“永恒之蓝”漏洞和WannaCry病毒完整解析及SonicWall应对攻略 - TechTarget安全
“永恒之蓝”漏洞和WannaCry病毒完整解析及SonicWall应对攻略
来源：TechTarget中国
5月12日，有英媒报道其国家医疗机构电脑系统感染WannaCry勒索病毒，短短几个小时，该勒索病毒迅速扩散至全球超过99个国家和地区，从俄罗斯内政部，到中国大学生的个人电脑系统等均纷纷沦陷。
一旦WannaCry勒索病毒锁定你的电脑，立马会植入恶意软件。对于那些没有打补丁的Windows电脑，只要联网且开启了445端口SMB文件共享服务，则无需任何操作即可被感染此勒索病毒。感染后用户电脑里的所有数据都会被加密，然后屏幕会弹出消息框要求受害人在3天内支付价值300美元的比特币赎金。
而要扒横空出世的WannaCry勒索病毒，则要从其源头软件“永恒之蓝”（EternalBlue）说起。
“永恒之蓝”漏洞和WannaCry勒索病毒的完整解析
“永恒之蓝”（EternalBlue）是美国国家安全局NSA旗下的黑客组织Equation Group开发的网络攻击工具。它扫描并利用运行在TCP 445端口之上的Windows SMB (Server Message Block)文件共享协议的漏洞, 上传勒索软件等恶意软件到Windows系统，对用户的文件进行加密并勒索赎金。
2017年4月，Shadow Broker黑客组织入侵了Equation Group的网络，窃取了大量网络攻击工具，并把它放到互联网上拍卖。为证明其拍卖的黑客工具的真实性和有效性，Shadow Broker黑客组织在网上公布了他们窃取来的一部分黑客工具，包括“永恒之蓝”恶意软件的密码，该软件即是WannaCry勒索病毒的源头软件。
WannaCry勒索病毒是黑客在“永恒之蓝”的基础上开发的蠕虫病毒，它可以自我复制传播。该蠕虫病毒先扫描网络上存在SMB漏洞的Windows机器，然后上传勒索软件到该Windows系统，锁定用户的数据并进行勒索，是一个典型的蠕虫和勒索软件的结合体。
最新SonicWall下一代防火墙已能够有效应对WannaCry勒索病毒
SonicWall安全防御团队早在今年4月份Shadow Broker黑客组织发布“永恒之蓝”的第一时间就对其进行了快速分析和诊断，并于4月20日更新了多个IPS签名，能够有效阻断黑客利用“永恒之蓝”工具以及基于该工具开发的蠕虫病毒针对 Windows SMB漏洞进行的入侵行为。
因此，对于SonicWall下一代防火墙IPS（入侵防御）服务在有效期内的用户则无需担心，SonicWall下一代防火墙在4月20日起即已能够防御“永恒之蓝”攻击工具及其同类软件的入侵行为，保护用户的网络免受WannaCry勒索病毒侵扰。
黑客能够利用“永恒之蓝”工具和Windows SMB漏洞上传任何恶意软件，且勒索软件可通过电子邮件传播，对此，SonicWall已发布数个勒索软件病毒签名，阻断通过电子邮件或利用SMB漏洞上传的勒索软件。
因此，对于SonicWall下一代防火墙GAV网关杀毒服务在有效期内的用户亦可放心，该服务能够有效地防御WannaCry勒索病毒及多个变种。网关杀毒防御勒索软件是对IPS入侵检测防御“永恒之蓝”入侵的一个补充，可以阻止经电子邮件途径传播的勒索病毒。
此外，SonicWall Capture服务(云端沙盒)能够检测未知安全威胁, 是IPS入侵防御和GAV网关杀毒服务的有效补充。对IPS和GAV网关杀毒不能确认的文件，例如快速出现的任意新的勒索软件变种，SonicWall Capture的多引擎可做并行检测，使恶意软件难以逃避检测。SonicWall Capture能够对WannaCry的新变种及其它勒索软件做准确的判断，并阻断其传播。
用户该购买哪些服务以效防御此类安全威胁？
