WannaCry勒索蠕蟲大規(guī)模爆發(fā)，折射出企業(yè)內(nèi)網(wǎng)依然缺乏高效的安全防護(hù)、分析與響應(yīng)能力--如何在第一時間發(fā)現(xiàn)企業(yè)內(nèi)部大量的終端、服務(wù)器是否面臨安全威脅?本文以真實客戶案例為基礎(chǔ)，還原如何通過瀚思大數(shù)據(jù)分析平臺迅速發(fā)現(xiàn)此次WannaCry勒索蠕蟲異常行為并響應(yīng)處置。

??

01.WannaCry勒索蠕蟲攻擊

自5月12日起，全球爆發(fā)大規(guī)模勒索軟件感染事件，至少100多個國家和地區(qū)電腦設(shè)備遭受攻擊，尤其是國內(nèi)多個行業(yè)內(nèi)網(wǎng)環(huán)境受到嚴(yán)重感染，損失嚴(yán)重。

WannaCry勒索蠕蟲是傳統(tǒng)的勒索軟件與蠕蟲病毒的結(jié)合體，同時擁有蠕蟲的擴(kuò)散傳播和勒索軟件的加密文件功能，通過微軟MS17-010漏洞(該漏洞的利用程序由方程式組織于4月泄露)，針對windows系統(tǒng)終端的445端口進(jìn)行遠(yuǎn)程漏洞攻擊，攻擊成功后攜帶勒索軟件功能的蠕蟲病毒會對主機(jī)文件進(jìn)行加密，并掃描網(wǎng)絡(luò)內(nèi)其他主機(jī)進(jìn)行傳播。

由于該蠕蟲利用了近期爆發(fā)的Nday遠(yuǎn)程溢出漏洞，多數(shù)內(nèi)網(wǎng)機(jī)器并未及時更新微軟于3月發(fā)布的漏洞補(bǔ)丁，導(dǎo)致一旦一臺主機(jī)被感染，會在內(nèi)網(wǎng)中大規(guī)模擴(kuò)散，傳播速度極快，截止目前已造成多個行業(yè)的嚴(yán)重?fù)p失，其中包括教育、醫(yī)療、公安、能源等重要行業(yè)機(jī)構(gòu)，不但危害重要文件和數(shù)據(jù)信息，還可能導(dǎo)致嚴(yán)重的公共安全事件，危及醫(yī)療設(shè)備、能源系統(tǒng)等。

02.爭分奪秒!第一時間定位勒索攻擊

某集團(tuán)客戶部署了瀚思企業(yè)版(HanSight Enterprise 3.0)，從5月13日上午10點開始，HanSight Enterprise 突然發(fā)生大量『 自動告警 』，告警名稱是“外網(wǎng)主機(jī)發(fā)起特定端口掃描”，告警級別是『 中危 』。

??

運維人員立刻進(jìn)行響應(yīng)，發(fā)現(xiàn)來自于外網(wǎng)的約500個IP地址在對客戶網(wǎng)絡(luò)的端口445進(jìn)行掃描。所以運維人員立刻在防火墻上配置規(guī)則，禁止外網(wǎng)對內(nèi)網(wǎng)445端口的訪問。

但是10分鐘后，HanSight Enterprise再次發(fā)生『 自動告警 』，告警名稱是“內(nèi)網(wǎng)主機(jī)在遭受端口掃描后發(fā)起對相同端口的掃描”，告警級別是『 高危 』。

??

運維人員經(jīng)過簡單分析后，認(rèn)為在剛才短短的5分鐘內(nèi)，內(nèi)網(wǎng)已經(jīng)有電腦被成功攻擊并且感染未知病毒，也開始掃描445端口進(jìn)行傳播，所以迫切需要定位到已經(jīng)感染病毒的機(jī)器并且將其斷網(wǎng)。利用HanSightEnterprise的云圖功能，運維人員快速地定位到5臺已經(jīng)感染病毒的主機(jī)，然后對這5臺主機(jī)立刻關(guān)機(jī)和斷網(wǎng)。

??

