nacl)#20 deny tcp any any eq 137

Maipu (config-ext-nacl)#30 deny tcp any any eq 139

Maipu (config-ext-nacl)#40 deny tcp any any eq 445

Maipu (config-ext-nacl)#50 deny udp any any eq 135

Maipu (config-ext-nacl)#60 deny udp any any eq 137

Maipu (config-ext-nacl)#70 deny udp any any eq 139

Maipu (config-ext-nacl)#80 deny udp any any eq 445

Maipu (config-ext-nacl)#100 permit ip any any  

 //最后必须配置 允许所有,否则可能引起 所有业务中断

Maipu (config-ext-nacl)#exit

Maipu (config)#interface gigabitethernet 0/1 

//对应不同端口 进行调整,如路由器连接 互联网的接口或者交换机对应的VLAN接口

Maipu (config-if-gigabitethernet0/1)#ip access-groupdeny-wannacry in

 

02无线产品:

 

如果网络中部 署了迈普无线设备,主要采用禁止135/137/139/445服务端口以防范风险。注意确认是否 有其它正常业务涉及该端口,避免影响正常 业务使用。

 

1、如果AC部署在局域网环境,建议在出口设 备做相应防护策略,无需调整AC配置

2、如果AC作为互联网出口,则需要在AC上部署ACL防护策略,具体配置如下:

 

Maipu#configure terminal

Maipu (config)#ip access-list extended deny-wannacry

Maipu (config-ext-nacl)#10 deny tcp any any eq 135

Maipu (config-ext-nacl)#20 deny tcp any any eq 137

Maipu (config-ext-nacl)#30 deny tcp any any eq 139

Maipu (config-ext-nacl)#40 deny tcp any any eq 445

Maipu (config-ext-nacl)#50 deny udp any any eq 135

Maipu (config-ext-nacl)#60 deny udp any any eq 137

Maipu (config-ext-nacl)#70 deny udp any any eq 139

Maipu (config-ext-nacl)#80 deny udp any any eq 445

Maipu (config-ext-nacl)#100 permit ip any any

//最后必须配置 允许所有,否则可能引起 所有业务中断

Maipu (config-ext-nacl)#exit

Maipu (config)#interface gigabitethernet 0/1 

 //对应不同端口 进行调整

Maipu (config-if-gigabitethernet0/1)#ip access-groupdeny-wannacry in

 

03安全产品:

 

1禁止双向135/137/139/445端口的连接建立(请务必业务使 用的端口是否有在此禁止行列,避免影响正常 业务使用)。

 

以MPSec ISG-1000系列上网行为 管理安全网关配置为例,配置步骤如下:


 


2入侵防御特征 库授权在有效期内的用户,可开启入侵防 御功能进行深度防御,同时升级最新版本的IPS特征库版本。

 

以MPSec ISG-1000系列上网行为 管理安全网关配置为例,配置步骤如下:


更多技术支持 及咨询服务,欢迎拨打迈普 技术服务热线:400-886-8669转2


友情链接:    5亿彩票网   37彩票_安全购彩   时分彩票网址   23彩票代理   时分彩票网址