· 没有购买SonicWall下一代防火墙的用户在购买SonicWall下一代防火墙时，请同时购买AGSS服务，即高级网关安全服务包，包含Capture多引擎沙盒、入侵检测、网关杀毒、内容过滤及厂商7*24技术支持服务；或购买CGSS服务，包含全部AGSS安全服务功能，但没有Capture多引擎沙盒服务；也可购买UTM杀毒和入侵防御服务，但是缺少Capture多引擎沙盒对未知安全威胁的检测及厂商的7*24技术支持服务。
AGSS &License。包含Capture沙盒服务和UTM的应用层安全防御功能，每个设备型号有对应的SKU，下面SKU是以NSA3600为例。AGSS包含最全的安全服务，可以应对已知和未知安全威胁。
CGSS &License。相比AGSS，缺少Capture沙盒服务，其它服务相同。不能应对未知安全威胁。
UTM License。相比CGSS，缺少内容过滤，7*24 支持服务，包含IPS，恶意软件扫描和应用控制。
· 使用SonicWall第五代及更早硬件平台的用户，可以购买CGSS或UTM服务，但是缺少Capture多引擎沙盒对未知安全威胁的防护。建议用户升级到SonicWall第六代硬件平台以支持最新的Capture沙盒功能。
如何预防此类威胁发生？
除了在互联网出口使用下一代防火墙，企业可采取下列措施以预防此类威胁的发生：
1. 升级Windows操作系统，目前微软公司已发布相关补丁程序MS17-010，可通过微软公司正规渠道进行升级。
2. 电脑上安装有效的杀毒软件，避免U盘、内网文件共享、VLAN内部的蠕虫勒索软件的传播。
3. 及时关闭计算机、网络设备上的445端口。
4. 不要轻易打开来源不明的电子邮件。
5. 不要使用Windows XP、Windows Server 2003等没有微软服务和支持的产品，因为其不具备定期的安全补丁的更新。
6. 定期在不同的存储介质上备份计算机上的重要文件。
我们一直都在努力坚持原创.......请不要一声不吭，就悄悄拿走。
我原创，你原创，我们的内容世界才会更加精彩！
【所有原创内容版权均属TechTarget，欢迎大家转发分享。但未经授权，严禁任何媒体（平面媒体、网络媒体、自媒体等）以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
TechTarget中国
TechTarget中国编辑。专注报道企业级安全、网络领域的技术更迭和趋势变革，负责安全网站与网络网站的内容规划、组稿、原创和编辑。
目前受害者需联系的邮件地址已被经营商停用，这意味着黑客们无法访问他们的电子邮件，而受害者也不能再通过电子邮件发送到该帐户。这阻止了黑客滥用邮箱地址，因而黑客可能拿不到赎金……
更新升级软件是企业IT管理员的一项份内职责。为了提高打补丁的效率，符合合规要求，企业常需要购买补丁管理工具。补丁管理工具可实现更新的自动化，有助于保护企业基础架构和终端设备免受可能的安全威胁，并支持在线修复软件bug及增强功能……
面对这次WannaCry的爆发，有效地破解它只是第一步，更关键的是用户要提升防御未知威胁的技能，建立无处不在的安全体系……
Samba漏洞增加了WannaCry这类恶意病毒攻击Linux和Unix系统的可能性，好在可以采取相应措施进行缓解。
企业级IT网站群
TechTarget中国 版权所有
All Rights Reserved, Copyright2018
TechTarget中国 版权所有
All Rights Reserved, Copyright2018从永恒之蓝到勒索病毒大爆发_网易新闻
从永恒之蓝到勒索病毒大爆发
用微信扫码二维码
分享至好友和朋友圈
（原标题：从永恒之蓝到勒索病毒大爆发）
日，白色情人节这天，微软发布了编号为MS17-010的Windows SMB服务器安全更新。该更新修复了攻击者可通过向SMB v1服务器发送特定消息实现远程代码执行的漏洞。而我们的技术团队在之后也对该漏洞进行了技术分析&&《NSA Eternalblue SMB 漏洞分析》。
出现漏洞，打上补丁，看起来应该是万事大吉了。但理想很丰满，现实很骨感，骨感到令我们这些喝凉水都长肉的胖子羡慕不已&&
