2017年5月12日起， 全球性爆發(fā)基于Windows網(wǎng)絡(luò)共享協(xié)議進(jìn)行攻擊傳播的蠕蟲惡意代碼， 經(jīng)研究發(fā)現(xiàn)這是不法分子通過改造之前泄露的NSA黑客武器庫中“永恒之藍(lán)”攻擊程序發(fā)起的網(wǎng)絡(luò)攻擊事件。“永恒之藍(lán)”通過掃描開放445文件共享端口的Windows電腦甚至是電子信息屏，無需用戶進(jìn)行任何操作，只要開機(jī)聯(lián)網(wǎng)，不法分子就能在電腦和服務(wù)器中植入勒索軟件、遠(yuǎn)程控制木馬、虛擬貨幣挖礦機(jī)等一系列惡意程序。

【感染全球的勒索信息提示】

利用445文件共享端口實(shí)施破壞的蠕蟲病毒，曾多次在國內(nèi)爆發(fā)。因此，運(yùn)營商很早就針對個人用戶將445端口封閉，但是教育網(wǎng)并未作此限制，仍然存在大量開放的445端口。據(jù)有關(guān)機(jī)構(gòu)統(tǒng)計，目前國內(nèi)平均每天有5000多臺電腦遭到NSA“永恒之藍(lán)”黑客武器的遠(yuǎn)程攻擊，教育網(wǎng)已成重災(zāi)區(qū)!

目前，亞信安全已截獲WannaCry/Wcry勒索軟件，并將其命名為：RANSOM_WANA.A 和RANSOM_WCRY.I。早在5月2日，亞信安全服務(wù)器深度安全防護(hù)系統(tǒng)Deep Security 和亞信安全深度威脅發(fā)現(xiàn)設(shè)備TDA 已發(fā)布補(bǔ)丁能夠抵御該蠕蟲在內(nèi)網(wǎng)的傳播。

據(jù)亞信安全中國病毒響應(yīng)中心監(jiān)測：該勒索軟件利用了微軟SMB遠(yuǎn)程代碼執(zhí)行漏洞CVE-2017-0144，微軟已在今年3月份發(fā)布了該漏洞的補(bǔ)丁。2017年4月黑客組織影子經(jīng)紀(jì)人(Shadow Brokers)公布的方程式組織(Equation Group)使用的“EternalBlue”中包含了該漏洞的利用程序，而該勒索軟件的攻擊者在借鑒了該“EternalBlue”后進(jìn)行了這次全球性的大規(guī)模勒索攻擊事件。

針對此次“永恒之藍(lán)”發(fā)起的蠕蟲病毒攻擊傳播勒索惡意事件，我們目前提出相關(guān)產(chǎn)品的應(yīng)對措施及風(fēng)險應(yīng)對方案：

◆亞信安全深度威脅發(fā)現(xiàn)設(shè)備TDA

TDA于2017年4月26日已發(fā)布檢測規(guī)則(Rule ID 2383)，針對透過微軟SMB遠(yuǎn)程代碼執(zhí)行漏洞CVE-2017-0144(MS17-010)所導(dǎo)致的相關(guān)網(wǎng)絡(luò)攻擊進(jìn)行檢測。利用此漏洞的攻擊包含前期的 EternalBlue 和近期大量感染的勒索病毒 WannaCry/Wcry。

TDA 的內(nèi)網(wǎng)攻擊檢測能力是針對源頭的零日漏洞進(jìn)行實(shí)時有效的網(wǎng)絡(luò)攻擊行為檢測，讓用戶能快速從網(wǎng)絡(luò)威脅情報的角度定位內(nèi)網(wǎng)遭受攻擊的終端，以實(shí)施相對應(yīng)的響應(yīng)措施。同時，用戶可透過產(chǎn)品聯(lián)動方式與亞信安全終端安全產(chǎn)品 OfficeScan 以及亞信安全網(wǎng)關(guān)產(chǎn)品 DeepEdge 進(jìn)行有效聯(lián)動以阻斷其攻擊。