通過設(shè)置HanSight Enterprise的儀表盤，監(jiān)測內(nèi)網(wǎng)主機(jī)向445端口發(fā)送數(shù)據(jù)包的統(tǒng)計和趨勢，以驗證處置效果，和確認(rèn)是否有未知感染病毒的機(jī)器。在對這5臺主機(jī)斷網(wǎng)后，客戶環(huán)境內(nèi)的445端口訪問回歸正常。

HanSightEnterprise采集日志和流量，實時監(jiān)控網(wǎng)絡(luò)異常，利用規(guī)則與算法發(fā)現(xiàn)可疑威脅，并且進(jìn)行自動告警，發(fā)起響應(yīng)措施;利用數(shù)據(jù)模型幫助客戶迅速定位發(fā)生威脅的機(jī)器，以及驗證處置效果。在此次針對WannaCry勒索蠕蟲攻擊的處理中發(fā)揮了重要的作用。

03.緊急預(yù)防和處置方案

由于該病毒對網(wǎng)絡(luò)環(huán)境的攻擊有其獨特性：

1. 與外網(wǎng)物理隔離的系統(tǒng)并不能免受攻擊，惡意程序進(jìn)入內(nèi)網(wǎng)的途徑有很多，一旦某臺內(nèi)網(wǎng)機(jī)器中招將導(dǎo)致整個網(wǎng)絡(luò)中的機(jī)器遭受嚴(yán)重?fù)p失!

2. 邊界防火墻阻斷了445端口的流量并不能確保內(nèi)網(wǎng)安全，只要內(nèi)部機(jī)器未打補(bǔ)丁且未關(guān)閉445端口都有可能成為被攻擊對象。

3. 雖然部分安全廠商已針對該漏洞對安全設(shè)備特征庫進(jìn)行了更新，但鑒于大部分企事業(yè)單位所部署的安全設(shè)備都處于疏于配置管理和更新的狀態(tài)，因此部署了安全設(shè)備并無法有效阻止攻擊!

所以建議進(jìn)行如下預(yù)防與處置：

1. 利用HanSight Enterprise查找所有開放445 SMB服務(wù)端口的終端和服務(wù)器。

2. 目前微軟已發(fā)布補(bǔ)丁MS17-010修復(fù)了“永恒之藍(lán)”攻擊的系統(tǒng)漏洞，請盡快為電腦安裝此補(bǔ)丁，網(wǎng)址為https://technet.microsoft.com/zh-cn/library/security/MS17-010;對于微軟已停止維護(hù)的Windows XP和Windows 2003系統(tǒng)已于5月13日更新漏洞補(bǔ)丁，對應(yīng)版本的下載地址：http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

3. 一旦發(fā)現(xiàn)中毒機(jī)器，立即斷網(wǎng)。

4. 啟用并打開“Windows防火墻”，進(jìn)入“高級設(shè)置”，在入站規(guī)則里禁用“文件和打印機(jī)共享”相關(guān)規(guī)則。關(guān)閉UDP135、445、137、138、139端口，關(guān)閉網(wǎng)絡(luò)文件共享。

5. 嚴(yán)格禁止使用U盤、移動硬盤等可執(zhí)行擺渡攻擊的設(shè)備。

6. 盡快備份自己電腦中的重要文件資料到存儲設(shè)備上。

7. 及時更新操作系統(tǒng)和應(yīng)用程序到最新的版本。

8. 加強(qiáng)電子郵件安全，有效的阻攔掉釣魚郵件，可以消除很多隱患。

9. 安裝正版操作系統(tǒng)、軟件等。

【本文為51CTO專欄作者“瀚思 ”的原創(chuàng)稿件，轉(zhuǎn)載請通過作者獲取授權(quán)】

??戳這里，看該作者更多好文??