听启明星辰大潘 聊聊WannaCry的“过”与“功”

说“永恒之蓝”勒索软件蠕虫大规模爆发是让人始料未及的，其实笔者是不同意的。早在3月14日，微软就发布了针对“永恒之蓝”的MS17-010补丁；一个月前，此事已见端倪，4月14日，黑客团体Shadow Brokers公布了一批NSA方程式组织的机密文档及工具，其中包括多个Windows远程漏洞利用工具；第二天，启明星辰就发布临时解决方案，建议已知受影响的windows操作系统先关闭135、137、445、3389端口，或使用防火墙屏蔽上述端口的访问；同时启明星辰发布升级特征库；4月16日，在NSA方程式武器库被公布之后，启明星辰也发布了针对性的防护方案；4月21日，启明星辰又着重描述了蠕虫病毒（如永恒之蓝）在内网传播的监测手段。

直至5月12日，“永恒之蓝”勒索蠕虫在全球范围内爆发。

没成想，一个利用已有补丁漏洞的攻击，竟能产生如此巨大的影响。细捋事件线索，可以明显看出这次的勒索软件蠕虫本是能够防范的。启明星辰首席战略官潘柱廷大潘，也就此事发表观点，他说：“这次勒索攻击，既不空前，也非绝后。”

“WannaCry”从5月12日晚开始爆发的几个小时内，就有100多个国家受到攻击，24小时内，监测到的攻击次数超过10W，且攻击仍在蔓延。在我国，重灾区是校园系统、医疗系统、能源行业，以及公安办事系统等，事件爆发的第二天，央视对WannaCry进行了紧急报道。

启明星辰也对WannaCry进行了详细的逆向分析，指出，勒索是最终的目的，而漏洞是其中的先决条件，影子经纪人曝出的漏洞很多都很有杀伤力，每一个都可能成为下一个“永恒之蓝”的载体。随后发布了“泰合安全管理平台应急处置指引”，提供了基于安全管理平台的事件分析和安全预警操作指导。

其实可以从正反两方面来分析此事件。

从积极的角度来看，WannaCry勒索事件发生后，社会各方面都非常重视，无论企事业机构还是个人网络用户都在积极寻求全身而退的解决方案，虽然有亡羊补牢的意味，但是显示了我国现在对网络安全重视程度的大幅度提升。国内网络安全厂商也以身作则，加班加点，研究攻击、研发行之有效的解决方案。

大潘不无欣喜的表示：“社会自然形成的‘灾难三级处置’看来是行之有效的。”目前的处置分为三个级别，一是自护自救；二是民间企业自发性的扁平化合作，协同响应；最后是国家统一协调，集中指挥解决问题。“如果把此次勒索软件的爆发看做是灾难来处置的话，我们已经做的很好了”，大潘肯定道，“但是如果将勒索软件看做一个事件来说的话，中招的企业和个人用户自身肯定也有问题。”

实际上，若不幸中招，我们的损失不止是那些被锁住的文件。大潘帮我们梳理，损失分为三部分：中招后损失分为直接损失和间接损失，间接损失才是比重较大的一方；第二部分是处置此事带来的损失，包括正常处置下，例如断网导致的工作效率下降的损失，处置失当情况下，恢复不了断网的时候如何进行下一步业务的难题，和社会基础设施一但受影响，引发的诸如加油站无法加油的现实问题；最后因恐惧而过度处置引发的损失，这个问题可以反过来理解，如果经过的理性的判断，那么举例来说，其实我们对端口是不用有过多的处理的，因为运营商已经在做这件事儿了。第三部分是，归根结底，我们要面临的就是成本增加带来的损失，这一点包括前期处置的成本损失，网络安全系统需要进一步升级以及重打补丁的损失，因为现在很多厂商是关掉升级来保护眼前的利益的，那么要做“补牢”工作的话当然又是一笔开支。

大潘强调“通过这些事儿我们必须反思”。第一就是备份！备份！备份！重要的事情说三遍；重视系统补丁；还有就是关键基础设施如何在断网情况下保证业务连续性。不过，虽然勒索事件给了我们很大的“教训”，但大潘总结，这是“乐观的悲观”，WannaCry所产生的消极影响也敦促我们不断完善网络安全防护体系，正是因为我们对此类事件有了足够的重视，和加强防护的决心，未来我们才能在在此遭遇此类事件的时候有所准备。

启明星辰首席战略官 潘柱廷

最后，启明星辰补充，在大部分主机已经更新补丁，网络防范措施已有部署的情况下，发现并消灭“残余势力”尤为重要，同时，同类攻击也需纳入监控，防患于未然。基于此，启明星辰总结了近几天来的“战斗经验”：

一、未部署端点安全的终端应急解决方案

◆ 做好重要文件的备份工作（非本地备份）。

◆ 开启系统防火墙。

◆ 利用系统防火墙高级设置阻止向445端口进行连接（该操作会影响使用445端口的服务）。

◆ 打开系统自动更新，并检测更新进行安装。

◆ 停止使用Windows XP、Windows 2003等微软已不再提供安全更新的操作系统。

◆ 如无需使用共享服务建议关闭该服务。

二、已部署端点安全的终端应急解决方案

◆ 如果用户已经部署终端管理类产品，如北信源，天珣、联软等

◆ 通过终端管理软件进行内网打补丁。

◆ 通过主机防火墙关闭入栈流量。主机防火墙关闭到445出栈流量。

◆ 开启文件审计，只允许word.exe，explore.exe等对文件访问。

◆ 升级病毒库，已部署天珣防病毒的用户，支持查杀。

三、网络应急解决方案

◆ 在边界出口交换路由设备禁止外网对内网135/137/139/445端口的连接。

◆在内网核心主干交换路由设备禁止135/137/139/445端口的连接。

◆ 如果有部署入侵防御等防护系统则尽快检查漏洞库升级，开启防御策略。

◆ 发布通知重点留意邮件、移动存储介质等传播渠道，做好重点检查防护工作。

四、已经感染解决方案

◆ 断开网络连接，阻止进一步扩散。

◆ 优先检查未感染主机的漏洞状况（可直接联系启明星辰，提供免费检测工具使用），做好漏洞加固工作后方可恢复网络连接。

◆ 已经感染终端，根据终端数据类型决定处置方式，如果重新安装系统则建议完全格式化硬盘、使用新操作系统、完善操作系统补丁、通过检查确认无相关漏洞后再恢复网络连接。

五、内部排查应急方案

◆ 若用户已部署漏洞扫描类产品，可联系厂商获得最新漏洞库的支持。

◆ 已部署启明星辰天镜漏扫产品的用户，请大家升级至最新漏洞库即可，建议使用漏扫6070以上版本进行扫描，最新漏洞库607000088。实现对内部Windows主机资产的漏洞情况排查。

◆ 未部署相关产品的用户，可联系厂商获得产品试用应急。

六、无法关闭服务端口的应急解决方案

◆ 若用户已部署UTM/IPS入侵防御类产品，可联系厂商获得最新事件库的支持。

◆ 已部署启明星辰天清入侵防护类产品（IPS/UTM）的用户，请大家升级至最新事件库并下发相应规则即可实现对内部Windows主机的防护。

◆ 未部署相关产品的用户，可联系厂商获得产品试用应急。