应急响应之WannaCry病毒、Morto蠕虫

一、   病毒的特征及传播途径

(1)WannaCry病毒

WannaCry利用Windows操作系统445端口存在的漏洞进行传播,并具有自我复制、主动传播的特性。目标机器被成功攻陷后会从攻击机下载WannaCry病毒进行感染,并作为攻击机再次扫描互联网和局域网其他机器,形成蠕虫感染,大范围超快速扩散。病毒母体为mssecsvc.exe,运行后会扫描随机ip的互联网机器,尝试感染,也会扫描局域网相同网段的机器进行感染传播。此外,会释放敲诈者程序tasksche.exe,对磁盘文件进行加密勒索。病毒加密使用AES加密文件,并使用非对称加密算法RSA 2048加密随机密钥,每个文件使用一个随机密钥,理论上不可破解。

(2)Morto蠕虫病毒

Morto蠕虫病毒主要利用Windows的远程桌面协议(Remote Desktop Protocol)进行传播,被感染的电脑将会进行拒绝服务攻击(DoS),同时扫描本地网络中允许远程桌面连接的电脑,再尝试以暴力破解的方式获取系统管理员账号,从而对受害电脑进行远程控制,具备较强的攻击力和破坏力。其最特别之处是他的恶意代码会加密藏在注册表HKEY_LOCAL_MACHINE\SYSTEM\WPA键值中,随后自动删除母体文件,传统防病毒软件基本无法察觉。

经排查,病毒感染途径至少包含三种,分别是以U盘为载体感染,四楼已全部感染wannacry;因某服务器存在弱口令导致morto蠕虫感染成功;项目外包厂商直接将笔记本接入测试网,造成wannacry感染传播。

二、   病毒影响范围

WannaCry病毒与Morto蠕虫病毒多爆发于各类WINDOWS系统主机。

目前测试网络中大肆传播WannaCry勒索病毒,已确认感染类型包括服务器、虚拟桌面测试终端、接入测试网的个人终端。

三、   病毒排查方法及加固方法

(1)排查方法

WannaCry病毒排查方法:Ctr+alt+delete快捷键调出任务管理器,打开任务管理查看是否存在mssecsvc.exe进程或者在服务项中存在mssecsvc2.0服务。

Ctr+alt+delete-任务管理器-进程(显示所有用户进程),如下图所示:

Morto蠕虫排查方法:运行regedit.exe, 查看键值HKEY_LOCAL_MACHINE\System\WPA 是否如下图所示,若存在则说明已感染。

若有请立即断网并于安全组相关责任人联系。

(2)加固方法

WannaCry病毒加固方法:开启主机防火墙,同时分别建立入站规则、出站规则阻断135,139,445端口通信。

控制面板-windows防火墙-打开或关闭windows防火墙,开启防火墙,如下图所示:

控制面板-windows防火墙-高级设置,入站规则和出站规则添加135,139,445阻止策略,如下图所示:

Morto蠕虫加固方法:建议系统管理员修改windows服务器账户弱口令至少包含字母、数字、特殊字符。

控制面板-用户账户-更改密码,如下图所示:

测试网病毒清除方法:浏览器打开http://x.x.x.x/rav,下载瑞星企业版杀毒软件进行全盘查杀病毒,查完毒后重启服务器。同时桌面虚拟化服务器进行统一杀毒策略下发。

四、   相关安全要求及应急措施

通过系统、应用、网络、安全组的统力合作,目前可以保证接入测试网的28台主机及终端均未感染WannaCry病毒或Mortor蠕虫。同时,测试网防墙已接入威胁管理和预警平台,若再次出现感染此类病毒的告警,安全组将可准确定位病毒的感染源。

所有接入测试网人员需要进行如下操作才允许入网:

A)系统建设相关人员负责通知所有项目外包人员终端或者传播介质在接入测试网前必须经过杀毒、安全加固、修改WINDOWS主机的系统口令。

B)测试环境部署有WINODWS服务器的管理员负责向系统组申请开启虚拟化服务器和修改服务器系统口令。系统组和安全组负责进行补丁升级、安全加固及杀毒。

C)桌面虚拟化服务器负责人需要进行升级防病毒服务器器,进行统一病毒查杀。

若威胁管理与预警平台发现感染后,病毒处理应急措施。

A)关闭切断主机的网络连接;

B)开启主机防火墙策略,建立出入站禁止策略,阻断135,139,445端口的出入站。

C)任务管理查找并杀掉mssecsvc.exe进程,sever服务中停止并设置其属性为禁用。

D)打开注册表,查找并删除HKEY_LOCAL_MACHINE\System\WPA下的键值;

E)浏览器打开http://x.x.x.x/rav,下载瑞星杀毒软件进行全盘查杀病毒;

F)杀毒完成后重启,再进行第二次全盘查杀病毒。

五、   长效处理建议

鉴于存在准生产服务器直接镜像到生产环境的情况,测试环境的安全性直接影响生产环境的安全性,建议测试网络应建立终端计算机合规准入的终端安全解决方案,同时加强测试网络的安全管理。

为您推荐

发表评论

电子邮件地址不会被公开。 必填项已用*标注

1 + 4 =