听大潘聊聊WannaCry的“过”与“功”

本篇文章2670字，读完约7分钟

说永恒的蓝色救赎虫大规模爆发是出人意料的。事实上，我不同意。早在3月14日，微软就发布了ms17-010的永久蓝色补丁；一个月前，这件事已经开始浮出水面。4月14日，黑客组织影子经纪人发布了一系列由nsa Formula组织的机密文件和工具，包括几个windows远程漏洞工具；第二天，金星之星发布了一个临时解决方案，建议受影响的windows操作系统应该首先关闭端口135、137、445和3389，或者使用防火墙阻止对上述端口的访问；与此同时，“金星之星”发布了一个升级的功能库；4月16日，在nsa一级方程式阿森纳被宣布后，金星之星也发布了一个有针对性的保护计划；4月21日，维纳斯还重点关注了蠕虫病毒(如永恒的蓝色)在内网传播的监控手段。

直到5月12日，永恒的蓝色勒索虫在全世界爆发了。

出人意料的是，利用现有补丁漏洞的攻击会产生如此巨大的影响。在研究了事件的线索后，很明显，这种软件蠕虫是可以被阻止的。金星之星首席战略官潘和也表达了他们对此事的看法。他说:这次勒索袭击既不是空，也不是最后一次。

自5月12日晚万纳克利病毒爆发后的几个小时内，就有100多个国家遭到了攻击，在24小时内，被监控的攻击次数超过了10次，而且攻击仍在蔓延。在中国，受灾最严重的地区是校园系统、医疗系统、能源行业和公共安全系统。事件发生后的第二天，中央电视台对万纳瑞做了紧急报道。

维纳斯还对万能可做了详细的反向分析，指出敲诈是最终目标，漏洞是前提。影子经纪人暴露出的许多漏洞是非常致命的，每一个都可能成为下一个永恒的蓝色的载体。随后，发布了泰和安全管理平台应急响应指南，为基于安全管理平台的事件分析和安全预警提供了操作指南。

事实上，我们可以从正反两个方面来分析这件事。

从积极的方面来看，在“假勒索”事件后，社会各方面都非常重视。无论是企事业单位还是个人网络用户，都在积极寻求一种摆脱它的解决方案，虽然这意味着弥补它，但这表明中国现在非常重视网络安全。国内网络安全供应商也树立了榜样，他们加班加点研究攻击并开发有效的解决方案。

潘达很高兴地说，社会自然形成的对灾害的三级处理似乎是有效的。目前的处置分为三个层次，一是自我保护和自我救助；二是民营企业自发的扁平化合作和协调反应；最后，是国家的团结和协调，以及集中指挥解决问题。潘达肯定地说，如果我们把盗版软件的爆发视为一场灾难，我们做得很好，但如果我们把盗版软件视为一个事件，那么被招募的企业和个人用户自己肯定会有问题。

事实上，如果我们运气不好，我们丢失的不仅仅是锁定的文件。潘达帮助我们整理了损失，分为三个部分:招聘后的损失分为直接损失和间接损失，其中间接损失所占比例较大；第二部分是此事处置造成的损失，包括正常处置下网络断开造成的工作效率损失，不当处置下网络无法恢复时如何开展下一步业务的问题，以及一旦社会基础设施受到影响，加油站无法加油等实际问题；最后，恐惧导致的过度处置所造成的损失可以反过来理解。例如，经过理性判断，事实上，我们不必过多地处理港口，因为经营者已经在这样做了。第三部分，说到底，我们要面对的是成本增加带来的损失，其中包括早期处置的成本损失，网络安全系统进一步升级和重新打包的成本损失，因为现在很多厂商为了保护自己的切身利益而关闭了升级，所以弥补起来肯定是一笔开支。

潘达强调，我们必须反思这些事情。首先是后援！后援。后援。把重要的事情说三遍；注意系统补丁；此外，关键基础架构还可以在网络断开的情况下确保业务连续性。然而，尽管勒索事件给了我们很大的教训，但潘达的结论是乐观和悲观的，其负面影响也促使我们不断完善网络安全防护体系。正是因为我们对这类事件给予了足够的重视，加强了保护这类事件的决心，我们才能为今后发生这类事件做好准备。

金星之星首席战略官潘

最后，Venus Chen补充说，当大多数主机已经更新了补丁并且已经部署了网络预防措施时，发现和消除残余势力尤为重要。与此同时，需要监控类似的攻击以防止其发生。基于此，陈总结了连日来金星的战斗经验:

1.没有端点安全性的终端应急解决方案

◆备份重要文件(非本地备份)。

◆打开系统防火墙。

◆使用系统防火墙的高级设置来阻止与端口445的连接(此操作将影响使用端口445的服务)。

◆打开自动系统更新，并检测安装更新。

◆停止使用windows xp、windows 2003和其他微软不再提供安全更新的操作系统。

◆如果不需要使用共享服务，建议关闭服务。

其次，部署了具有端点安全性的终端应急解决方案

◆如果用户已经部署了终端管理产品，比如田甜北新苑？，联软等

通过终端管理软件修补内部网。

◆关闭通过主机防火墙的堆栈流量。主机防火墙关闭445弹出流量。

◆打开文件审计，只允许word.exe和explore.exe访问文件。

◆升级已经部署了几天的病毒数据库？反病毒用户，支持杀戮。

三、网络应急解决方案

◆边境出口的交换路由设备禁止外部网络和内部网络端口135/137/139/445之间的连接。

◆内部网的核心骨干交换路由设备禁止连接端口135/137/139/445。

◆如果部署了入侵防御等防护系统，请尽快检查漏洞数据库升级，并打开防御策略。

◆发布通知时注意邮件、移动存储介质等通信渠道，做好检查和保护工作。

第四，解决方案已经被感染

◆断开网络连接，防止进一步传播。

◆优先检查未感染主机的漏洞状态(可以直接联系金星星，免费提供检测工具)，漏洞加固工作完成后才能恢复网络连接。

◆被感染终端应根据终端的数据类型进行处理。如果重新安装系统，建议完全格式化硬盘，使用新的操作系统，改进操作系统补丁，检查没有相关漏洞后恢复网络连接。

V.内部调查应急计划

◆如果用户已经部署了漏洞扫描产品，他们可以联系制造商获得最新漏洞数据库的支持。

◆对于已经部署金星天镜漏检产品的用户，请升级到最新的漏洞数据库。建议使用6070以上的遗漏扫描版本进行扫描，最新的漏洞数据库为607000088。对内部windows主机资产进行漏洞调查。

◆未部署相关产品的用户可以联系制造商，获得产品试用的紧急响应。

六.未能关闭服务端口的紧急解决方案

◆如果用户已经部署了utm/ips入侵防御产品，他们可以联系制造商获得最新事件库的支持。

◆对于已经部署金星科技入侵防御产品(ips/utm)的用户，请升级到最新的事件库，并发布相应的规则来保护内部windows主机。

◆未部署相关产品的用户可以联系制造商，获得产品试用的紧急响应。