由永恒之蓝谈网络安全

2017-11-20 19:36苗松娟杨丽君姚文鹏李宁况伟
电脑知识与技术 2017年25期
关键词:防火墙

苗松娟+杨丽君+姚文鹏+李宁+况伟

摘要:病毒和电脑网络相伴而生,前不久“永恒之蓝”病毒的爆发,给广大网络用户敲响了警钟,尤其是美国国安全局和方程式组织的介入,使得这次病毒的破坏性更强。该文介绍了永恒之蓝的特点、影响及防范措施,以及在这次病毒处理过程中暴露出的问题。最后介绍了方程式组织及影子经济人,及如何有效防范网络病毒。

关键词:永恒之蓝;漏洞补丁;防火墙

中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2017)25-0052-03

1 概述

互联网在我国从无到有、从小到大,仅仅几十年的迅速发展,日益渗透到社会发展的方方面面,我国已成为名副其实的网络大国,但是繁荣的同时,我国也将成为面临网络安全威胁最严重的国家之一。前不久,“WannaCry”病毒席卷全球150多个国家,导致20多万家机构的电脑中毒,我国部分高校、地方出入境、加油站、医院等公共服务网络受到袭击,也为大家敲响了警钟。

2 永恒之蓝

2.1 什么是 WannaCry “永恒之蓝”病毒

5 月12日,新型蠕虫勒索病毒WannaCry在全球大规模爆发,此次勒索病毒正是利用披露的军火库中的多种漏洞工具之一。该病毒与其他同类勒索病毒不同,它是一种可自动感染其他电脑进行传播的蠕虫病毒,因链式反应而迅猛爆发。主要感染Windows系统,它会利用加密技术锁死文件,禁止用户访问,并以此勒索用户。凡局域网电脑染上病毒,几乎无法恢复,只能按黑客提供的账户,给其提供比特币,否则电脑文件尽毁,所以它被称之为勒索病毒。

2.2 Wannacry的主要特点

主要針对内部网络环境,传染性强,爆发速度快,利用445端口传播。当某台电脑被感染后,其同网络中的其他电脑也被感染,这种超强的自主传播能力,能够在数小时内感染一个系统内的全部电脑。并且无需用户任何操作,就可以将所有磁盘文件加密、锁死,后缀变为.onion,随后,黑客可以远程控制木马,向用户勒索“赎金”。

2.3Wannacry主要影响

这次病毒爆发速度之快,影响范围之广,前所未有。病毒席卷全球150多个国家,导致20多万家机构的电脑中毒。病毒最初在一高校学生的电脑中出现,中毒者以为内容特别搞笑,要求尽快支付勒索赎金,否则将删除文件,原以为这只是一个小范围的恶剧。没想到五个小时内,该勒索病毒大面积爆发,许多高校中招,愈演愈烈。包括英国、俄罗斯、整个欧洲以及我国部分高校、地方出入境、加油站、医院等公共服务网络受到袭击,大型企业内网和政府机关专网悉数中招,对重要数据造成严重威胁。

现实的影响是一方面的,心理影响就更可怕。多少人不敢轻易开电脑,特别是平时只管使用,根本不懂电脑的用户。多少用户已经关闭了445端口,还不放心,又用永恒之蓝免疫工具再开一遍。有的人甚至用永恒之蓝专杀、关闭端口、系统打补丁、免疫工具全用上了。最后把机器搞蓝屏,弄崩溃了,这种情况还为数不少。

3 变种勒索病毒(petya)

2017年6月27日晚,欧洲又遭到新一轮勒索病毒的冲击,该病毒变种名为Petya,英国、乌克兰、俄罗斯等都受到了不同程度的影响,该病毒和永恒之蓝勒索软件很类似,都是远程锁定设备,然后索要赎金。

3.1 petya 病毒和WannaCry 病毒不同之处

该病毒不再单独加密的单个文件,而是加密NTFS分区,覆盖MBR、阻止机器正常启动进入系统。通过攻击底层磁盘架构,达到无法访问整个系统的目的。不仅创建了自身的引导程序,而且还创建了一个微型的内核。Petya释放文件向磁盘头部写入恶意代码,被感染系统的主引导记录被引导加载程序重写,并且加载一个微型恶意内核。接着,这个内核开始进行加密。它只加密了主文件表,因此文件系统不可读。

