WannaCry勒索蠕蟲大規模爆發，折射出企業內網依然缺乏高效的安全防護、分析與響應能力--如何在第一時間發現企業內部大量的終端、服務器是否面臨安全威脅?本文以真實客戶案例為基礎，還原如何通過瀚思大數據分析平臺迅速發現此次WannaCry勒索蠕蟲異常行為并響應處置。

01.WannaCry勒索蠕蟲攻擊

自5月12日起，全球爆發大規模勒索軟件感染事件，至少100多個國家和地區電腦設備遭受攻擊，尤其是國內多個行業內網環境受到嚴重感染，損失嚴重。

WannaCry勒索蠕蟲是傳統的勒索軟件與蠕蟲病毒的結合體，同時擁有蠕蟲的擴散傳播和勒索軟件的加密文件功能，通過微軟MS17-010漏洞(該漏洞的利用程序由方程式組織于4月泄露)，針對windows系統終端的445端口進行遠程漏洞攻擊，攻擊成功后攜帶勒索軟件功能的蠕蟲病毒會對主機文件進行加密，并掃描網絡內其他主機進行傳播。

由于該蠕蟲利用了近期爆發的Nday遠程溢出漏洞，多數內網機器并未及時更新微軟于3月發布的漏洞補丁，導致一旦一臺主機被感染，會在內網中大規模擴散，傳播速度極快，截止目前已造成多個行業的嚴重損失，其中包括教育、醫療、公安、能源等重要行業機構，不但危害重要文件和數據信息，還可能導致嚴重的公共安全事件，危及醫療設備、能源系統等。

02.爭分奪秒!第一時間定位勒索攻擊

某集團客戶部署了瀚思企業版(HanSight Enterprise 3.0)，從5月13日上午10點開始，HanSight Enterprise ?突然發生大量『 自動告警 』，告警名稱是“外網主機發起特定端口掃描”，告警級別是『 中危 』。

運維人員立刻進行響應，發現來自于外網的約500個IP地址在對客戶網絡的端口445進行掃描。所以運維人員立刻在防火墻上配置規則，禁止外網對內網445端口的訪問。

但是10分鐘后，HanSight Enterprise再次發生『 自動告警 』，告警名稱是“內網主機在遭受端口掃描后發起對相同端口的掃描”，告警級別是『 ?高危 』。

運維人員經過簡單分析后，認為在剛才短短的5分鐘內，內網已經有電腦被成功攻擊并且感染未知病毒，也開始掃描445端口進行傳播，所以迫切需要定位到已經感染病毒的機器并且將其斷網。利用HanSightEnterprise的云圖功能，運維人員快速地定位到5臺已經感染病毒的主機，然后對這5臺主機立刻關機和斷網。

通過設置HanSight ?Enterprise的儀表盤，監測內網主機向445端口發送數據包的統計和趨勢，以驗證處置效果，和確認是否有未知感染病毒的機器。在對這5臺主機斷網后，客戶環境內的445端口訪問回歸正常。

HanSightEnterprise采集日志和流量，實時監控網絡異常，利用規則與算法發現可疑威脅，并且進行自動告警，發起響應措施;利用數據模型幫助客戶迅速定位發生威脅的機器，以及驗證處置效果。在此次針對WannaCry勒索蠕蟲攻擊的處理中發揮了重要的作用。

03.緊急預防和處置方案

由于該病毒對網絡環境的攻擊有其獨特性：

1. 與外網物理隔離的系統并不能免受攻擊，惡意程序進入內網的途徑有很多，一旦某臺內網機器中招將導致整個網絡中的機器遭受嚴重損失!

2. 邊界防火墻阻斷了445端口的流量并不能確保內網安全，只要內部機器未打補丁且未關閉445端口都有可能成為被攻擊對象。

3. ?雖然部分安全廠商已針對該漏洞對安全設備特征庫進行了更新，但鑒于大部分企事業單位所部署的安全設備都處于疏于配置管理和更新的狀態，因此部署了安全設備并無法有效阻止攻擊!

所以建議進行如下預防與處置：

1. 利用HanSight Enterprise查找所有開放445 SMB服務端口的終端和服務器。

2. ? 目前微軟已發布補丁MS17-010修復了“永恒之藍”攻擊的系統漏洞，請盡快為電腦安裝此補丁，網址為https://technet.microsoft.com/zh-cn/library/security/MS17-010;對于微軟已停止維護的Windows ?XP和Windows ? 2003系統已于5月13日更新漏洞補丁，對應版本的下載地址：http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

3. 一旦發現中毒機器，立即斷網。

4. ?啟用并打開“Windows防火墻”，進入“高級設置”，在入站規則里禁用“文件和打印機共享”相關規則。關閉UDP135、445、137、138、139端口，關閉網絡文件共享。

5. 嚴格禁止使用U盤、移動硬盤等可執行擺渡攻擊的設備。

6. 盡快備份自己電腦中的重要文件資料到存儲設備上。

7. 及時更新操作系統和應用程序到最新的版本。

8. 加強電子郵件安全，有效的阻攔掉釣魚郵件，可以消除很多隱患。

9. 安裝正版操作系統、軟件等。