针对“永恒之蓝(WannaCry)”攻击紧急处置手册
首先确认主机是否被感染
被感染的机器屏幕会显示如下的告知付赎金的界面:
如果主机已被感染:
则将该主机隔离或断网(拔网线)。若客户存在该主机备份,则启动备份恢复程序。
如果主机未被感染:
则存在四种方式进行防护,均可以避免主机被感染。针对未感染主机,方式二是属于彻底根除的手段,但耗时较长;其他方式均属于抑制手段,其中方式一效率最高。
从响应效率和质量上,360 建议首先采用方式一进行抑制,再采用方式二进行根除。
方式一:启用蠕虫快速免疫工具
免疫工具的下载地址:http://dl.b.360.cn/tools/OnionWormImmune.exe
请双击运行 OnionWormImmune.exe 工具,并检查任务管理器中的状态。
方式二:针对主机进行补丁升级
请参考紧急处置工具包相关目录并安装 MS17-010 补丁,微软已经发布winxp_sp3 至 win10、win2003 至 win2016 的全系列补丁。
微软官方下载地址:
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
快速下载地址:
https://yunpan.cn/cXLwmvHrMF3WI 访问密码 614d
方式三:关闭 445 端口相关服务
点击开始菜单,运行,cmd,确认。
输入命令 netstat –an 查看端口状态
输入 net stop rdr 回车
net stop srv 回车
net stop netbt 回车
再次输入 netsta –an,成功关闭 445 端口。
方式四:配置主机级 ACL 策略封堵 445 端口
通过组策略 IP 安全策略限制 Windows 网络共享协议相关端口
开始菜单->运行,输入 gpedit.msc 回车。打开组策略编辑器
在组策略编辑器中,计算机配置->windows 设置->安全设置->ip 安全策略 下, 在编辑器右边空白处鼠标右键单击,选择“创建 IP 安全策略”
下一步->名称填写“封端口”,下一步->下一步->勾选编辑属性,并点完成
去掉“使用添加向导”的勾选后,点击“添加”
在新弹出的窗口,选择“IP 筛选列表”选项卡,点击“添加”
在新弹出的窗口中填写名称,去掉“使用添加向导”前面的勾,单击“添加”
在新弹出的窗口中,“协议”选项卡下,选择协议和设置到达端口信息,并点确定。
重复第 7 个步骤,添加 TCP 端口 135、139、445。添加 UDP 端口 137、138。添加全部完成后,确定。
选中刚添加完成的“端口过滤”规则,然后选择“筛选器操作”选项卡。
去掉“使用添加向导”勾选,单击“添加”按钮
1. 选择“阻止”
2. 选择“常规”选项卡,给这个筛选器起名“阻止”,然后“确定”。点击
3. 确认“IP 筛选列表”选项卡下的“端口过滤”被选中。确认“筛选器操作”选项卡下的“阻止”被选中。然后点击“关闭”。
4. 确认安全规则配置正确。点击确定。
5. 在“组策略编辑器”上,右键“分配”,将规则启用。
第2章 核心网络设备应急处置操作指南
大型机构由于设备众多,为了避免感染设备之后的广泛传播,建议利用各网络设备的 ACL 策略配置,以实现临时封堵。
该蠕虫病毒主要利用 TCP 的 445 端口进行传播, 对于各大企事业单位影响很大。为了阻断病毒快速传播, 建议在核心网络设备的三层接口位置, 配置 ACL 规则从网络层面阻断 TCP 445 端口的通讯。
以下内容是基于较为流行的网络设备,举例说明如何配置 ACL 规则,以禁止TCP 445 网络端口传输,仅供大家参考。在实际操作中,请协调网络管理人员或网络设备厂商服务人员,根据实际网络环境在核心网络设备上进行配置。
Juniper 设备的建议配置(示例):
set firewall family inet filter deny-wannacry term deny445 from protocol tcp
set firewall family inet filter deny-wannacry term deny445 from destination-port 445 set firewall family inet filter deny-wannacry term deny445 then discard
set firewall family inet filter deny-wannacry term default then accept
#在全局应用规则
set forwarding-options family inet filter output deny-wannacry set forwarding-options family inet filter input deny-wannacry
#在三层接口应用规则
set interfaces [ 需要挂载的三层端口名称 ] unit 0 family inet filter output deny-wannacry
set interfaces [ 需要挂载的三层端口名称 ] unit 0 family inet filter input deny-wannacry
华三(H3C)设备的建议配置(示例):
新版本: acl number 3050
rule deny tcp destination-port 445 rule permit ip
interface [需要挂载的三层端口名称] packet-filter 3050 inbound packet-filter 3050 outbound
旧版本: acl number 3050
rule permit tcp destination-port 445
traffic classifier deny-wannacry if-match acl 3050
traffic behavior deny-wannacry filter deny
qos policy deny-wannacry
classifier deny-wannacry behavior deny-wannacry
#在全局应用
qos apply policy deny-wannacry global inbound qos apply policy deny-wannacry global outbound
#在三层接口应用规则
interface [需要挂载的三层端口名称]
qos apply policy deny-wannacry inbound
qos apply policy deny-wannacry outbound
华为设备的建议配置(示例):
acl number 3050
rule deny tcp destination-port eq 445 rule permit ip
