WannaCry勒索蠕蟲大規(guī)模爆發(fā)，折射出企業(yè)內網依然缺乏高效的安全防護、分析與響應能力--如何在第一時間發(fā)現(xiàn)企業(yè)內部大量的終端、服務器是否面臨安全威脅?本文以真實客戶案例為基礎，還原如何通過瀚思大數(shù)據分析平臺迅速發(fā)現(xiàn)此次WannaCry勒索蠕蟲異常行為并響應處置。

??

01.WannaCry勒索蠕蟲攻擊

自5月12日起，全球爆發(fā)大規(guī)模勒索軟件感染事件，至少100多個國家和地區(qū)電腦設備遭受攻擊，尤其是國內多個行業(yè)內網環(huán)境受到嚴重感染，損失嚴重。

WannaCry勒索蠕蟲是傳統(tǒng)的勒索軟件與蠕蟲病毒的結合體，同時擁有蠕蟲的擴散傳播和勒索軟件的加密文件功能，通過微軟MS17-010漏洞(該漏洞的利用程序由方程式組織于4月泄露)，針對windows系統(tǒng)終端的445端口進行遠程漏洞攻擊，攻擊成功后攜帶勒索軟件功能的蠕蟲病毒會對主機文件進行加密，并掃描網絡內其他主機進行傳播。

由于該蠕蟲利用了近期爆發(fā)的Nday遠程溢出漏洞，多數(shù)內網機器并未及時更新微軟于3月發(fā)布的漏洞補丁，導致一旦一臺主機被感染，會在內網中大規(guī)模擴散，傳播速度極快，截止目前已造成多個行業(yè)的嚴重損失，其中包括教育、醫(yī)療、公安、能源等重要行業(yè)機構，不但危害重要文件和數(shù)據信息，還可能導致嚴重的公共安全事件，危及醫(yī)療設備、能源系統(tǒng)等。

02.爭分奪秒!第一時間定位勒索攻擊

某集團客戶部署了瀚思企業(yè)版(HanSight Enterprise 3.0)，從5月13日上午10點開始，HanSight Enterprise 突然發(fā)生大量『 自動告警 』，告警名稱是“外網主機發(fā)起特定端口掃描”，告警級別是『 中危 』。

??

運維人員立刻進行響應，發(fā)現(xiàn)來自于外網的約500個IP地址在對客戶網絡的端口445進行掃描。所以運維人員立刻在防火墻上配置規(guī)則，禁止外網對內網445端口的訪問。

但是10分鐘后，HanSight Enterprise再次發(fā)生『 自動告警 』，告警名稱是“內網主機在遭受端口掃描后發(fā)起對相同端口的掃描”，告警級別是『 高危 』。

??

運維人員經過簡單分析后，認為在剛才短短的5分鐘內，內網已經有電腦被成功攻擊并且感染未知病毒，也開始掃描445端口進行傳播，所以迫切需要定位到已經感染病毒的機器并且將其斷網。利用HanSightEnterprise的云圖功能，運維人員快速地定位到5臺已經感染病毒的主機，然后對這5臺主機立刻關機和斷網。

??

通過設置HanSight Enterprise的儀表盤，監(jiān)測內網主機向445端口發(fā)送數(shù)據包的統(tǒng)計和趨勢，以驗證處置效果，和確認是否有未知感染病毒的機器。在對這5臺主機斷網后，客戶環(huán)境內的445端口訪問回歸正常。

HanSightEnterprise采集日志和流量，實時監(jiān)控網絡異常，利用規(guī)則與算法發(fā)現(xiàn)可疑威脅，并且進行自動告警，發(fā)起響應措施;利用數(shù)據模型幫助客戶迅速定位發(fā)生威脅的機器，以及驗證處置效果。在此次針對WannaCry勒索蠕蟲攻擊的處理中發(fā)揮了重要的作用。

03.緊急預防和處置方案

由于該病毒對網絡環(huán)境的攻擊有其獨特性：

1. 與外網物理隔離的系統(tǒng)并不能免受攻擊，惡意程序進入內網的途徑有很多，一旦某臺內網機器中招將導致整個網絡中的機器遭受嚴重損失!

2. 邊界防火墻阻斷了445端口的流量并不能確保內網安全，只要內部機器未打補丁且未關閉445端口都有可能成為被攻擊對象。

3. 雖然部分安全廠商已針對該漏洞對安全設備特征庫進行了更新，但鑒于大部分企事業(yè)單位所部署的安全設備都處于疏于配置管理和更新的狀態(tài)，因此部署了安全設備并無法有效阻止攻擊!

所以建議進行如下預防與處置：

1. 利用HanSight Enterprise查找所有開放445 SMB服務端口的終端和服務器。

2. 目前微軟已發(fā)布補丁MS17-010修復了“永恒之藍”攻擊的系統(tǒng)漏洞，請盡快為電腦安裝此補丁，網址為https://technet.microsoft.com/zh-cn/library/security/MS17-010;對于微軟已停止維護的Windows XP和Windows 2003系統(tǒng)已于5月13日更新漏洞補丁，對應版本的下載地址：http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

3. 一旦發(fā)現(xiàn)中毒機器，立即斷網。

4. 啟用并打開“Windows防火墻”，進入“高級設置”，在入站規(guī)則里禁用“文件和打印機共享”相關規(guī)則。關閉UDP135、445、137、138、139端口，關閉網絡文件共享。

5. 嚴格禁止使用U盤、移動硬盤等可執(zhí)行擺渡攻擊的設備。

6. 盡快備份自己電腦中的重要文件資料到存儲設備上。

7. 及時更新操作系統(tǒng)和應用程序到最新的版本。

8. 加強電子郵件安全，有效的阻攔掉釣魚郵件，可以消除很多隱患。

9. 安裝正版操作系統(tǒng)、軟件等。

【本文為51CTO專欄作者“瀚思 ”的原創(chuàng)稿件，轉載請通過作者獲取授權】

??戳這里，看該作者更多好文??