3.2 Petya 的主要特点

传染性强,爆发速度快,利用多种漏洞 。该变种采用了邮件、下载器和蠕虫的组合传播方式。病毒采用CVE-2017-0199漏洞的RTF格式附件进行邮件投放,之后释放Downloader来获取病毒母体,形成初始扩散节点,之后通过MS17-010(永恒之蓝)漏洞和系统弱口令进行传播。同时初步分析其可能具有感染域控制器后提取域内机器口令的能力。因此其对内网具有一定的穿透能力,对内网安全总体上比此前受到广泛关注的WannaCry有更大的威胁。

4 病毒发作后局域网的应对措施

4.1 封锁网络边界

首先,作为网络管理员,在局域网各终端都还没来得及进行补丁更新时,要把好网络防火墙的入口关,禁止漏洞端口的访问,先从网络边界封堵漏洞。

4.2 关闭终端相关端口

其次,用户在没有漏洞补丁的情况下,根据各自操作系统类型不同,通过DOS命令窗口或加设出入站规则禁止漏洞端口使用。如图1所示。

上图为开放了445端口的终端,从图中可以看出445端口处于监听状态。

关闭TCP和UDP相关的135和445端口如下图。

4.2.1 win7/win8/win10用户可以进入如下操作

“控制面板”→“系统和安全”→“Windows防火墙”→“打开或关闭Windows防火墙”→勾选“启用Windows防火墙”。返回到“Windows防火墙”→“高级设置”→点击“入站规则”→“新建规则”→要创建的规则类型选择“端口”→“下一步”→ 选择“TCP”协议→特定本地端口填入“445”→下一步→选择“阻止连接”→直接下一步→名称和描述可以任意输入完成退出即可。

4.2.2 winxp、windows server用户临时解决方案

“控制面板”→“Windows防火墙”→点击:“启动”endprint

另外可通过 “cmd”→“net stop srv”、“net stop rdr”、“net stop netbt”三条来关闭相关的网络服务。

4.3 更新系统漏洞补丁

接着,也是最根本的就是要更新漏洞补丁,只有把漏洞补丁打上了,才能从根本上阻止漏洞的攻击,还不影响用户用网。众所周知,通过端口,我们可以轻松访问各种共享文件或共享打印。因为前面所作的封堵端口的同时,也限制了终端的使用。例如caj浏览器在关闭了server服务之后,无法使用,安装、卸载均不可进行。

5 这次病毒处理暴露出的问题

5.1 不安装安全软件

这是很多用户的通病,认为安装杀毒软件会拖慢计算机速度,有的安装了杀毒软件,也不及时更新,特别是内网用户,互联网用户还好些,一般都是自动更新病毒库,内网用户杀毒软件病毒库老旧,针对新型病毒也无能为力。

5.2 不及时打补丁

系统漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,是不可避免的,既然不可避免,就有可能被黑客或病毒利用,而补丁是用来修正操作系统漏洞的,一般在发现操作系统有安全隐患的时候,开发系统的公司会及时发布补丁(也就是修正了漏洞的)文件,安装后一般会替换掉现有的有漏洞的文件,以修正 系统的运行问题,或避免某些人借漏洞制造病毒或黑客软件、传播、损害电脑系统,或窃取资料等。除了非专业人员外,相当一部分用户的电脑系统更新都是选择从不,这就意味着从不给系统打补丁,在这次应对永恒之蓝病毒过程中,就发现这种情况,结果一点系统更新,一百多个更新,有的甚至还有12、13年的补丁需要打。为什么会出现这种情况?因为系统更新一般都是在开关机时进行,用户觉得耽搁时间,所以就停止更新。有的索性设置从不更新,一了百了。这样总有一天,你的电脑也会因为你的“一了百了”而“一无所有”。

