北京時間5月12日,互聯(lián)網(wǎng)上出現(xiàn)針對Windows操作系統(tǒng)的勒索軟件(Wannacry)攻擊案例��。勒索軟件利用此前披露的Windows SMB服務漏洞(對應微軟漏洞公告:MS17-010)攻擊手段,向終端用戶進行滲透傳播��,并向用戶勒索比特幣或其他價值物��。包括高校��、能源等重要信息系統(tǒng)在內(nèi)的多個國內(nèi)用戶受到攻擊��,已對我國互聯(lián)網(wǎng)絡構成較為嚴重的安全威脅��。
一、勒索軟件情況
綜合CNCERT和國內(nèi)網(wǎng)絡安全企業(yè)(奇虎360公司��、安天公司等)已獲知的樣本情況和分析結果��,該勒索軟件在傳播時基于445端口并利用SMB服務漏洞(MS17-010),總體可以判斷是由于此前“Shadow Brokers”披露漏洞攻擊工具而導致的后續(xù)黑產(chǎn)攻擊威脅��。4月16日,CNCERT主辦的CNVD發(fā)布《關于加強防范Windows操作系統(tǒng)和相關軟件漏洞攻擊風險的情況公告》,對影子紀經(jīng)人“Shadow Brokers”披露的多款涉及Windows操作系統(tǒng)SMB服務的漏洞攻擊工具情況進行了通報(相關工具列表如下)��,并對有可能產(chǎn)生的大規(guī)模攻擊進行了預警:
圖勒索軟件界面圖(來源:安天公司)
(一)關閉445等端口(其他關聯(lián)端口如:135��、137��、139)的外部網(wǎng)絡訪問權限��,在服務器上關閉不必要的上述服務端口(具體操作請見參考鏈接)��;
(二)加強對445等端口(其他關聯(lián)端口如:135��、137��、139)的內(nèi)部網(wǎng)絡區(qū)域訪問審計,及時發(fā)現(xiàn)非授權行為或潛在的攻擊行為��;
(三)及時更新操作系統(tǒng)補丁��。
(四)安裝并及時更新殺毒軟件。
(五)不要輕易打開來源不明的電子郵件��。
(六)定期在不同的存儲介質(zhì)上備份信息系統(tǒng)業(yè)務和個人數(shù)據(jù)��。
CNCERT后續(xù)將密切監(jiān)測和關注該勒索軟件的攻擊情況��,同時聯(lián)合安全業(yè)界對有可能出現(xiàn)的新的攻擊傳播手段��、惡意樣本進行跟蹤防范��。
附:參考鏈接:
http://thehackernews.com/2017/04/window-zero-day-patch.html?m=1&from=groupmessage
https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/��?from=timeline&isappinstalled=0(微軟發(fā)布的官方安全公告)
http://www.cnvd.org.cn/webinfo/show/4110(CNVD安全公告)
http://www.antiy.com/response/Antiy_Wannacry_Protection_Manual/Antiy_Wannacry_Protection_Manual.html(安天防護手冊)
小編推薦閱讀
