360虛擬化安全產品「永恒之藍」應急響應方案

  1.漏洞描述

1.1漏洞描述

2017年5月12日起,在國內外網路中發現爆發基於Windows網路共享協議進行攻擊傳播的蠕蟲惡意代碼,這是不法分子通過改造之前泄露的NSA黑客武器庫中「永恒之藍」攻擊程序發起的網路攻擊事件。

目前發現的蠕蟲會掃描開放445文件共享端口的Windows機器,無需用戶任何操作,只要開機上網,不法分子就能在電腦和服務器中植入執行勒索程序、遠程控制木馬、虛擬貨幣挖礦機等惡意程序。

此蠕蟲目前在沒有對445端口進行嚴格訪問控制的教育網、企業內網及業務外網大量傳播,呈現爆發的態勢,受感染系統會被勒索高額金錢,不能按時支付贖金的系統會被銷毀數據造成嚴重損失。該蠕蟲攻擊事件已經造成非常嚴重的現實危害,各類規模的網路也已經面臨此類威脅。

1.2影響範圍

涉及開放445 SMB服務端口且沒有及時安裝安全補丁的客戶端和服務器系統都將可能面臨此威脅。

1.3建議處置辦法

已購買我司虛擬化安全產品客戶,建議立即配置防火牆相關策略;如未購買防火牆模塊,可致電360服務熱線:400-136-360獲取幫助。

對於Win7及以上版本的操作系統,微軟已發布補丁MS17-010修復了「永恒之藍」攻擊的系統漏洞,請立即安裝此補丁。

補丁地址:https://technet.microsoft.com/zh-cn/library/security/MS17-010

2.應急方案 – 已購買防火牆模塊的用戶

對於Win7及以上版本的系統確認是否安裝MS17-010補丁,如果沒有安裝則受威脅影響;Win7以下的Windows XP/2003沒有補丁,只要開啟SMB服務就會受到影響。

為了減少「永恒之藍」帶來的損失,我們建議客戶首先對向外開放的445等共享端口進行防火牆阻斷控制,並及時部署MS17-010補丁,同時升級IPS、應用識別等設備的特徵庫。

提醒:執行應急處置辦法之前,請管理員先自行評估關閉135、137、138、139、445端口對業務是否帶來影響。

2.1適用於以下虛擬化安全產品

版本

360虛擬化安全管理系統v6.0(輕代理型)

360虛擬化安全管理系統v6.1(輕代理型)

360虛擬化安全管理系統v7.0(輕代理型)

360虛擬化安全管理系統v6.1(無代理型)

2.2 360虛擬化安全管理系統v6.x(輕代理型)

在虛擬化安全V6.x版本控制中心,點擊【策略】-【防火牆策略】-【策略模板】,新建策略模板SMB。

360虛擬化安全產品「永恒之藍」應急響應方案

在【防火牆策略】-【防火牆規則】中新建規則。

配置參數:

優先級:建議最高

流向:設定為流入

協議:TCP

端口:135、137、138、139、445

遠端IP:任意

遠端端口:任意

360虛擬化安全產品「永恒之藍」應急響應方案

進入【策略】-【分組策略】-【網路防護】,開啟防火牆功能,並引用剛才創建的防火牆模板。

點擊保存,並執行生效。

360虛擬化安全產品「永恒之藍」應急響應方案

2.3 360虛擬化安全管理系統v7.x(輕代理型)

在虛擬化安全V7.x版本控制中心,點擊【防火牆】」,新建策略模板SMB,並選擇「新建防火牆配置」。

配置參數:

優先級:建議最高

流向:設定為流入

協議:TCP

端口:135、137、138、139、445

遠端IP:任意

遠端端口:任意

360虛擬化安全產品「永恒之藍」應急響應方案

360虛擬化安全產品「永恒之藍」應急響應方案

設置好策略好,將規則開啟。

並到【主機策略】-【分組策略】中確認防火牆功能是否開啟,將防火牆策略模板調整到SMB策略模板即可完成應急處置。

360虛擬化安全產品「永恒之藍」應急響應方案

2.4 360虛擬化安全管理系統v6.1(無代理型)

在虛擬化安全V6.1無代理版本控制中心,點擊【安全策略】-【安全配置】」,新建安全配置。

360虛擬化安全產品「永恒之藍」應急響應方案

點擊【新建防火牆規則】

配置參數:

方向:設定為入站

動作:組織

協議:TCP

本地IP信息

本地端口信息:135、137、138、139、445

遠端IP信息:所有

遠端端口信息:所有

360虛擬化安全產品「永恒之藍」應急響應方案

設置完防火牆規則後,點擊「確定」。並調整優先級為置頂,最後點擊「保存」。

360虛擬化安全產品「永恒之藍」應急響應方案

3.應急方案 – 未購買防火牆模塊的用戶

1.開始菜單->運行,輸入gpedit.msc回車。打開組策略編輯器

2.在組策略編輯器中,計算機配置->windows設置->安全設置->ip安全策略 下,在編輯器右邊空白處滑鼠右鍵單擊,選擇「創建IP安全策略」

360虛擬化安全產品「永恒之藍」應急響應方案

3.下一步->名稱填寫「封端口」,下一步->下一步->勾選編輯屬性,並點完成

360虛擬化安全產品「永恒之藍」應急響應方案

4.去掉「使用添加嚮導」的勾選後,點擊「添加」

360虛擬化安全產品「永恒之藍」應急響應方案

5.在新彈出的窗口,選擇「IP篩選列表」選項卡,點擊「添加」

360虛擬化安全產品「永恒之藍」應急響應方案

6.在新彈出的窗口中填寫名稱,去掉「使用添加嚮導」前面的勾,單擊「添加」

360虛擬化安全產品「永恒之藍」應急響應方案

7. 在新彈出的窗口中,「協議」選項卡下,選擇協議和設置到達端口信息,並點確定。

360虛擬化安全產品「永恒之藍」應急響應方案

8.重復第7個步驟,添加TCP端口135、139、445。添加UDP端口137、138。添加全部完成後,確定。

9.選中剛添加完成的「端口過濾」規則,然後選擇「篩選器操作」選項卡。

360虛擬化安全產品「永恒之藍」應急響應方案

10.去掉「使用添加嚮導」勾選,單擊「添加」按鈕

360虛擬化安全產品「永恒之藍」應急響應方案

11.選擇「阻止」

360虛擬化安全產品「永恒之藍」應急響應方案

12.選擇「常規」選項卡,給這個篩選器起名「阻止」,然後點擊「確定」。

13.確認「IP篩選列表」選項卡下的「端口過濾」被選中。確認「篩選器操作」選項卡下的「阻止」被選中。然後點擊「關閉」。

360虛擬化安全產品「永恒之藍」應急響應方案

14.確認安全規則配置正確。點擊確定。

360虛擬化安全產品「永恒之藍」應急響應方案

15.在「組策略編輯器」上,右鍵「分配」,將規則啟用。

360虛擬化安全產品「永恒之藍」應急響應方案

4.附錄 – 查看445端口是否開放

1.查看445端口是否關閉的方法:

2.打開開始菜單—點擊運行—-輸入cmd—點擊確定

3.輸入命令:netstat -an 回車

4.查看結果中是否還有445端口

360虛擬化安全產品「永恒之藍」應急響應方案