WannaCry來襲 特征碼照妖鏡讓其現(xiàn)真身

五月十二日晚上20:00全球爆發(fā)大規(guī)模勒索軟件感染事件，目前已經(jīng)涉及150個國家20萬個受害者，包括能源、電力、教育、醫(yī)療、交通等重點領域都在快速蔓延，西班牙電力公司Iberdrola、天然氣公司Gas natural以及電信巨頭Telefonica無一幸免；德國德勒斯頓火車站、葡萄牙電信、聯(lián)邦快遞FedEx包括俄羅斯內(nèi)政部和第二大電信巨頭Magefon等都遭到了勒索軟件的攻擊；國內(nèi)中石油北京、上海、四川、重慶等地的加油站全面斷網(wǎng)，幾大高校也遭受了不同程度的攻擊，截止5月14日中國已有29372家機構組織的數(shù)十萬臺機器感染。

今天早上朋友圈各種文章都在討論防病毒方法，各種企業(yè)、政府預防公告，還有各種step by step防御辦法，更甚者聽說某些單位全部斷開外網(wǎng)。今天早上也有很多朋友打電話咨詢?nèi)绾畏婪?，如果中毒如何處理等?nbsp;

今早的一篇來自劍指工控的文章《安全圈的殺人游戲》把本次事件的緣由把它比喻成了當下流行的殺人游戲：

法官：NSA  警察：MicroSoft  殺手：WannaCry

?

法官NSA無意泄露了警察（MicroSoft）的信息（ETERNALBLUE漏洞)，警察（MicroSoft）跳警（2017年3月14日微軟發(fā)布比特病毒的安全補丁后），殺手WannaCry得到信息反應更快，借時間差屠殺平民。公開的補丁就這樣成了屠殺的邀請函。

5月12日國家工業(yè)信息安全研究中心發(fā)布緊急通知要求各地工信主管部門盡快做好組織應對和風險通報。

工業(yè)領域的工控機（工程師站、操作員站、歷史服務器，SCADA服務器）等大量使用Windows系統(tǒng)，而且2008年以前的90%工控系統(tǒng)均采用Windows 2000 SP4和Windows XP，這兩個系統(tǒng)默認開放445端口，極有可能被“WannaCry”利用漏洞進行入侵攻擊，并迅速蔓延到整個工業(yè)控制網(wǎng)絡，嚴重導致組態(tài)軟件加密狗失效，甚至造成工業(yè)企業(yè)內(nèi)網(wǎng)癱瘓。而且一旦中招，工業(yè)企業(yè)相關敏感數(shù)據(jù)存在被鎖定、篡改和銷毀的風險。如果您的配方、數(shù)據(jù)庫、視頻、制圖等關鍵數(shù)據(jù)不被截取，請認證閱讀本文。當然了有的企業(yè)說我們正常辦公必須開放445端口，那怎么辦？本文后續(xù)段落會有不禁用445端口如何防范類似WannaCry的攻擊。

先來看看這個所謂的勒索軟件到底是個什么妖孽？

WannaCry也被稱為WannaCrypt0r 2.0， WannaCry使用了NSA泄露的ETERNALBLUE（永恒之藍）漏洞，ETERNALBLUE利用漏洞MS17-010中的某些版本的SMB服務器協(xié)議進行傳播，該漏洞并不是0Day漏洞， 補丁程序微軟已于2017年3月14日發(fā)布，但未打補丁的用戶有可能遭受此次攻擊。

你是否也已經(jīng)中招了？

感染過程：

第一步：病毒運行后會生成啟動項（注冊表里）：

第二步：遍歷磁盤：

\ProgramData

\Intel

\WINDOWS

\Program Files

\Program Files (x86)

\AppData\Local\Temp

\Local Settings\Temp

第三步：遍歷文件后實施加密：

遍歷磁盤文件，加密以下178種擴展名文件。

感染W(wǎng)annaCry后，用戶的終端與受到大多數(shù)的勒索軟件侵蝕后一樣，會將各類型數(shù)據(jù)、文檔文件加密，被加密的文件后綴名會改成.WNCRY，并索要贖金。

?

工業(yè)控制系統(tǒng)又如何防范WannaCry的感染呢？

首先大家不要恐慌，沒有朋友圈宣傳的這么可怕，類似通過445共享端口進行攻擊的案列很多，因此網(wǎng)絡運營商基本上針對個人和企業(yè)都關閉了445這個端口。

而教育部門（各個大學）以及一些科研院所以及加油站支付系統(tǒng)為了共享方便，都是開放445這個端口，所以這也就是為什么這么多大學和加油站都會中招的原因。

對于工業(yè)用戶最原始的方法就是斷網(wǎng)或者關閉445和139等端口，但是這種方法直接將共享文件的功能全部禁用了，并非最優(yōu)的解決方案。

特征碼——照妖鏡

WitLinc IPS rules：42329-42332、42340、41978

通俗的說就是我們不需要關閉445和139端口，也可以把WannaCry過濾掉。

我們知道傳統(tǒng)的防火墻均采用包過濾的方法，只過濾數(shù)據(jù)流的3，4層信息，也就是五元組：源IP、源端口、協(xié)議、目的IP、目的端口；

但是Witlinc工業(yè)防火墻在傳統(tǒng)防火墻的基礎上內(nèi)嵌IPS，可以在傳統(tǒng)包過濾防火墻的基礎上再進行7層特征碼的過濾，例如防火墻允許外網(wǎng)訪問內(nèi)網(wǎng)Web服務器的80端口，但是Witlinc IPS可以過濾黑客發(fā)起的SQL注入數(shù)據(jù)包。針對本次事件Witlinc防火墻可以允許數(shù)據(jù)通過445端口，但是如果數(shù)據(jù)包中含有WannaCry的特征碼，那么該數(shù)據(jù)包將會被過濾掉。而且可以阻止被阻攔對象的的阻攔時間，從1秒到無限時長，防止特征碼有誤，而防火墻策略一般是無限時長的阻攔。

Witlinc Technology WL-620F工業(yè)防火墻其他主要功能：

●?實時通訊分析和信息包記錄

●?信息包有效載荷檢測

●?協(xié)議分析和內(nèi)容查詢匹配

●?探測緩沖溢出、秘密端口掃描、CGI攻擊、SMB探測、操作系統(tǒng)侵入嘗試

●?對系統(tǒng)日志、指定文件、Unix socket或通過Samba的WinPopus 進行實時警

信息包有效載荷探測是Witlinc Technology工業(yè)防火墻與傳統(tǒng)防火墻最明顯的區(qū)別，這就意味著很多額外種類的敵對行為可以被探測到。

最后特別感謝劍指工控提供的《安全圈的殺人游戲》！