4月底开始，我们开始关注到接连有网友反馈中了onion勒索病毒，通过对受害者的协助调查，发现中毒机器在这段时间都出现过系统异常重启，被安装挖矿机甚至远控的情况。经过大量分析实验，我们确认了攻击手法&&Eternalblue（永恒之蓝）的Nday漏洞攻击。
随着360对勒索病毒&永恒之蓝&攻击的拦截数据不断上涨，我们认为，没有打补丁、没有安装360的电脑会面临巨大风险。于是在5月12日下午，360安全卫士官方微博首次向公众披露了NSA&永恒之蓝&黑客武器已经被勒索病毒利用，此后各种报警数据也持续飙升，出现勒索病毒大量爆发的现象，并且新增了一批名为WNCRY的勒索病毒家族，相比onion更为凶狠直接。病毒攻击大量集中在各大高校以及能源、交通和各种其他公共服务单位。而传播手段，正是我们此前确认的这个名为&永恒之蓝（Eternalblue）&的Nday漏洞进行传播。
Eternalblue
既然事件由这个漏洞而起，我们就说说这个漏洞到底是什么。详尽的技术分析上面已给出报告链接，我们这里只做一些较为通俗的解释：
上面也说了，该漏洞存在于微软的SMB服务器中。一说&服务器&，可能不少人会觉得这和个人电脑没什么关系&&这您就错了。虽然叫做服务器，但这个SMB服务器却是Windows系统的&标配&。
说一个很简单的方法：打开命令行（cmd或powershell都可以），输入命令：netstate -an，在列出的所有信息中查找有没有本地端口为445且状态为LISTENING的一条（如下图，一般在比较考前的位置），如果有&&那么您的电脑上也存在这么一个&服务器&，而且是出于激活的状态。
当然，如前文所述，这个服务是系统的&标配&，有这么一个监听状态的端口开启是很正常的事情，大家本不需要为此而惊慌。但不正常的是该服务出现了远程代码执行的漏洞&&说通俗点就是：大灰狼唱了&小兔子乖乖，把门开开&之后，屋里的小兔子就真的去开门了&&
使用工具，我们很轻松的就通过该漏洞从虚拟机外向虚拟机中成功写入了一个测试文本文件：
当然，如果是黑客扫描到了带有漏洞的机器打开的端口，所做的事情就不是写如一个文本这么单纯的了。
攻击者做了什么
既然攻击者不会像我们这样简单的写个文本就走人，那么攻击者到底做了什么呢？
很简单，攻击者会投放一个木马到受害者电脑：
5月12日晚上，我们联系到了一个典型受害者，该受害者是某大学在校生，5月13日要进行答辩了，却在答辩前一天下午感染了敲诈者木马，导致答辩PPT被加密&&
通过分析受害者系统日志，发现12日17:52的时候出现过一个很诡异的服务启动记录：
进而查找服务项，发现该服务虽然当时已停止，但依然存在于系统中并会随每次系统开启而自动启动：
最终顺藤摸瓜，我们找到了用于加密的木马本体以及其释放的其他文件：
木马会创建注册表项HKCU\Software\WanaCrypt0r，并设置一个名为wd的键，值为木马当前路径：
同时木马备有三份钱包地址用于收款（随机展示）：
以及设置隐藏和获取权限一些常规操作
之后，就进入常规的文件加密过程，并没有特别的操作也就不再赘述了。被加密的文件类型共有179种，如下：
.doc, .docx, .docb, .docm, .dot, .dotm, .dotx, .xls, .xlsx, .xlsm, .xlsb, .xlw, .xlt, .xlm, .xlc, .xltx, .xltm, .ppt, .pptx, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .pst, .ost, .msg, .eml, .edb, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks, .wk1, .pdf, .dwg, .onetoc2, .snt, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z, .rar, .zip, .backup, .iso, .vcd, .jpeg, .jpg, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, .djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl, .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds, .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der
