關於防範基於SMB文件共享傳播的蠕蟲病毒攻擊

緊急安全預警通告

2017年05月12日

第1章 安全通告

各位：

2017年5月12日起，在國內外網絡中發現爆發基於Windows網絡共享協議進行攻擊傳播的蠕蟲惡意代碼，這是不法分子通過改造之前泄露的NSA黑客武器庫中“永恒之藍”攻擊程序發起的網絡攻擊事件。

目前發現的蠕蟲會掃描開放445文件共享端口的Windows機器，無需用戶任何操作，只要開機上網，不法分子就能在電腦和服務器中植入執行勒索程序、遠程控制木馬、虛擬貨幣挖礦機等惡意程序。

此蠕蟲目前在沒有對445端口進行嚴格訪問控制的教育網及企業內網大量傳播，呈現爆發的態勢，受感染系統會被勒索高額金錢，不能按時支付贖金的系統會被銷毀數據造成嚴重損失。該蠕蟲攻擊事件已經造成非常嚴重的現實危害，各類規模的企業內網也已經面臨此類威脅。

360安全監測與響應中心也將持續關註該事件的進展，並第一時間為您更新該事件信息。

前情提要：北京時間2017年4月14日晚，一大批新的NSA相關網絡攻擊工具及文檔被Shadow Brokers組織公布，其中包含了涉及多個Windows系統服務（SMB、RDP、IIS）的遠程命令執行工具。

第2章 漏洞信息

2.1漏洞描述

近期國內多處高校網絡和企業內網出現WannaCry勒索軟件感染情況，磁盤文件會被病毒加密，只有支付高額贖金才能解密恢復文件，對重要數據造成嚴重損失。

根據網絡安全機構通報，這是不法分子利用NSA黑客武器庫泄漏的“永恒之藍”發起的蠕蟲病毒攻擊傳播勒索惡意事件。惡意代碼會掃描開放445文件共享端口的

由於以前國內多次爆發利用445端口傳播的蠕蟲，部分運營商在主幹網絡上封禁了445端口，但是教育網及大量企業內網並沒有此限制而且並未及時安裝補丁，仍然存在大量暴露445端口且存在漏洞的電腦，導致目前蠕蟲的泛濫。

2.2風險等級

360安全監測與響應中心對此事件的風險評級為：危急

第3章 處置建議

3.1確認影響範圍

掃描內網，發現所有開放445 SMB服務端口的終端和服務器，對於Win7及以上版本的系統確認是否安裝了MS07-010補丁，如沒有安裝則受威脅影響。Win7以下的Windows XP/2003目前沒有補丁，只要開啟

3.2應急處置方法

l 網絡層面

目前利用漏洞進行攻擊傳播的蠕蟲開始泛濫，360企業安全強烈建議網絡管理員在網絡邊界的防火墻上阻斷445端口的訪問，如果邊界上有IPS和360天堤智慧防火墻之類的設備，請升級設備的檢測規則到最新版本並設置相應漏洞攻擊的阻斷，直到確認網內的電腦已經安裝了MS07-010補丁或關閉了Server服務。

l 終端層面

暫時關閉Server服務。

檢查系統是否開啟Server服務：

1、打開開始 按鈕，點擊 運行，輸入cmd，點擊確定

2、輸入命令：netstat -an 回車

3、查看結果中是否還有445端口

如果發現445端口開放，需要關閉Server服務，以Win7系統為例，操作步驟如下：

點擊 開始按鈕，在搜索框中輸入 cmd ，右鍵點擊菜單上面出現的cmd圖標，選擇 以管理員身份運行 ，在出來的 cmd 窗口中執行 “net stopserver”命令，會話如下圖：

l 感染處理

對於已經感染勒索蠕蟲的機器建議隔離處置。

3.3根治方法

對於Win7及以上版本的操作系統，目前微軟已發布補丁MS17-010修復了“永恒之藍”攻擊的系統漏洞，請立即電腦安裝此補丁。出於基於權限最小化的安全實踐，建議用戶關閉並非必需使用的Server服務，操作方法見應急處置方法 節。

對於Windows XP、2003等微軟已不再提供安全更新的機器，推薦使用360“NSA武器庫免疫工具”檢測系統是否存在漏洞，並關閉受到漏洞影響的端口，以避免遭到勒索蠕蟲病毒的侵害。免疫工具下載地址：http://dl.360safe.com/nsa/nsatool.exe。這些老操作系統的機器建議加入淘汰替換隊列，盡快進行升級。

3.4恢復階段

建議針對重要業務系統立即進行數據備份，針對重要業務終端進行系統鏡像，制作足夠的系統恢復盤或者設備進行替換。

第4章 技術分析

4.1整體影響評估

此安全事件影響範圍包括全部開放445端口的系統，影響範圍巨大。

4.2可受影響區域

企業內網將是受本次攻擊事件影響的重災區。

本文出自 “123yph31” 博客，請務必保留此出處http://3403658.blog.51cto.com/3393658/1925292

通過NSA黑客工具永恒之藍利用SMB共享傳播蠕蟲病毒的通告