5.3 不开启防火墙

相当一部分用户自认为系统自带防火墙没用,就是个鸡肋,有时还会影响计算机某些功能的使用,直接关闭系统孩火墙。又重新安装安全软件所带的防火墙。这种认识是舍近求远,甚至是错误的。系统在开发时自带的防火墙,肯定是用来保护操作系统不受侵害,所以每当你安装一款新的软件,它都会提示你存在风险,有的人就嫌这个功能太繁琐,所以就直接关闭防火墙。其实不然,系统防火墙是能阻止计算机病毒进入你的计算机,在你进行某些连接时进行询问,对于不必要或认为是危险的链接,就会阻止。还可以创建安全日志,用于记录成功的连接和不成功的连接,此日志可以作为排队故障的工具。可是现在有相当一部分人,不用WINDOWS自带防火墙,甚至你上百度搜索,系统防火墙,搜到的全是如何关闭系统自带防火墙。也无外乎这么多人都不开启系统防火墙了。

5.4 设备老旧

许多单位现在还用的XP系统,xp系统从2001年到2014年已经使用相当长一段时间,2014年微软就已经发表声明,不会再对XP系统进行系统更新,可是相当多的用户仍抱着XP系统不放,觉得用惯了,好用,加之许多应用系统也是基于XP系统开发的,就更不愿意更换高版本的操作系统了。这样系统根本无法得到更新,怎能不给病毒以可乘之机。

5.5 打补丁时间设置不合理

不可否认打开系统自动更新后,每次总是在系统开机或关机时进行补丁更新,这样很麻烦,影响用户使用。所以用户就关闭系统更新。其实你可以不关闭更新,根据自己时间空闲与否,选择是否下载或安装更新。如图3所示。

6 关于方程式组织及影子经纪人

这次病毒爆发,不得不提到美国国家安全局(NSA)与方程式组织(Equation Group)。方程式组织与美国国家安全局关系暧昧,是一个美国国家安全局(NSA) “不愿承认的”部门,这在黑客圈基本不是什么秘密。据说,方程式组织是美国国家安全局下面专门负责网络攻击的机构,属于美国国家安全局的一个分支。方程式组织的技术、手段,比其他黑客组织知的技术更复杂、更成熟。因为有国家背景,该组织非常庞大,攻击水平极其高明。近些年来,他们向全世界释放了多种破坏性很强的病毒,例如震网、火焰病毒等。作为史上最强的网络攻击组织,拥有一个庞大而强悍的攻击武器库是方程式组织必不可少的。永恒之蓝和永恒之石都是一个叫影子经济人的黑客组织,攻击了方程式组织,窃取了美国国家安全局平时使用的网络武器、源代码等资料,永恒之蓝 (Wanna Crypt)就是一个勒索蠕虫病毒,利用Windows SMB漏洞攻击网络计算机,植入病毒,运行并加密用户文件,从而勒索赎金。

7 结束语

美国国家安全局专门成立方程式组织,旨在时刻准备着搞网络病毒攻击,我们目前使用的操作系统又大都是wondows系统,由微软公司研发,为了国家安全利益,微软留后门是可想而知的。如果真正的网络信息战打响,方程式组织对我军是一个致命的威胁。所以,一方面我们的网络部队要想好相关應对之策,另一方面,广大局域网用户一定要养成良好的上网习惯,安装杀毒软件并及时更新病毒库,定期查杀病毒;开启系统防火墙,即使不开启系统自带的防火墙及系统更新,也要自己安装第三方软件进行漏洞修补,这样,类似永恒之蓝的病毒才不会有可乘之机,我们才能真正享受网络带来地便捷而不是整天提心吊胆的使用网络。endprint

猜你喜欢
防火墙
筑牢防火墙 系紧安全带
“一封家书”寄深情 筑牢疫情“防火墙”
全民总动员,筑牢防火墙
构建防控金融风险“防火墙”
防火墙技术在网络安全应用中的现状
计算机网络安全中防火墙技术的应用思考
智慧防火墙
海南新农合有了“防火墙”
在舌尖上筑牢抵御“僵尸肉”的防火墙
下一代防火墙要做的十件事