比较新奇的反倒是加密结束后的勒索信息展示程序，该程序共支持28种语言且翻译的非常专业（应该不是简单的机器翻译）：
由此也可以看这波木马&国际范儿&的野心（从此次木马搞出来的动静来说，也确实够得上这种国际范儿了）。
防范与补救
防范这事儿其实是老生常谈：
1. 一定要及时的更新软件，安装系统补丁！切记！
2. 一定要安装杀毒软件！切记！
不知道当年&杀软无用论&和&补丁拖慢系统论&的鼓吹者是如何用自己精准的意识和风骚的走位躲过这次危机的。
已经中毒事后补救，也无非是上面的两点：打全补丁，全盘杀毒。
至于被加密的文件，我们通过分析病毒加密逻辑的漏洞，已经找到有一定成功率的文件恢复方案，并在5月14日凌晨向公众发布了恢复工具。
来源网站：中国网原文标题：从永恒之蓝到勒索病毒大爆发原文链接：http://science.china.com.cn//content_9485451.htm
(原标题：从永恒之蓝到勒索病毒大爆发)
本文来源：台海网
责任编辑：王晓易_NE0011
用微信扫码二维码
分享至好友和朋友圈
加载更多新闻
热门产品:　　　
:　　　　　　　　
:　　　　　　　　　
热门影院：
阅读下一篇
用微信扫描二维码
分享至好友和朋友圈日起，利用Windows漏洞传播的“永恒之蓝”勒索蠕虫在全球范围内大规模爆发，全球近百个国家受到攻击，国内多家企业内网、政务网、教育网也被感染。经过72小时的艰苦奋战，在对抗“永恒之蓝”取得阶段性胜利之后，终端漏洞运维是否有效成为企业必须直面的问题。
终端系统漏洞是“永恒之蓝”能够逞凶的助力
“永恒之蓝”蠕虫之所以能在短短3天时间内就在全球范围内迅速扩散，归根结底是因为众多终端都没有及时给系统安装补丁。所以，不法分子才能借助4月泄露的NSA黑客数字武器库中“永恒之蓝”工具发起蠕虫攻击，利用Windows XP、Vista、Windows7/8以及Windows Server08 R2系统漏洞在局域网内大肆传播，造成终端电脑上文档、图片、媒体等文件被加密，只有支付300美金才可以解密文档。
事件发生后，各大安全公司迅速启动应急预案，发布病毒传播态势播报，专业安全分析员加班加点对该蠕虫进行研究，第一时间发布免疫程序予以应对，并发布了一系列系统漏洞检查工具，帮助用户给受影响的系统安装补丁，使其免受“永恒之蓝”勒索蠕虫困扰。
五大难题让企业终端漏洞运维工作举步维艰
事实上，微软早在3月就针对本次攻击事件中的系统漏洞发布了安全补丁，企业用户只要把端漏洞管理工作做到位，及时打上补丁，完全可以避免受到“永恒之蓝”勒索蠕虫的困扰。但对于大多数企业用户而言，五大难题让企业终端漏洞运维工作举步维艰：
难题一，没有有效的漏洞管理平台，只能依靠单点运维。很多企业往往依靠Windows操作系统自身的更新机制来进行补丁更新。众所周知，微软补丁服务器在国外，加之企业外网带宽有限，往往需要花费很长时间下载补丁，然后再一台一台进行安装，费时费力，效率低下，也缺乏哪些终端打过补丁、打了什么补丁的有效统计。
难题二，无法保证补丁与系统的兼容匹配性，安装无法100%成功。Windows系统从个人PC到服务器版本，涉及32位与64位的20多个版本，对于非专业安全运维人员而言，往往不知道该下载哪些补丁，或者下载了错误版本的补丁，因此补丁安装工作往往以失败告终，工作反反复复，运维时间线会拉得很长。
