针对“永恒之蓝”攻击紧急处置手册

2017-05-13 18:11:00 作者:ym 分类 : 比特网

 

 第1章 隔离网主机应急处置操作指南

  首先确认主机是否被感染

  被感染的机器屏幕会显示如下的告知付赎金的界面:

  如果主机已被感染:

  则将该主机隔离或断网(拔网线)。若客户存在该主机备份,则启动备份恢

  复程序。

  如果主机未被感染:

  则存在四种方式进行防护,均可以避免主机被感染。针对未感染主机,方式

  二是属于彻底根除的手段,但耗时较长;其他方式均属于抑制手段,其中方式一

  效率最高。

  从响应效率和质量上,360 建议首先采用方式一进行抑制,再采用方式二进

  行根除。

    方式一:启用蠕虫快速免疫工具

  免疫工具的下载地址:http://dl.b.360.cn/tools/OnionWormImmune.exe

  请双击运行 OnionWormImmune.exe 工具,并检查任务管理器中的状态。

  方式二:针对主机进行补丁升级

  请参考紧急处置工具包相关目录并安装 MS17-010 补丁,微软已经发布

  winxp_sp3 至 win10、win2003 至 win2016 的全系列补丁。

  微软官方下载地址:

  https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-

  wannacrypt-attacks/

  

  快速下载地址:

  https://yunpan.cn/cXLwmvHrMF3WI 访问密码 614d

  方式三:关闭 445 端口相关服务

  点击开始菜单,运行,cmd,确认。

  输入命令 netstat –an 查看端口状态

  输入 net stop rdr 回车 net stop srv 回车 net stop netbt 回车

  

  再次输入 netsta –an,成功关闭 445 端口。

  方式四:配置主机级 ACL 策略封堵 445 端口

  通过组策略 IP 安全策略限制 Windows 网络共享协议相关端口

  

  开始菜单->运行,输入 gpedit.msc 回车。打开组策略编辑器

  在组策略编辑器中,计算机配置->windows 设置->安全设置->ip 安全策略 下,

  在编辑器右边空白处鼠标右键单击,选择“创建 IP 安全策略”

  下一步->名称填写“封端口”,下一步->下一步->勾选编辑属性,并点完成

  

  去掉“使用添加向导”的勾选后,点击“添加”

  

  在新弹出的窗口,选择“IP 筛选列表”选项卡,点击“添加”

  

  在新弹出的窗口中填写名称,去掉“使用添加向导”前面的勾,单击“添加”

  

  在新弹出的窗口中,“协议”选项卡下,选择协议和设置到达端口信息

  并点确定。

  

  重复第 7 个步骤,添加 TCP 端口 135、139、445。添加 UDP 端口 137、138。

  添加全部完成后,确定。

  选中刚添加完成的“端口过滤”规则,然后选择“筛选器操作”选项卡。

  

  去掉“使用添加向导”勾选,单击“添加”按钮

  

  1. 选择“阻止”

  2. 选择“常规”选项卡,给这个筛选器起名“阻止”,然后“确定”。点击

  3. 确认“IP 筛选列表”选项卡下的“端口过滤”被选中。确认“筛选器操作”选项卡下的“阻止”被选中。然后点击“关闭”。

  

  4. 确认安全规则配置正确。点击确定。

  5. 在“组策略编辑器”上,右键“分配”,将规则启用。

   

  第2章 核心网络设备应急处置操作指南

  大型机构由于设备众多,为了避免感染设备之后的广泛传播,建议利用各网

  络设备的 ACL 策略配置,以实现临时封堵。

  该蠕虫病毒主要利用 TCP 的 445 端口进行传播, 对于各大企事业单位影响很

  大。为了阻断病毒快速传播, 建议在核心网络设备的三层接口位置, 配置 ACL 规

  则从网络层面阻断 TCP 445 端口的通讯。

  以下内容是基于较为流行的网络设备,举例说明如何配置 ACL 规则,以禁止

  TCP 445 网络端口传输,仅供大家参考。在实际操作中,请协调网络管理人员或

  网络设备厂商服务人员,根据实际网络环境在核心网络设备上进行配置。

  Juniper 设备的建议配置(示例):

  set firewall family inet filter deny-wannacry term deny445 from protocol tcp

  set firewall family inet filter deny-wannacry term deny445 from destination-port 445 set firewall family inet filter deny-wannacry term deny445 then discard

  set firewall family inet filter deny-wannacry term default then accept

  #在全局应用规则

  set forwarding-options family inet filter output deny-wannacry set forwarding-options family inet filter input deny-wannacry

  #在三层接口应用规则

  set interfaces [ 需要挂载的三层端口名称 ] unit 0 family inet filter output deny-wannacry

  set interfaces [ 需要挂载的三层端口名称 ] unit 0 family inet filter input deny-wannacry

  

  华三(H3C)设备的建议配置(示例):

  新版本: acl number 3050

  rule deny tcp destination-port 445 rule permit ip

  interface [需要挂载的三层端口名称] packet-filter 3050 inbound packet-filter 3050 outbound

  旧版本: acl number 3050

  rule permit tcp destination-port 445

  traffic classifier deny-wannacry if-match acl 3050

  traffic behavior deny-wannacry filter deny

  qos policy deny-wannacry

  classifier deny-wannacry behavior deny-wannacry

  #在全局应用

  qos apply policy deny-wannacry global inbound qos apply policy deny-wannacry global outbound

  #在三层接口应用规则

 

  interface [需要挂载的三层端口名称]

  qos apply policy deny-wannacry inbound

  qos apply policy deny-wannacry outbound

  华为设备的建议配置(示例):

  acl number 3050

  rule deny tcp destination-port eq 445 rule permit ip

  traffic classifier deny-wannacry type and if-match acl 3050

  traffic behavior deny-wannacry

  traffic policy deny-wannacry

  classifier deny-wannacry behavior deny-wannacry precedence 5

  interface [需要挂载的三层端口名称] traffic-policy deny-wannacry inbound traffic-policy deny-wannacry outbound

  Cisco 设备的建议配置(示例):

  旧版本:

  ip access-list extended deny-wannacry

  deny tcp any any eq 445

  permit ip any any

  interface [需要挂载的三层端口名称] ip access-group deny-wannacry in

  ip access-group deny-wannacry out

  新版本:

  ip access-list deny-wannacry deny tcp any any eq 445 permit ip any any

  interface [需要挂载的三层端口名称] ip access-group deny-wannacry in

  ip access-group deny-wannacry out

  锐捷设备的建议配置(示例):

  ip access-list extended deny-wannacry deny tcp any any eq 445

  permit ip any any

  interface [需要挂载的三层端口名称] ip access-group deny-wannacry in

  ip access-group deny-wannacry out

 

  第3章 互联网主机应急处置操作指南

  采用快速处置方式,建议使用 360 安全卫士的“NSA 武器库免疫工具 ”,可

  一键检测修复漏洞、关闭高风险服务,包括精准检测出 NSA 武器库使用的漏洞

   是否已经修复,并提示用户安装相应的补丁。针对 XP、2003 等无补丁的系统版

  本用户,防御工具能够帮助用户关闭存在高危风险的服务,从而对 NSA 黑客

  器攻击的系统漏洞彻底“免疫”。

  NSA 武器库免疫工具下载地址:http://dl.360safe.com/nsa/nsatool.exe

  

芥末视频

最近更新
科普

科普图集
带着朋友和机器人上月亮散步

带着朋友和机器人上月亮散步>>详情

邮件订阅

软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!
网络周刊
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。
存储周刊
比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
安全周刊
比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。
IT专家网
IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊
X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。