◆亞信安全服務(wù)器深度安全防護(hù)系統(tǒng)Deep Security

針對微軟遠(yuǎn)程代碼執(zhí)行漏洞[1008306 - Microsoft Windows SMB Remote Code Execution Vulnerability (MS17-010)]， Deep Security在5月2日就已發(fā)布了針對所有Windows 系統(tǒng)的IPS策略，用戶只需要對虛擬化系統(tǒng)做一次"建議掃描"操作，就能自動應(yīng)用該策略，無論是有代理還是無代理模式，都能有效防護(hù)該勒索軟件。

◆亞信安全深度威脅安全網(wǎng)關(guān)Deep Edge

Deep Edge在4月26日就發(fā)布了針對微軟遠(yuǎn)程代碼執(zhí)行漏洞 CVE-2017-0144的4條IPS規(guī)則 (規(guī)則名稱：微軟MS17 010 SMB遠(yuǎn)程代碼執(zhí)行1-4 規(guī)則號：1133635,1133636,1133637,1133638)?？稍诰W(wǎng)絡(luò)邊界及內(nèi)網(wǎng)及時發(fā)現(xiàn)并攔截此次加密勒索軟件攻擊。

◆亞信安全深度威脅郵件網(wǎng)關(guān)DDEI

針對加密勒索軟件攻擊，用戶需要在Web和Mail兩個入口嚴(yán)加防范。雖然此次攻擊是黑客利用系統(tǒng)漏洞發(fā)起的勒索軟件攻擊，只需在Web渠道通過IPS或防火墻規(guī)則即可攔截，但廣大用戶切不可掉以輕心，因?yàn)檫€有大量的勒索軟件攻擊是通過郵件渠道發(fā)起的，我們還需要在郵件入口處加以防范，防止勒索軟件卷土重來。

◆亞信安全防毒墻網(wǎng)絡(luò)版OfficeScan

針對亞信安全OfficeScan，目前各個版本可以通過更新最新病毒庫進(jìn)行攔截該勒索病毒。同時即將于6月底發(fā)布的OfficeScan 12測試版，在使用機(jī)器學(xué)習(xí)引擎不更新病毒庫的環(huán)境中，已能夠成功攔截該勒索軟件。機(jī)器學(xué)習(xí)引擎使用人工智能技術(shù)，通過海量數(shù)據(jù)訓(xùn)練而成，可以有效甄別惡意軟件特征，不需要等待病毒庫，就可以幫助用戶有效的攔截各種未知的威脅軟件。

其他防護(hù)建議：

未升級操作系統(tǒng)的處理方式(不推薦，僅能臨時緩解)：啟用并打開“Windows防火墻”，進(jìn)入“高級設(shè)置”，在入站規(guī)則里禁用“文件和打印機(jī)共享”相關(guān)規(guī)則。升級操作系統(tǒng)的處理方式(推薦)：建議廣大師生使用自動更新升級到Windows的最新版本。

教育網(wǎng)安全緩解措施：

在邊界出口交換路由設(shè)備禁止外網(wǎng)對校園網(wǎng)135/137/139/445端口的連接;在校園網(wǎng)絡(luò)核心主干交換路由設(shè)備禁止135/137/139/445端口的連接。

建議加強(qiáng)系統(tǒng)加固：

及時升級操作系統(tǒng)到最新版本;勤做重要文件非本地備份;停止使用Windows XP、Windows 2003等微軟已不再提供安全更新服務(wù)的操作系統(tǒng)。

亞信安全詳解WannaCry/Wcry勒索軟件感染流程

◆利用SMB遠(yuǎn)程代碼執(zhí)行漏洞感染系統(tǒng);

◆在被感染系統(tǒng)中執(zhí)行惡意文件，并開啟服務(wù);

◆惡意文件執(zhí)行后，釋放真正的勒索軟件;

◆加密系統(tǒng)中的文件，并提示勒索信息;

◆被加密后的文件擴(kuò)展名被統(tǒng)一改為“.WNCRY”，勒索軟件攻擊者索要相當(dāng)于300美元的比特幣贖金。

【W(wǎng)annaCry/Wcry勒索軟件感染流程】

此次勒索軟件事件特別針對高校產(chǎn)生了極大影響，可能會在更廣闊的終端消費(fèi)者群體內(nèi)爆發(fā)，亞信安全提醒廣大用戶提高安全防范意識，做好數(shù)據(jù)備份策略，采用更加積極主動的工具制定事前、事中、事后的安全策略，才能應(yīng)對隱藏在網(wǎng)絡(luò)世界中的不法分子。