难题三，系统打过补丁后重启蓝屏，无法正常进入系统。受限于国内对于知识版权的认知水平，个别安全运维人员为了方便，往往为员工电脑进行非正版的ghost快速系统安装，这些ghost系统可能是经过剪裁与精简的，在安装了微软某些系统补丁后，会因为缺少相关组件，导致重启后蓝屏，系统无法正常启动，这对安全运维人员来说是致命的，因为这意味着接下来要花大量时间进行数据转移备份，甚至重装系统。
难题四，终端有没有打好补丁，安全运维人员无从知晓。系统打补丁时往往造成系统资源的大量占用，使得电脑运行变慢，影响用户的正常使用，甚至可能出现应用程序强行关闭退出的情况，让用户辛辛苦苦正在编辑的文档来不及保存，因此很多用户在遇到打补丁开始之前的提示时就会强制退出，但安全运维人员对此可能一无所知。
难题五，遇到突发安全事件时，缺乏有效的快速应急响应手段。像本次“永恒之蓝”勒索蠕虫，很多企业内部安全运维人员无法及时对内网全部终端进行问题定位，无法对问题终端进行统一处置。
具备五大特征的产品才能确保漏洞运维有效性
尽管市场上有很多终端安全管理产品，但并不是所有产品都能解决漏洞运维有效性的问题：有的虽然提供了全网终端漏洞管理平台，但只能查看终端上的漏洞，不能统一下发补丁安装任务，漏洞信息通常引用微软国外服务器上的信息，内网用户想要查看时，可能受限于内网，只能看到空白页面；还有些产品根本不对补丁的兼容性进行验证，内网多台终端打了补丁后造成蓝屏、系统无法启动，这样的现象时有发生。
要想解决这些终端漏洞运维难题，企业安全运维人员需要一款真正有效的终端安全管理产品，它应该能够具备如下五大基本特征：
特征一，拥有高效的终端安全运维管理平台工具。这个工具可以替代Windows系统自身补丁更新机制，让全网终端快速有效的进行补丁安装，并对终端安装补丁后的信息做到有效收集，让管理员可以掌控全网终端补丁安装的差异性，为进一步细粒度运维提供依据。
特征二，拥有国内的补丁高速下载渠道，补丁事先进行兼容性验证。不同版本的系统补丁最好可以预先经过相同操作系统不同环境的安装验证，最大程度保障补丁安装的成功率。
特征三，拥有补丁安装回退机制。这样在安装了不合适的补丁系统蓝屏后，可以回退到打补丁之前的上一个系统状态，为安全运维人员提供“穿越时空”的能力，避免系统损坏后用户数据的丢失。
特征四，补丁安装智能化。可以进行补丁下载与安装的统一调度，保证终端用户的系统资源在打补丁时不被过度占用，避免影响用户正常的工作。同时对正在编辑文档的用户进行安全提示，以免给用户正在编写的文档造成不必要的破坏。
特征五，突发应急事件发生时，具备快速定位全网问题终端的能力，并可以对这些问题终端做出统一的快速补救措施，避免危险事态的进一步蔓延。
经过“永恒之蓝”勒索蠕虫的实战考验，企业终端漏洞安全运维工作的思路越来越清晰了：从终端安全与管理的角度出发，以安全运维为核心，以漏洞核查、补丁下载安装为重点，以补丁日志上报为辅助，具备不同操作系统下终端漏洞快速、有效、及时的修复能力。
作者：360产品与解决方案中心 徐展您的当前位置： >
> 行业动态
“永恒之蓝”漏洞之我见
伴随着微软为Windows XP，Windows 8和Windows Server 2003版本系统推送“永恒之蓝”漏洞补丁，WannaCry病毒对于绝大多数的Windows计算机已经不能产生危害，蠕虫病毒不仅为业界带来了危害，但是也在提醒用户升级系统以及更新补丁的重要性。
“永恒之蓝”漏洞给我们带来的思考：
1.今天的勒索敲诈只是该漏洞当前被利用的一种恶意行为，还可以有泄密，篡改、销毁等诸多恶意行为，都会给你造成不可估量的损失；
2.此漏洞靠东打补丁、西打补丁的方式不足以避免问题的再次发生；
3.windows共享模式，后台文件自身没有加密保护，风险始终非常大，因为一旦病毒进入后台，所有文件对病毒而言基本上都是触手可及；
4.我们不能因噎废食，停止文件共享交换，关闭135、139、445等端口，而影响大家日常工作需求。
解决出路何在？
通过这次“永恒之蓝”漏洞攻击或者是我们为之做的一系列防御措施，我们不难发现我们所做的都是被动的。
也许利用公钥私钥等加密算法实现文件加密共享交换是一个治根的解决方案。
：周一至周五
9:30-18:00
扫一扫，查看更多