“永恒之蓝”漏洞和WannaCry病毒完整解析及SonicWall应对攻略

日期: 2017-05-14 作者:张程程 来源:TechTarget中国

背景前陈

5月12日,有英媒报道其国家医疗机构电脑系统感染WannaCry勒索病毒,短短几个小时,该勒索病毒迅速扩散至全球超过99个国家和地区,从俄罗斯内政部,到中国大学生的个人电脑系统等均纷纷沦陷。

一旦WannaCry勒索病毒锁定你的电脑,立马会植入恶意软件。对于那些没有打补丁的Windows电脑,只要联网且开启了445端口SMB文件共享服务,则无需任何操作即可被感染此勒索病毒。感染后用户电脑里的所有数据都会被加密,然后屏幕会弹出消息框要求受害人在3天内支付价值300美元的比特币赎金。

而要扒横空出世的WannaCry勒索病毒,则要从其源头软件“永恒之蓝”(EternalBlue)说起。

“永恒之蓝”漏洞和WannaCry勒索病毒的完整解析

“永恒之蓝”(EternalBlue)是美国国家安全局NSA旗下的黑客组织Equation Group开发的网络攻击工具。它扫描并利用运行在TCP 445端口之上的Windows SMB (Server Message Block)文件共享协议的漏洞, 上传勒索软件等恶意软件到Windows系统,对用户的文件进行加密并勒索赎金。

2017年4月,Shadow Broker黑客组织入侵了Equation Group的网络,窃取了大量网络攻击工具,并把它放到互联网上拍卖。为证明其拍卖的黑客工具的真实性和有效性,Shadow Broker黑客组织在网上公布了他们窃取来的一部分黑客工具,包括“永恒之蓝”恶意软件的密码,该软件即是WannaCry勒索病毒的源头软件。

WannaCry勒索病毒是黑客在“永恒之蓝”的基础上开发的蠕虫病毒,它可以自我复制传播。该蠕虫病毒先扫描网络上存在SMB漏洞的Windows机器,然后上传勒索软件到该Windows系统,锁定用户的数据并进行勒索,是一个典型的蠕虫和勒索软件的结合体。

最新SonicWall下一代防火墙已能够有效应对WannaCry勒索病毒

SonicWall安全防御团队早在今年4月份Shadow Broker黑客组织发布“永恒之蓝”的第一时间就对其进行了快速分析和诊断,并于4月20日更新了多个IPS签名,能够有效阻断黑客利用“永恒之蓝”工具以及基于该工具开发的蠕虫病毒针对 Windows SMB漏洞进行的入侵行为。

因此,对于SonicWall下一代防火墙IPS(入侵防御)服务在有效期内的用户则无需担心,SonicWall下一代防火墙在4月20日起即已能够防御“永恒之蓝”攻击工具及其同类软件的入侵行为,保护用户的网络免受WannaCry勒索病毒侵扰。

黑客能够利用“永恒之蓝”工具和Windows SMB漏洞上传任何恶意软件,且勒索软件可通过电子邮件传播,对此,SonicWall已发布数个勒索软件病毒签名,阻断通过电子邮件或利用SMB漏洞上传的勒索软件。

因此,对于SonicWall下一代防火墙GAV网关杀毒服务在有效期内的用户亦可放心,该服务能够有效地防御WannaCry勒索病毒及多个变种。网关杀毒防御勒索软件是对IPS入侵检测防御“永恒之蓝”入侵的一个补充,可以阻止经电子邮件途径传播的勒索病毒。

此外,SonicWall Capture服务(云端沙盒)能够检测未知安全威胁, 是IPS入侵防御和GAV网关杀毒服务的有效补充。对IPS和GAV网关杀毒不能确认的文件,例如快速出现的任意新的勒索软件变种,SonicWall Capture的多引擎可做并行检测,使恶意软件难以逃避检测。SonicWall Capture能够对WannaCry的新变种及其它勒索软件做准确的判断,并阻断其传播。

用户该购买哪些服务以效防御此类安全威胁?

· 没有购买SonicWall下一代防火墙的用户在购买SonicWall下一代防火墙时,请同时购买AGSS服务,即高级网关安全服务包,包含Capture多引擎沙盒、入侵检测、网关杀毒、内容过滤及厂商7*24技术支持服务;或购买CGSS服务,包含全部AGSS安全服务功能,但没有Capture多引擎沙盒服务;也可购买UTM杀毒和入侵防御服务,但是缺少Capture多引擎沙盒对未知安全威胁的检测及厂商的7*24技术支持服务。

AGSS  License。包含Capture沙盒服务和UTM的应用层安全防御功能,每个设备型号有对应的SKU,下面SKU是以NSA3600为例。AGSS包含最全的安全服务,可以应对已知和未知安全威胁。

520

CGSS  License。相比AGSS,缺少Capture沙盒服务,其它服务相同。不能应对未知安全威胁。

520

UTM License。相比CGSS,缺少内容过滤,7*24 支持服务,包含IPS,恶意软件扫描和应用控制。

520

· 使用SonicWall第五代及更早硬件平台的用户,可以购买CGSS或UTM服务,但是缺少Capture多引擎沙盒对未知安全威胁的防护。建议用户升级到SonicWall第六代硬件平台以支持最新的Capture沙盒功能。

如何预防此类威胁发生?

除了在互联网出口使用下一代防火墙,企业可采取下列措施以预防此类威胁的发生:

1. 升级Windows操作系统,目前微软公司已发布相关补丁程序MS17-010,可通过微软公司正规渠道进行升级。

2. 电脑上安装有效的杀毒软件,避免U盘、内网文件共享、VLAN内部的蠕虫勒索软件的传播。

3. 及时关闭计算机、网络设备上的445端口。

4. 不要轻易打开来源不明的电子邮件。

5. 不要使用Windows XP、Windows Server 2003等没有微软服务和支持的产品,因为其不具备定期的安全补丁的更新。

6. 定期在不同的存储介质上备份计算机上的重要文件。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者

张程程
张程程

TechTarget中国编辑。专注报道企业级安全、网络领域的技术更迭和趋势变革,负责安全网站与网络网站的内容规划、组稿、原创和编辑。

相关推荐