企业防止勒索病毒扩散安全改造方案

发表日期:2017-06-15    点击击数: 467

方案背景

WannaCry(想哭,又叫Wanna Decryptor),一种“蠕虫式”的勒索病毒软件,大小3.3MB,由不法分子利用NSANational Security Agency,美国国家安全局)泄露的危险漏洞“EternalBlue”(永恒之蓝)进行传播。该恶意软件会扫描电脑上的TCP 445端口(Server Message Block/SMB),以类似于蠕虫病毒的方式传播,攻击主机并加密主机上存储的文件,然后要求以比特币的形式支付赎金。勒索金额为300600美元。2017514日,WannaCry 勒索病毒出现了变种:WannaCry 2.0,取消Kill Switch 传播速度或更快。截止2017515日,WannaCry造成至少有150个国家受到网络攻击,已经影响到金融,能源,医疗等行业,造成严重的危机管理问题。中国部分Window操作系统用户遭受感染,校园网用户首当其冲,受害严重,大量实验室数据和毕业设计被锁定加密。面对强势而来的勒索病毒,在各安全机构尚未推出有效的单机、网络杀毒工具之前,企业内网信息安全受到重大威胁,企业网管部门日日如履薄冰。

作为自主可控网络行业一份子,急用户所急、保障用户网络信息系统安全运行,信联安宝自当责无旁贷。我司网络专家在病毒爆发后第一时间,收集了大量有关病毒发病的特征信息及其传播实现方式,配合客户网络运维部门,对客户内网做了及时的策略布防与升级,保证了客户网络的稳健运行。现总结成熟方案并配合部分配置脚本说明公告,以供大家参考。

方案功能:

  • 对于尚未感染的网络可以起到预先阻断病毒传播、强化安全控制的全网屏蔽作用。即使内部单机因操作不慎使用了外来介质(带毒U盘等)而受到感染,也不会造成对网络的其他设备的攻击传染。
  • 对于已经发现有感染现象的网络,可以起到分区块隔离,保障网络健康部分不受感染的作用。


 

方案简述

      病毒发作最大的危害不仅仅是对本机个体的伤害,而是对网络中其他个体的快速传播、复制后的次生伤害。所以针对蠕虫类病毒防范方案的重点应该是:

1、 带毒个体隔离治疗方案(筛查、隔离)

2、 未带毒个体免疫方案(单机补丁、单机策略)

3、 全网络病毒传播途径阻断方案。(路由策略、防火墙策略、交换策略)


1.带毒个体隔离治疗

  1. 开机:在尚未出台有效个体杀毒工具之前,企业IT运维管理应要求员工单机必须采用断网开机方式开机。
  2. 查毒:开机后,检查桌面有无异常,检查office文件打开关闭有无异常,如有异常则表示该机已经带毒,应立即对其采取隔离处理。
  3. 隔离:严禁带毒个体接入网络,严禁对其使用U盘类移动存储介质,关闭该设备WIFI、蓝牙、网卡等网络端口。对在该设备上使用过的U盘类移动存储介质要收集归总,并做统一低格擦除处理。
  4. 策略:强化本地策略,在windows防火墙设置中,选择高级设置,加入两条“入站”规则——TCP/UDP针对端口135137139445采取阻断所有连接的方式。
  5. 补救:在安全网络设备上下载安全机构出台的文件补救工具,刻录光盘。使用光盘,对带毒个体上的染毒文件进行补救。
  6. 清除:在文件补救完成以后,对该设备使用低格模式格式化、然后重装系统。
  7. 预防:系统重装后,根据操作系统类型补齐微软安全漏洞补丁(见下表)。强化本地策略,在windows防火墙设置中,选择高级设置,,加入两条“入站”规则——TCP/UDP针对端口135137139445采取阻断所有连接的方式。


操作系统

版本

名称

下载地址

XP

SP3

KB4012598

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

WIN7

SP1

KB4012212

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212

SP1

KB4012215

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012215

WIN10

LTSB

KB4012606

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012606

1511

KB4013198

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4013198

1607

KB4013429

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4013429

WIN8

及其他

ALL

ALL

https://technet.microsoft.com/EN-US/LIBRARY/SECURITY/MS17-010.ASPX



2.未带毒个体免疫

1、  开机:在尚未出台有效个体杀毒工具之前,企业IT运维管理应要求员工单机必须采用断网开机方式开机。

2、  查毒:开机后,检查桌面有无异常,检查office文件打开关闭有无异常,如无异常则表示该机状态健康,如尚未对其采取免疫配置,应在对其配置免疫策略以后方能接入网络。如已经做完免疫配置,则在开机无异常后可接入网络。

