剛剛過去的這個週末,朋友圈一定被勒索病毒刷屏了~
看到一堆人告訴別人封鎖135-139,445埠,作為一個修過無數AD複製問題,客戶端無法登入或者使用域資源問題的老司機,我想問問,您真的知道這些埠是幹嘛的麼?
埠使用的官方網頁請看這裡:
Port Assignments for Well-Known Ports
https://technet.microsoft.com/en-us/library/cc959828.aspx
請仔細閱讀和確認有關135,136,137,138,139,445埠的作用,如果不確定是否需要這些埠完成正常的域登入、訪問域資源、DC間檢測複製等等,請謹慎封鎖埠!
最大的危害不在於立即出現的故障,而在於90天或者180天之後出現的大量AD複製錯誤,修復這些問題比你想想的更復雜。
那麼,是否就任由勒索病毒肆虐呢?作為一個有責任心,有正義感的IT專業人士(哈哈),必須要發一點光,盡一份力……時間緊迫,鹹蛋少扯。我們看看這個勒索病毒是怎麼玩的。
勒索病毒早就有了,方式是通過高階加密使用者的重要資訊檔案,例如Office文件、圖片視訊等等,然後刪除原始檔案,要求使用者支付金額,然後可能提供解密方式。在我看來很沒品~
為啥這一次這麼猖獗呢?因為這回的病毒,利用了之前NSA失竊的戰略級漏洞工具箱裡的一個工具——永恆之藍。因此病毒可以直接***未受到防護的檔案共享協議SMB V1的漏洞,直接進行傳播。
這種傳播方式,效率要遠快於傳統的檔案複製、移動儲存、郵件和網站連結等等,因此才會在週末發生爆發的態勢。
傳統安全往往著眼於網路邊界,關注點在防火牆,網路訪問行為管理,IPS啥的,對這種內網SMB漏洞防禦不好使~而重要的,大量使用者在防火牆之後,不打補丁!
那麼怎樣儘快不影響正常使用下儘可能的防止和減緩病毒肆虐?
快打補丁!快打補丁!快打補丁!
假如您使用的是虛擬桌面,特別是池化桌面,特別特別是PVS這種串流池化桌面,補丁更新模板,同時對基礎架構伺服器、檔案伺服器或NAS進行防毒之後就可以休息了。
如果是PC或者Dedicated桌面,很不幸,您的工作量多了很多,建議的方法有:
1、不要簡單封埠,除非你知道會發生什麼;
2、閱讀永恆之藍漏洞的說明,知道是什麼地方的漏洞:
MS17-010: Security update for Windows SMB Server: March 14, 2017
https://support.microsoft.com/en-au/help/4013389/title
Microsoft Security Bulletin MS17-010 – Critical
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
很清楚,這個危機漏洞主要發生在SMBv1的早期協議下。
3、在慢慢打補丁的同時該做些什麼:
病毒是不會等你打補丁的。為了提高補丁效率,建議使用WSUS來進行批量的補丁更新,同時也降低訪問微軟補丁伺服器的流量。據說現在訪問補丁伺服器的速度已經很慢了。
與此同時,可以參考微軟KB關閉SMBv1的支援。
可以通過登錄檔、指令碼等任何形式,利用組策略強制使用者停用SMBv1,例如:
sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled
Registry subkey: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParametersRegistry entry: SMB1
REG_DWORD: 0 = Disabled
4、已經發生勒索的,可以嘗試:
從猜測的邏輯看,病毒會執行指令,將現有檔案進行加密,生成特定字尾的加密檔案,同時刪除原有檔案。假設磁碟空間沒有被複用,可以嘗試用資料恢復軟體搜尋磁碟,發現刪除的檔案嘗試回覆,例如使用r-studio。
來不及寫ADMX組策略模板了,抓緊防禦吧~
倉促成文,如有錯漏敬請斧正。感謝Samuel Deng和凱凱還有袁總。