东软安全紧急通告【关于防范基于SMB文件共享传播的蠕虫病毒攻击安全预警通告】

安全通告!!

大家好:

2017年5月12日起,在国内外网络中发现爆发基于 Windows 网络共享协议进行攻击传播的蠕虫恶意代码,这是不法分子通过改造之前泄露的 NSA 黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件。

目前发现的蠕虫会扫描开放 445 文件共享端口的 Windows 机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入执行勒索程序、远程控制木马、虚拟货币挖矿机等恶意程序。此蠕虫目前在没有对 445 端口进行严格访问控制的教育网内大量传播,受感染系统被勒索巨额金钱。该由 NSA 泄露工具所引发的蠕虫攻击事件已经造成非常严重的现实危害,与教育网类似的大规模的企业内网也已经面临此类威胁。

东软安全监测与响应中心也将持续关注该事件的进展,并第一时间为您更新该事件信息。前情提要:北京时间 2017 年 4 月 14 日晚,一大批新的 NSA 相关网络攻击工具及文档被 Shadow Brokers 组织公布,其中包含了涉及多个 Windows 系统服务(SMB、RDP、IIS)的远程命令执行工具。

漏洞信息

近期国内多处高校网络出现 ONION/Wncry 勒索软件感染情况,磁盘文件会被病毒加密为.onion 后缀,只有支付高额赎金才能解密恢复文件,对重要数据造成严重损失。

根据网络安全机构通报,这是不法分子利用 NSA 黑客武器库泄漏的“永恒之蓝”发起的蠕虫病毒攻击事件。恶意代码会扫描开放 445 文件共享端口的Windows 机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。

由于以前国内多次爆发利用 445 端口传播的蠕虫,部分运营商在主干网络上封禁了 445 端口,但是教育网并没有此限制,仍然存在大量暴露 445 端口且存在漏洞的电脑,导致目前蠕虫的泛滥。

东软安全监测与响应中心对此事件的风险评级为:危急。

处置建议

确认影响范围
政府企业、IDC、教育网络等所有开放 445 SMB 服务端口且没有及时安装安全补丁的客户端和服务器系统都将面临此威胁。

应急处置手段
目前利用漏洞进行攻击传播的蠕虫开始泛滥,建议网络管理员在网络边界的防火墙上阻断 445 端口的访问,如果边界上有IPS和防火墙之类的设备,请升级设备的检测规则到最新版本,直到确认网内的电脑已经安装了 MS07-010 补丁或关闭了 Server 服务。

检查系统是否开启 Server 服务的方法:
1、打开 开始 按钮,点击 运行,输入 cmd,点击确定
2、输入命令:netstat -an 回车
3、查看结果中是否还有 445 端口

如果发现 445 端口开放,需要关闭 Server 服务,以 Win7 系统为例,操作步
骤如下:

点击开始按钮,在搜索框中输入 cmd,右键点击菜单上面出现的 cmd 图标,选择 以管理员身份运行 ,在出来的 cmd 窗口中执行 “net stop server”命令,会话如下图:

根治手段
目前微软已发布补丁 MS17-010 修复了“永恒之蓝”攻击的系统漏洞,请立即电脑安装此补丁。对于 Win7 以下版本的操作系统,微软已经不提供安全补丁支持,请尽快按快速应急处置建议中的描述处理。

内容列表样式
对于 Windows XP、2003 等微软已不再提供安全更新的机器,控制面板->安
全中心->启用“Windows 防火墙”->点击“开始”->“运行”->输入“cmd”->依次执行“net stop rdr”、“net stop srv”和“net stop netbt”三条命令->关闭受到漏洞影响的端口,升级操作系统版本并进行安全更新,可以避免遭到勒索软件等病毒的侵害。

技术分析

此安全事件影响范围包括全部开放 445 端口的系统,影响范围巨大。

内网将是受本次攻击事件影响的重灾区。

左下角阅读原文,观看该漏洞的相关说明与补丁。