新闻动态
媒体报道
 
“永恒之蓝”应急响应方案

1.漏洞描述

1.1漏洞描述
2017年5月12日起,在国内外网络中发现爆发基于Windows网络共享协议进行攻击传播的蠕虫恶意代码,这是不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件。
目前发现的蠕虫会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入执行勒索程序、远程控制木马、虚拟货币挖矿机等恶意程序。
此蠕虫目前在没有对445端口进行严格访问控制的教育网、企业内网及业务外网大量传播,呈现爆发的态势,受感染系统会被勒索高额金钱,不能按时支付赎金的系统会被销毁数据造成严重损失。该蠕虫攻击事件已经造成非常严重的现实危害,各类规模的网络也已经面临此类威胁。
1.2影响范围
涉及开放445 SMB服务端口且没有及时安装安全补丁的客户端和服务器系统都将可能面临此威胁。
1.3建议处置办法
 
已购买我司虚拟化安全产品客户,建议立即配置防火墙相关策略;如未购买防火墙模块,可致电360服务热线:400-136-360获取帮助。
 
对于Win7及以上版本的操作系统,微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞,请立即安装此补丁。
 
补丁地址:https://technet.microsoft.com/zh-cn/library/security/MS17-010

 

2.应急方案 – 未购买防火墙模块的用户

1.开始菜单->运行,输入gpedit.msc回车。打开组策略编辑器
2.在组策略编辑器中,计算机配置->windows设置->安全设置->ip安全策略 下,在编辑器右边空白处鼠标右键单击,选择“创建IP安全策略”

3.下一步->名称填写“封端口”,下一步->下一步->勾选编辑属性,并点完成

4.去掉“使用添加向导”的勾选后,点击“添加”

5.在新弹出的窗口,选择“IP筛选列表”选项卡,点击“添加”

6.在新弹出的窗口中填写名称,去掉“使用添加向导”前面的勾,单击“添加”

7. 在新弹出的窗口中,“协议”选项卡下,选择协议和设置到达端口信息,并点确定。

8.重复第7个步骤,添加TCP端口135、139、445。添加UDP端口137、138。添加全部完成后,确定。
9.选中刚添加完成的“端口过滤”规则,然后选择“筛选器操作”选项卡。

10.去掉“使用添加向导”勾选,单击“添加”按钮

11.选择“阻止”

12.选择“常规”选项卡,给这个筛选器起名“阻止”,然后点击“确定”。
13.确认“IP筛选列表”选项卡下的“端口过滤”被选中。确认“筛选器操作”选项卡下的“阻止”被选中。然后点击“关闭”。

14.确认安全规则配置正确。点击确定。

15.在“组策略编辑器”上,右键“分配”,将规则启用。

3.附录 – 查看445端口是否开放

1.查看445端口是否关闭的方法:
2.打开开始菜单---点击运行----输入cmd---点击确定
3.输入命令:netstat -an 回车
4.查看结果中是否还有445端口

 
 

发布时间 2017/5/14