导读:北京时间5月12日,互联网上出现针对Windows操作系统的勒索软件“Wannacry”。勒索软件利用此前披露的Windows SMB服务漏洞(对应微软漏洞公告:MS17-010)攻击手段,向终端用户进行渗透传播,并向用户勒索比特币或其他价值物。目前全球共计100多个国家多个不同行业遭受到不同程度的攻击,我国大批高校也出现感染情况,众多师生的电脑文件被病毒加密,只有支付赎金才能恢复,全国多地中石油加油站出现断网,加油无法使用等情况。
匡恩网络早就注意到NSA泄露工具的危害性,于2017年4月27日就MS17-010漏洞进行了详尽分析,并提出了相应的安全解决方案,详见(技术分析丨Equation Group泄漏工具简介与MS17-010漏洞利用)。不出半月,利用此漏洞编写的恶意病毒就肆虐网络,造成了严重的影响。
1、事件分析
经分析,勒索软件是一个名称为“wannacry”的新家族,目前无法解密该勒索软件加密的文件。该恶意软件会扫描电脑上的TCP 445端口(Server Message Block/SMB),以类似于蠕虫病毒的方式传播,攻击主机并加密主机上存储的文件,然后要求以比特币的形式支付赎金。
(勒索窗口)
WannaCry样本使用了DOUBLEPULSAR,这是一个由来已久的后门程序,通常被用于在以前被感染的系统上访问和执行代码,这一后门程序允许在系统上安装和激活恶意软件等其他软件,它通常在恶意软件成功利用SMB漏洞后被植入。
此外WannaCry似乎并不仅仅是利用与这一攻击框架相关的ETERNALBLUE(永恒之蓝)模块,它还会扫描可访问的服务器,检测是否存在DOUBLEPULSAR后门程序。如果发现有主机被植入了这一后门程序,它会利用现有的后门程序功能,并使用它来通过WannaCry感染系统。如果系统此前未被感染和植入DOUBLEPULSAR,该恶意软件将使用ETERNALBLUE尝试利用SMB漏洞。这就造成了近期在互联网上观察到的大规模类似蠕虫病毒的活动。
对于Win7及以上版本的操作系统,目前微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞,可立即安装此补丁避免感染。对于Windows XP、2003等微软已不再提供安全更新的机器,推荐使用“匡恩网络工控卫士”保障主机安全。尤其是在工业环境当中,上位机、工程师站、操作员站、各种服务器的操作系统绝大部分都是Windows系统,并且在工业环境中其操作系统不允许升级打补丁等操作,那么微软出的MS17-010补丁在工业环境中无法得到应用,匡恩网络终端安全为工业当中的上位机解决此问题。
2、匡恩网络解决之道
安装匡恩网络工控卫士,解决工控主机的安全问题,它能实现对工控上位机与工控服务器全面的安全防护。
工控卫士能够监控工控主机的进程状态、网络端口状态、USB端口状态,以白名单的技术方式,全方位地保护主机的资源使用。根据白名单的配置,工控卫士会禁止非法进程的运行,禁止非法网络端口的打开与服务,禁止非法USB设备的接入,从而切断病毒和木马的传播与破坏路径,保障操作系统的全方位安全。
工控卫士是专业针对工控主机的防护软件,其依托匡恩网络在工控网络安全的技术优势,充分研究、吸收工控网络安全攻防技术的前沿成果,极具技术前瞻性。更多信息请访问:http://www.kuangn.com/product/detail/104.html。
同时建议针对重要业务系统立即进行数据备份,针对重要业务终端进行系统镜像,制作足够的系统恢复盘。
