码迷,mamicode.com
首页 > 其他好文 > 详细

抵抗勒索病毒的正确姿势——不要上来就封端口!

时间:2017-05-15 14:15:06      阅读:1282      评论:0      收藏:0      [点我收藏+]

标签:正确姿势   target   blank   客户端   title   

刚刚过去的这个周末,朋友圈一定被勒索病毒刷屏了~

看到一堆人告诉别人封锁135-139,445端口,作为一个修过无数AD复制问题,客户端无法登录或者使用域资源问题的老司机,我想问问,您真的知道这些端口是干嘛的么?

端口使用的官方网页请看这里:

 

Port Assignments for Well-Known Ports

https://technet.microsoft.com/en-us/library/cc959828.aspx

 

请仔细阅读和确认有关135,136,137,138,139,445端口的作用,如果不确定是否需要这些端口完成正常的域登录、访问域资源、DC间检测复制等等,请谨慎封锁端口!

最大的危害不在于立即出现的故障,而在于90天或者180天之后出现的大量AD复制错误,修复这些问题比你想想的更复杂。

 

那么,是否就任由勒索病毒肆虐呢?作为一个有责任心,有正义感的IT专业人士(哈哈),必须要发一点光,尽一份力……时间紧迫,咸蛋少扯。我们看看这个勒索病毒是怎么玩的。

勒索病毒早就有了,方式是通过高阶加密用户的重要信息文件,例如Office文档、图片视频等等,然后删除原始文件,要求用户支付金额,然后可能提供解密方式。在我看来很没品~

为啥这一次这么猖獗呢?因为这回的病毒,利用了之前NSA失窃的战略级漏洞工具箱里的一个工具——永恒之蓝。因此病毒可以直接攻击未受到防护的文件共享协议SMB V1的漏洞,直接进行传播。

这种传播方式,效率要远快于传统的文件复制、移动存储、邮件和网站链接等等,因此才会在周末发生爆发的态势。

传统安全往往着眼于网络边界,关注点在防火墙,网络访问行为管理,IPS啥的,对这种内网SMB漏洞防御不好使~而重要的,大量用户在防火墙之后,不打补丁!

 

那么怎样尽快不影响正常使用下尽可能的防止和减缓病毒肆虐?

快打补丁!快打补丁!快打补丁!

假如您使用的是虚拟桌面,特别是池化桌面,特别特别是PVS这种串流池化桌面,补丁更新模板,同时对基础架构服务器、文件服务器或NAS进行杀毒之后就可以休息了。

如果是PC或者Dedicated桌面,很不幸,您的工作量多了很多,建议的方法有:

1、不要简单封端口,除非你知道会发生什么;

2、阅读永恒之蓝漏洞的说明,知道是什么地方的漏洞:

MS17-010: Security update for Windows SMB Server: March 14, 2017

https://support.microsoft.com/en-au/help/4013389/title 

Microsoft Security Bulletin MS17-010 – Critical

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

很清楚,这个危机漏洞主要发生在SMBv1的早期协议下。

3、在慢慢打补丁的同时该做些什么:

病毒是不会等你打补丁的。为了提高补丁效率,建议使用WSUS来进行批量的补丁更新,同时也降低访问微软补丁服务器的流量。据说现在访问补丁服务器的速度已经很慢了。

与此同时,可以参考微软KB关闭SMBv1的支持。

https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012

可以通过注册表、脚本等任何形式,利用组策略强制用户停用SMBv1,例如:

sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled

 

Registry subkey: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\ParametersRegistry entry: SMB1
REG_DWORD: 0 = Disabled

4、已经发生勒索的,可以尝试:

从猜测的逻辑看,病毒会执行指令,将现有文件进行加密,生成特定后缀的加密文件,同时删除原有文件。假设磁盘空间没有被复用,可以尝试用数据恢复软件搜索磁盘,发现删除的文件尝试回复,例如使用r-studio。

 

来不及写ADMX组策略模板了,抓紧防御吧~

仓促成文,如有错漏敬请斧正。感谢Samuel Deng和凯凯还有袁总。

抵抗勒索病毒的正确姿势——不要上来就封端口!

标签:正确姿势   target   blank   客户端   title   

原文地址:http://haohu.blog.51cto.com/2474833/1925783

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!