traffic classifier deny-wannacry type and if-match acl 3050
traffic behavior deny-wannacry
traffic policy deny-wannacry
classifier deny-wannacry behavior deny-wannacry precedence 5
interface [需要挂载的三层端口名称] traffic-policy deny-wannacry inbound traffic-policy deny-wannacry outbound
Cisco 设备的建议配置(示例):
旧版本:
ip access-list extended deny-wannacry
deny tcp any any eq 445
permit ip any any
interface [需要挂载的三层端口名称] ip access-group deny-wannacry in
ip access-group deny-wannacry out
新版本:
ip access-list deny-wannacry deny tcp any any eq 445 permit ip any any
interface [需要挂载的三层端口名称] ip access-group deny-wannacry in
ip access-group deny-wannacry out
锐捷设备的建议配置(示例):
ip access-list extended deny-wannacry deny tcp any any eq 445
permit ip any any
interface [需要挂载的三层端口名称] ip access-group deny-wannacry in
ip access-group deny-wannacry out
第3章 互联网主机应急处置操作指南
采用快速处置方式,建议使用 360 安全卫士的“NSA 武器库免疫工具 ”,可一键检测修复漏洞、关闭高风险服务,包括精准检测出 NSA 武器库使用的漏洞
是否已经修复,并提示用户安装相应的补丁。针对 XP、2003 等无补丁的系统版本用户,防御工具能够帮助用户关闭存在高危风险的服务,从而对 NSA 黑客武器攻击的系统漏洞彻底“免疫”。
NSA 武器库免疫工具下载地址:http://dl.360safe.com/nsa/nsatool.exe
针对“永恒之蓝(WannaCry)”攻击紧急处置手册相关推荐
- kali使用msf 通过ms17_010_eternalblue(永恒之蓝)漏洞攻击win7测试 及乱码问题解决
两台Vmware虚拟机: Kali Win7 64位: (主机)kali的ip是 192.168.0.119 (靶机)win7的ip是192.168.0.109 使用nmap端口扫描工具,扫描一下目标 ...
- 反黑风暴·记一次遭遇 SSDP DDoS 和 EternalBlue(永恒之蓝)攻击经历
反黑风暴·记一次遭遇 SSDP DDoS 和 EternalBlue(永恒之蓝)攻击经历 前言 故事一:SSDP DDoS 故事二:EternalBlue(永恒之蓝) 总结 参考 作者:高玉涵 时间: ...
- Metasploit 渗透测试框架的基本使用(扩展:利用永恒之蓝漏洞攻击WIN7靶机)
1.Metasploit 渗透测试框架介绍 1.基础库:metasploit 基础库文件位于源码根目录路径下的 libraries 目录中,包括Rex,framework-core 和 framewo ...
- “永恒之蓝”(Wannacry)蠕虫全球肆虐 安装补丁的方法
"永恒之蓝"利用0day漏洞 ,通过445端口(文件共享)在内网进行蠕虫式感染传播,没有安装安全软件或及时更新系统补丁的其他内网用户就极有可能被动感染,所以目前感染用户主要集中在企 ...
- 学习日记1:用msf工具利用永恒之蓝漏洞攻击靶机
一.vm虚拟机构建靶机实现互通 两个虚拟机都用NAT转换地址,设置DHCP分配IP,保证两台虚拟机和物理机在一个网段 二.kali上安装msf工具 apt-get install msf 三.msf工 ...
- 永恒之蓝漏洞攻击完整步骤
本文仅做漏洞复现记录与实现,请勿用于非法用途 需要设备: kali攻击机 windows2003/windows2008被攻击机 ip:192.168.15.129 1.进行端口扫描 nmap -Pn ...
- 微软EternalBlue永恒之蓝漏洞攻击测试
版权声明:转载请注明出处:http://blog.csdn.net/dajitui2024 https://blog.csdn.net/dajitui2024/article/details/7939 ...
- python调用msfconsole全自动永恒之蓝攻击_永恒之蓝漏洞攻击完整步骤
需要设备: kali攻击机 windows2003/windows2008被攻击机 ip:192.168.15.129 1.进行端口扫描 nmap -Pn -sV -T4 ip地址 明白445端口和3 ...
- Kali 使用永恒之蓝Eternalblue攻击win7
kali Eternalblue to win7 实验准备 攻击机: kali , IP: 192.168.226.130 靶机:win7 , IP: 192.168.226.128 实验过程 ...
最新文章
- 性能测试,负载测试,压力测试以及容量测试的联系与区别--网搜及总结
- 西湖大学新冠研究登上Science封面,解析ACE2全长结构,是他们看清了新冠病毒如何入侵人体...
- vue中地图怎么标记数据库传过来的点_【Point小数点 图表挑战总结03】如何使用六边形网格地图(下)...
- Java虚拟机和Dalvik(android)虚拟机的区别
- java中四种默认的权限修饰符,Java中四种访问权限资料整理
- 起点海外版 Hybrid App-内嵌页优化实践
- (35)SystemVerilog语言编写呼吸灯
- 计算机相关专业“Python程序设计”教学大纲(参考)
- Spring配置跨域请求
- 工程制图与计算机绘图实训任务书及参考资料,水利工程制图与计算机绘图实训探讨...
- 墨者学院—网络安全篇3
- 《测绘管理与法律法规》真题易错本
- ZCloud-搭建开发环境
- How to Write a Spelling Corrector
- 使用ES文件浏览器通过Android设备访问Win7电脑上的共享文件
- 小周的考研计划(一定要上岸呀)
- BSV 智能合约 2.0 (2)
- 刚找到的OFFICESUITE V3.00注册码
- 跨境平台到底好不好?跨境电商分析
- 高频滤波电容的容量选择?