一、永恒之蓝介绍

正值我国一带一路全球化会议召开期间，北京时间 2017 年 5 月 12 日晚 20 时左右，在国内大规模爆发勒索攻击，我国大量金融机构、企业、教育网遭受冲击。

勒索攻击名为wannacry、ONION、Wncry是早前披露 NSA 黑客武器库泄漏的永恒之蓝发起的攻击事件，目前无法解密该勒索软件加密的文件。磁盘感染后，文件会被加密为.onion 后缀，只有支付高额赎金才能解密恢复文件，对重要数据造成严重损失。

攻击行为会扫描开放445文件共享端口的Windows机器，无需用户任何操作，只要开机上网，攻击者就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。

由于以前国内多次爆发利用445端口传播的蠕虫，部分运营商在主干网络上封禁了445端口，但是教育网并没有此限制，仍然存在大量暴露 445 端口且存在漏洞的电脑，导致目前此蠕虫在教育网内大量传播，大概量级是每天 5000 个用户中招。

该勒索攻击迅速感染的原因是利用了基于 445 端口传播扩散的SMB 漏洞 MS17-101，微软在今年 3 月份发布了该漏洞的补丁，补丁链接下：

https://technet.microsoft.com/zh-cn/library/security/MS17-010

防护的有效性最终会体现在与攻击者的对抗过程，尽管这次事件带来的损失可能十分惨痛，但能够警醒所有信息管理者，这种后果严重的大规模灾难本质上是一种浅层次风险造成的后果，相对更为深度、隐蔽风险，这些浅层次风险有效完善纵深防御体系和执行能力更是日常信息安全工作的重中之重。

二. 永恒之蓝防御措施

2.1 影响范围

此次利用的 SMB 漏洞影响以下未自动更新的操作系统：

Windows XP、Windows 2000、Windows 2003

Windows Vista、Windows Server 2008、Windows Server 2008 R2

Windows 7、Windows 8、Windows 10

Windows Server 2012、Windows Server 2012 R2、Windows Server 2016

注：以下设备不受影响

安卓手机，iOS 设备，MacOS 设备，*nix 设备、Win10 用户如果已经开启自动更新不受影响。

2.2 解决办法

2.2.1 网络侧应急解决方案

 在边界出口交换路由设备禁止外网对内网 135/137/139/445 端口的连接。

 在内网核心主干交换路由设备禁止 135/137/139/445 端口的连接。

 如果有部署入侵防御等防护系统则尽快检查漏洞库升级，开启防御策略。

 发布通知重点留意邮件、移动存储介质等传播渠道，做好重点检查防护工作。

2.2.2 终端侧应急解决方案

注：请扫描内网，发现所有开放 445 SMB 服务端口的终端和服务器，对于 Win7 及以上版本

的系统确认是否安装了 MS07-010 补丁，如没有安装则受威胁影响。Win7 以下的 Windows

XP/2003 目前没有补丁，只要开启 SMB 服务就受影响。

1) 利用本地防火墙阻挡防护

 Win7 、Win8 、Win10 的处理流程

1 、打开控制面板- 系统与安全-Windows 防火墙，点击左侧启动或关闭 Windows 防火墙

2 选择启动防火墙，并点击确定。

3、点击高级设置

4、点击入站规则，新建规则

5、选择端口，点击下一步

6、特定本地端口，输出445，点击下一步

7、选择阻止连接，进行下一步

8、配置文件，全选，下一步

9、名称，可以随便输入，完成即可。

XP 系统 的处理流程

1、依次打开控制面板，安全中心，Windows 防火墙，选择启用

2、点击开始，运行，输入 cmd，确定执行下面三条命令

2) 手动下载安装补丁

补丁下载地址

win7 :https://mirror.sdu.edu.cn/ms17-010/win7/

win8 :https://mirror.sdu.edu.cn/ms17-010/win8/

请根据自己电脑的位数下载.

2.2.3 主动扫描发现漏洞的安全建议

永恒之蓝勒索蠕虫的检查，360安全卫士，QQ管家都已全部更新安全漏洞补丁，大家可以自行体检更新补丁。

2.2.4 入侵事件库的更新建议

全面更新 IDS 或 NGIPS 的时间，以便应对永恒之蓝勒索攻击。

TCP_Windows_NSA_Pcdllluancher 工具执行成功

TCP_Windows_SMB 远程代码执行漏洞 NSA 工具_shellcode 植入

TCP_Windows_SMB_NSA_DoublePulsar 植入成功

MSRPC_Windows_SMB 远程代码执行漏洞_Eclipsdwing

MSRPC_Windows_SMB 远程代码执行漏洞_eclipsdwing1

TCP_windows_SMB 远程代码执行漏洞 ERRATICGOPHER

TCP_windows_SMB 远程代码执行漏洞 ERRATICGOPHER2

TCP_Windows_SMB 远程代码执行漏洞 EternalRomance[MS17-010]

TCP_windows_SMB 远程代码执行漏洞 ERRATICGOPHER1

TCP_Windows_SMB 远程代码执行漏洞 EternalBlue[MS17-010]

TCP_Windows_SMB 远程代码执行漏洞 CVE-2017-0144

参考链接：

https://technet.microsoft.com/zh-cn/library/security/MS17-010

https://github.com/x0rz/EQGRP_Lost_in_Translation/

2.2.5 已经感染 设备应急 解决方案

断开网络连接，组织进一步扩散。

优先检查未感染主机的漏洞状况，做好漏洞加固工作后方可恢复网络连接。

已经感染终端，根据终端数据类型决定处置方式，如果重新安装系统则建议完全格式化硬盘、使用新操作系统、完善操作系统补丁、通过检查确认无相关漏洞后再恢复网络连接。