3、  介质:严禁在健康设备上使用来路不明的U盘类移动存储介质。

4、  免疫步骤1:补丁强化。检查系统补丁列表,完成安全补丁安装。

操作系统

版本

名称

下载地址

XP

SP3

KB4012598

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

WIN7

SP1

KB4012212

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212

SP1

KB4012215

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012215

WIN10

LTSB

KB4012606

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012606

1511

KB4013198

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4013198

1607

KB4013429

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4013429

WIN8

及其他

ALL

ALL

https://technet.microsoft.com/EN-US/LIBRARY/SECURITY/MS17-010.ASPX

5、  免疫步骤2:本地策略。在windows防火墙设置中,选择高级设置,加入两条“入站”规则——TCP/UDP针对端口135137139445采取阻断所有连接的方式。

6、   预防:升级单机安全防护软件。每日做好工作记录备份工作,以光盘刻录的方式存储。


3.全网络病毒传播途径阻断

针对全网阻断方案,我们提供两种解决方案:未使用(使用)信联安宝交换机的内容的阻断策略。二者的区别在于,信联安宝交换机不仅仅具备常规防ARPIP攻击的能力,还具备针对蠕虫类病毒传播的阻断能力。且在阻止该类病毒传播的同时不影响正常网络连接持续工作。

采用普通方案的客户,难点在于一般公司内部部署的防火墙设备与路由设备数量远小于交换设备数量。一旦安全配置时间点晚于发病时间点,内网病毒感染面积失控的可能性较大。许多公司通过网络共享方式进行办公设备的使用管理(打印、扫描、传真等),全网禁断445端口会导致所有共享设备无法正常工作。使用信联安宝交换机部署方案,可以在局部开通、阻断445端口。

这次勒索病毒爆发,对于已经启用信联安宝TX6900系列产品的客户,其安全部署就可绕过数量较少的、失控面积大先从交换机层面配置做起。这种做法较于常规做法的优势:可以优先灵活物理阻断,抢先完成区块隔离,为保障全网安全争取出更多的时间。


(一)普通公司内网阻断策略

1、  防火墙设置:在公司防火墙设备上,阻断所有通过135,137,139,445端口的TCP/UDP连接。

2、  路由器设置:在公司可以配置防火墙策略的路由设备上建立规则,阻断所有通过135,137,139,445端口的TCP/UDP连接。

3、  无线AC/AP:在公司可以配置防火墙策略的AC设备上建立规则,阻断所有通过135,137,139,445端口的TCP/UDP连接。

4、  交换机配置:在公司可以配置的具备防ARP攻击、IP攻击的交换机设备上打开FILTER功能,对60秒内某IP发起连接超过60条的进行源IP阻断。


(二)采用信联安宝交换机的内网全阻断策略

1、   交换机配置1:信联安宝交换机ACL功能支持具备防TCP/UDP协议端口攻击的能力,可以直接在网络设备交换机接入层面先于路由、防火墙设备进行病毒隔离。通过IP FILTER配置,阻断所有使用135,137,139,445端口的TCP/UDP连接。

Switch_config#ip access-list extended filter    

Switch_config#deny tcp any 255.255.255.0 eq 135

Switch_config#ip access-group filter

……

Switch_config#ip access-list extended filter    

Switch_config#deny tcp any 255.255.255.0 eq 137

Switch_config#ip access-group filter

……

Switch_config#ip access-list extended filter    

Switch_config#deny tcp any 255.255.255.0 eq 139

Switch_config#ip access-group filter

……

Switch_config#ip access-list extended filter    

Switch_config#deny tcp any 255.255.255.0 eq 445

Switch_config#ip access-group filter

……

2、   交换机配置2:信联安宝交换机ACL功能具备防ARP攻击、IP攻击能力。只需打开FILTER功能,对未知IP发起连接超过指定条数的进行源IP阻断。信联安宝交换机可灵活定义规定时间与连接线数,时间精度可达毫秒级。

3、  防火墙设置:在公司防火墙设备上,阻断所有通过135,137,139,445端口的TCP/UDP连接。

4、  路由器设置:在公司可以配置防火墙策略的路由设备上建立规则,阻断所有通过135,137,139,445端口的TCP/UDP连接。

5、   无线AC/AP:在公司可以配置防火墙策略的AC设备上建立规则,阻断所有通过135,137,139,445端口的TCP/UDP连接。

信联安宝(北京)科技有限公司 版权所有 京ICP备16041526 京公网安备 11010602005623号