刚刚过去的这个周末,朋友圈一定被勒索病毒刷屏了~
看到一堆人告诉别人封锁135-139,445端口,作为一个修过无数AD复制问题,客户端无法登录或者使用域资源问题的老司机,我想问问,您真的知道这些端口是干嘛的么?
端口使用的官方网页请看这里:
Port Assignments for Well-Known Ports
https://technet.microsoft.com/en-us/library/cc959828.aspx
请仔细阅读和确认有关135,136,137,138,139,445端口的作用,如果不确定是否需要这些端口完成正常的域登录、访问域资源、DC间检测复制等等,请谨慎封锁端口!
最大的危害不在于立即出现的故障,而在于90天或者180天之后出现的大量AD复制错误,修复这些问题比你想想的更复杂。
那么,是否就任由勒索病毒肆虐呢?作为一个有责任心,有正义感的IT专业人士(哈哈),必须要发一点光,尽一份力……时间紧迫,咸蛋少扯。我们看看这个勒索病毒是怎么玩的。
勒索病毒早就有了,方式是通过高阶加密用户的重要信息文件,例如Office文档、图片视频等等,然后删除原始文件,要求用户支付金额,然后可能提供解密方式。在我看来很没品~
为啥这一次这么猖獗呢?因为这回的病毒,利用了之前NSA失窃的战略级漏洞工具箱里的一个工具——永恒之蓝。因此病毒可以直接***未受到防护的文件共享协议SMB V1的漏洞,直接进行传播。
这种传播方式,效率要远快于传统的文件复制、移动存储、邮件和网站链接等等,因此才会在周末发生爆发的态势。
传统安全往往着眼于网络边界,关注点在防火墙,网络访问行为管理,IPS啥的,对这种内网SMB漏洞防御不好使~而重要的,大量用户在防火墙之后,不打补丁!
那么怎样尽快不影响正常使用下尽可能的防止和减缓病毒肆虐?
快打补丁!快打补丁!快打补丁!
假如您使用的是虚拟桌面,特别是池化桌面,特别特别是PVS这种串流池化桌面,补丁更新模板,同时对基础架构服务器、文件服务器或NAS进行杀毒之后就可以休息了。
如果是PC或者Dedicated桌面,很不幸,您的工作量多了很多,建议的方法有:
1、不要简单封端口,除非你知道会发生什么;
2、阅读永恒之蓝漏洞的说明,知道是什么地方的漏洞:
MS17-010: Security update for Windows SMB Server: March 14, 2017
https://support.microsoft.com/en-au/help/4013389/title
Microsoft Security Bulletin MS17-010 – Critical
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
很清楚,这个危机漏洞主要发生在SMBv1的早期协议下。
3、在慢慢打补丁的同时该做些什么:
病毒是不会等你打补丁的。为了提高补丁效率,建议使用WSUS来进行批量的补丁更新,同时也降低访问微软补丁服务器的流量。据说现在访问补丁服务器的速度已经很慢了。
与此同时,可以参考微软KB关闭SMBv1的支持。
https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012
可以通过注册表、脚本等任何形式,利用组策略强制用户停用SMBv1,例如:
sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled
Registry subkey: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\ParametersRegistry entry: SMB1
REG_DWORD: 0 = Disabled
4、已经发生勒索的,可以尝试:
从猜测的逻辑看,病毒会执行指令,将现有文件进行加密,生成特定后缀的加密文件,同时删除原有文件。假设磁盘空间没有被复用,可以尝试用数据恢复软件搜索磁盘,发现删除的文件尝试回复,例如使用r-studio。
来不及写ADMX组策略模板了,抓紧防御吧~
仓促成文,如有错漏敬请斧正。感谢Samuel Deng和凯凯还有袁总。