聽大潘聊聊WannaCry的「過」與「功」

說「永恆之藍」勒索軟體蠕蟲大規模爆發是讓人始料未及的，其實筆者是不同意的。早在3月14日，微軟就發布了針對「永恆之藍」的MS17-010補丁；一個月前，此事已見端倪，4月14日，黑客團體Shadow Brokers公布了一批NSA方程式組織的機密文檔及工具，其中包括多個Windows遠程漏洞利用工具；第二天，啟明星辰就發布臨時解決方案，建議已知受影響的windows操作系統先關閉135、137、445、3389埠，或使用防火牆屏蔽上述埠的訪問；同時啟明星辰發布升級特徵庫；4月16日，在NSA方程式武器庫被公布之後，啟明星辰也發布了針對性的防護方案；4月21日，啟明星辰又著重描述了蠕蟲病毒（如永恆之藍）在內網傳播的監測手段。

直至5月12日，「永恆之藍」勒索蠕蟲在全球範圍內爆發。

沒成想，一個利用已有補丁漏洞的攻擊，竟能產生如此巨大的影響。細捋事件線索，可以明顯看出這次的勒索軟體蠕蟲本是能夠防範的。啟明星辰首席戰略官潘柱廷大潘，也就此事發表觀點，他說：「這次勒索攻擊，既不空前，也非絕後。」

「WannaCry」從5月12日晚開始爆發的幾個小時內，就有100多個國家受到攻擊，24小時內，監測到的攻擊次數超過10W，且攻擊仍在蔓延。在我國，重災區是校園系統、醫療系統、能源行業，以及公安辦事系統等，事件爆發的第二天，央視對WannaCry進行了緊急報道。

啟明星辰也對WannaCry進行了詳細的逆向分析，指出，勒索是最終的目的，而漏洞是其中的先決條件，影子經紀人曝出的漏洞很多都很有殺傷力，每一個都可能成為下一個「永恆之藍」的載體。隨後發布了「泰合安全管理平台應急處置指引」，提供了基於安全管理平台的事件分析和安全預警操作指導。

其實可以從正反兩方面來分析此事件。

從積極的角度來看，WannaCry勒索事件發生後，社會各方面都非常重視，無論企事業機構還是個人網路用戶都在積極尋求全身而退的解決方案，雖然有亡羊補牢的意味，但是顯示了我國現在對網路安全重視程度的大幅度提升。國內網路安全廠商也以身作則，加班加點，研究攻擊、研發行之有效的解決方案。

大潘不無欣喜的表示：「社會自然形成的『災難三級處置』看來是行之有效的。」目前的處置分為三個級別，一是自護自救；二是民間企業自發性的扁平化合作，協同響應；最後是國家統一協調，集中指揮解決問題。「如果把此次勒索軟體的爆發看做是災難來處置的話，我們已經做的很好了」，大潘肯定道，「但是如果將勒索軟體看做一個事件來說的話，中招的企業和個人用戶自身肯定也有問題。」

實際上，若不幸中招，我們的損失不止是那些被鎖住的文件。大潘幫我們梳理，損失分為三部分：中招後損失分為直接損失和間接損失，間接損失才是比重較大的一方；第二部分是處置此事帶來的損失，包括正常處置下，例如斷網導致的工作效率下降的損失，處置失當情況下，恢復不了斷網的時候如何進行下一步業務的難題，和社會基礎設施一但受影響，引發的諸如加油站無法加油的現實問題；最後因恐懼而過度處置引發的損失，這個問題可以反過來理解，如果經過的理性的判斷，那麼舉例來說，其實我們對埠是不用有過多的處理的，因為運營商已經在做這件事兒了。第三部分是，歸根結底，我們要面臨的就是成本增加帶來的損失，這一點包括前期處置的成本損失，網路安全系統需要進一步升級以及重打補丁的損失，因為現在很多廠商是關掉升級來保護眼前的利益的，那麼要做「補牢」工作的話當然又是一筆開支。

大潘強調「通過這些事兒我們必須反思」。第一就是備份！備份！備份！重要的事情說三遍；重視系統補丁；還有就是關鍵基礎設施如何在斷網情況下保證業務連續性。不過，雖然勒索事件給了我們很大的「教訓」，但大潘總結，這是「樂觀的悲觀」，WannaCry所產生的消極影響也敦促我們不斷完善網路安全防護體系，正是因為我們對此類事件有了足夠的重視，和加強防護的決心，未來我們才能在在此遭遇此類事件的時候有所準備。

啟明星辰首席戰略官 潘柱廷

最後，啟明星辰補充，在大部分主機已經更新補丁，網路防範措施已有部署的情況下，發現並消滅「殘餘勢力」尤為重要，同時，同類攻擊也需納入監控，防患於未然。基於此，啟明星辰總結了近幾天來的「戰鬥經驗」：

一、未部署端點安全的終端應急解決方案

◆ 做好重要文件的備份工作（非本地備份）。

◆ 開啟系統防火牆。

◆ 利用系統防火牆高級設置阻止向445埠進行連接（該操作會影響使用445埠的服務）。

◆ 打開系統自動更新，並檢測更新進行安裝。

◆ 停止使用Windows XP、Windows 2003等微軟已不再提供安全更新的操作系統。

◆ 如無需使用共享服務建議關閉該服務。

二、已部署端點安全的終端應急解決方案

◆ 如果用戶已經部署終端管理類產品，如北信源，天珣、聯軟等

◆ 通過終端管理軟體進行內網打補丁。

◆ 通過主機防火牆關閉入棧流量。主機防火牆關閉到445出棧流量。

◆ 開啟文件審計，只允許word.exe，explore.exe等對文件訪問。

◆ 升級病毒庫，已部署天珣防病毒的用戶，支持查殺。

三、網路應急解決方案

◆ 在邊界出口交換路由設備禁止外網對內網135/137/139/445埠的連接。

◆在內網核心主幹交換路由設備禁止135/137/139/445埠的連接。

◆ 如果有部署入侵防禦等防護系統則儘快檢查漏洞庫升級，開啟防禦策略。

◆ 發布通知重點留意郵件、移動存儲介質等傳播渠道，做好重點檢查防護工作。

四、已經感染解決方案

◆ 斷開網路連接，阻止進一步擴散。

◆ 優先檢查未感染主機的漏洞狀況（可直接聯繫啟明星辰，提供免費檢測工具使用），做好漏洞加固工作後方可恢復網路連接。

◆ 已經感染終端，根據終端數據類型決定處置方式，如果重新安裝系統則建議完全格式化硬碟、使用新操作系統、完善操作系統補丁、通過檢查確認無相關漏洞後再恢復網路連接。

五、內部排查應急方案

◆ 若用戶已部署漏洞掃描類產品，可聯繫廠商獲得最新漏洞庫的支持。

◆ 已部署啟明星辰天鏡漏掃產品的用戶，請大家升級至最新漏洞庫即可，建議使用漏掃6070以上版本進行掃描，最新漏洞庫607000088。實現對內部Windows主機資產的漏洞情況排查。

◆ 未部署相關產品的用戶，可聯繫廠商獲得產品試用應急。

六、無法關閉服務埠的應急解決方案

◆ 若用戶已部署UTM/IPS入侵防禦類產品，可聯繫廠商獲得最新事件庫的支持。

◆ 已部署啟明星辰天清入侵防護類產品（IPS/UTM）的用戶，請大家升級至最新事件庫並下發相應規則即可實現對內部Windows主機的防護。

◆ 未部署相關產品的用戶，可聯繫廠商獲得產品試用應急。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！