站長資訊網5月12日,英國16家醫院同時遭遇Wannacry(永恒之藍)勒索蠕蟲攻擊,導致倫敦、諾丁漢等多地醫院的IT系統癱瘓。隨后,該勒索蠕蟲在全球開始傳播。五個小時內,包括美國、俄羅斯以及整個歐洲在內的100多個國家,以及國內高校內網、大型企業內網和政府機構專網中招,被勒索支付高額贖金才能解密恢復文件,對重要數據造成嚴重損失。
長期以來,醫院一直是敲詐蠕蟲攻擊的重要目標。2016年2月5日,美國好萊塢長老教會紀念醫學中心的電腦系統在遭受為期一星期的敲詐者病毒攻擊后,該中心宣布決定支付給黑客40比特幣(約17000美元)來修復這一問題。隨后加拿大渥太華的一家醫院和安大略省的一家醫院也被敲詐者病毒攻擊。
這次的“永恒之藍”勒索蠕蟲,是NSA網絡軍火民用化的全球第一例。一個月前,第四批NSA相關網絡攻擊工具及文檔被Shadow Brokers組織公布,包含了涉及多個Windows系統服務(SMB、RDP、IIS)的遠程命令執行工具,其中就包括“永恒之藍”攻擊程序。
在之前就已經爆發的多次利用445端口進行蠕蟲攻擊的事件中,部分運營商在主干網絡上已經封禁了445端口,但是教育網以及大量企業內網并沒有此限制,而且并未及時安裝補丁,仍然存在大量暴露445端口且存在漏洞的電腦,導致了這次“永恒之藍”勒索蠕蟲的泛濫。
360企業安全資深安全專家表示,“隔離不等于安全,醫院隔離的專網本身就是一個小規模的互聯網,需要當作互聯網來建設。”針對此次安全事件,強烈建議企業安全管理員在網絡邊界的防火墻上阻斷445端口的訪問,并升級設備的檢測規則到最新版本,同時設置相應漏洞攻擊的阻斷,直到確認網絡內的電腦已經安裝了微軟MS17-010補丁或關閉了Server服務。
而通過此次“永恒之藍”勒索蠕蟲事件我們發現,目前國內機構的IT系統中,存在著防火墻品牌不一致的問題,這就導致安全事件爆發時防火墻無法實現安全策略的集中下發,直接影響到了機構對安全事件的應急響應速度。
針對“永恒之藍”勒索蠕蟲,360企業安全專家建議: 對已經感染勒索蠕蟲的機器建議隔離處置。
對尚未發現攻擊的機構,網絡管理員在網絡邊界的防火墻上阻斷445端口的訪問,如果邊界上有IPS和360天堤智慧防火墻之類的設備,請升級設備的檢測規則到最新版本并設置相應漏洞攻擊的阻斷,直到確認網內的電腦已經安裝了MS17-010補丁或關閉了Server服務。在終端層面暫時關閉Server服務。對于已經感染勒索蠕蟲的機器建議隔離處置。
對于Win7及以上版本的操作系統,目前微軟已發布補丁MS17-010修復了“永恒之藍”攻擊的系統漏洞,請立即電腦安裝此補丁。出于基于權限最小化的安全實踐,建議用戶關閉并非必需使用的Server服務。
對于Windows XP、2003等微軟已不再提供安全更新的機器,推薦使用360“NSA武器庫免疫工具”檢測系統是否存在漏洞,并關閉受到漏洞影響的端口,以避免遭到勒索蠕蟲病毒的侵害。免疫工具下載地址:http://dl.360safe.com/nsa/nsatool.exe 。這些老操作系統的機器建議加入淘汰替換隊列,盡快進行升級。
同時建議針對重要業務系統立即進行數據備份,針對重要業務終端進行系統鏡像,制作足夠的系統恢復盤或者設備進行替換。
特別提醒:本網內容轉載自其他媒體,目的在于傳遞更多信息,并不代表本網贊同其觀點。其原創性以及文中陳述文字和內容未經本站證實,對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾,并請自行核實相關內容。本站不承擔此類作品侵權行為的直接責任及連帶責任。如若本網有任何內容侵犯您的權益,請及時聯系我們,本站將會在24小時內處理完畢。
