redhat9i是个80后网络工程师,跟大多数IT男一样,喜欢倒腾,他的兴趣爱好非常广泛,无线电通信、应急救援、吹笛子、中医理疗、摄影等等。
redhat9i·网络工程师
相识51CTO
redhat9i主要活跃在51CTO论坛上,喜欢在论坛上和大家探讨问题、交流经验,认识了不少同行,帮他解决了很多问题,使得redhat9i技术能力得到很大进步,在当时的大区他也算能指导其他代理商工作的人了。自此就扎根在51CTO论坛上了,从版块版主做到现在的超级版主,每天登录论坛已经成为redhat9i的一种习惯。
WannaCry病毒解析
redhat9i就职的公司是某防病毒软件的区域代理,除了产品销售,还提供专业的售后服务。5月注定又是一个不平静的月份,5月13日,永恒之蓝病毒爆发了。故事就在redhat9i手里的一个行业客户里边发生了。从发现这个病毒redhat9i就开始通知客户进行加固。根据厂商病毒实验室那边发过来的病毒详细信息得知,病毒激活后会释放出mssecsvc.exe、tasksche.exe、b.wnry、c.wnry、r.wnry、s.wnry、t.wnry、u.wnry、Taskdl.exe、Taskse.exe十个文件,然后访问一个看似手滚键盘打出来的,死长死长基本没啥意义的域名地址www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com(以下简称病毒网站),若此域名可用则停止对主机加密,反之则对主机文件进行加密,这一行为被称为Kill Switch。Kill Switch是永恒之蓝病毒是否加密系统的一个决定性开关,这是由英国一个网络安全工程师发现的病毒漏洞,一旦永恒之蓝病毒成功访问这个地址www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com,病毒就会停止对系统进行加密及感染其它机器,同时他在第一时间内注册了这个原本不存在的域名,最大程度阻止了病毒继续肆虐。这个域名,看起来像是病毒作者给自己留的一个紧急停止开关,防止事情失去他自己的控制。
病毒激活后在局域网内通过135、137、13、445端口及MS17-010漏洞进行传播。客户自己在省公司内网(无法连接互联网)搭建了一个病毒网站,防止病毒在内网进行激活加密。同时通知各单位打补丁、关闭135、137、139及445端口。redhat9i也派人给客户开启相关的预防策略,通过防毒软件限制在主机系统中释放已知的十个病毒文件。但糟糕的是他们的加固速度还是没能赶上病毒的传播速度,5月19日,redhat9i从客户网络里边检测到mssecsvc.exe、tasksche.exe两个文件,被确诊为永恒之蓝,好在被杀毒软件查杀了。正当他松口气的时候,省公司那边通过对病毒网站的访问监测发现有至少5家分公司大量内网主机正在访问这个站点,这说明啥?说明内网有大量主机感染了这个病毒。把redhat9i团队惊出了一身冷汗,这个局域网内有好几万台电脑,要真传播开了那可就整大发了。经他再三仔细排查,好在没有主机被加密,这也是不幸中的万幸了。
没反应的防毒软件
5月20日,redhat9i逐一排查那些在后台访问永恒之蓝站点的PC,发现这些PC都装了防毒软件、防毒组件也是最新的,使用EICAR标准反病毒测试文件,官方下载地址(http://www.eicar.org/85-0-Download.html)检测,防毒软件均作出了查杀检测,由此确认了防毒软件工作正常。这又让他疑惑了,主机有访问局域网自己搭建的虚假病毒网站行为,然后没有被加密,那就说明这还是早期出现的那个病毒,并不是2.0的变种,后经证实2.0变种是某防病毒厂商技术人员闹的一个乌龙,被各大媒体转发报道,后来当事技术人员也公开进行了道歉。截止目前暂未接到不带Kill Switch永恒之蓝病毒样本的通知。根据当时的资料来看防毒软件是可以处理这些病毒的,为何防毒软件都没检查出来呢?由于城区人手充足,所以城区的PC几乎都被重装系统了,为了查明为何防病毒软件对此次的病毒样本没有做出应有的反应问题就必须拿到这次的病毒样本。5月20日中午,redhat9i安排同事到偏远地区只进行了断网还没来得及重装的中毒主机现场,对系统运行情况进行分析,采集可疑样本给防病毒厂商病毒实验室进行分析。经过厂商病毒实验室确认,这次采集的样本发生了变种,与之前检测到的病毒代码有所不同”。5月20日下午redhat9i紧急制作清除组件,晚上找了一个分公司进行试点,先更新服务器,然后对这些组件进行下发,确保这些组件更新后不会导致系统蓝屏、影响客户应用并且能清除病毒。然后大家挨个到能找到的主机那儿确保组件已更新、守着主机进行全盘扫描,确定此次病毒文件可以被成功清除。5月21日凌晨1点,redhat9i团队正式通知还在公司本部指挥的客户技术负责人,这次的病毒样本已经可以清除并且不存在兼容性方面的问题。
奇怪的行为
这些病毒文件清理了之后是否还有访问病毒网站的行为客户需要进行现场核实。5月21日早上7点,redhat9i找到一些之前中毒被断网处理的PC,确认系统中存在病毒样本。重新接上网线,对这些中毒电脑的网络通信进行抓包,居然没看到他们去访问病毒网站,经过对大量不同电脑的多次尝试都没重现之前访问网站的行为,难道是redhat9i抓包有问题?他联系省公司那边检查病毒网站访问记录也没发现手里这些带毒PC有异常行为。这就怪了,似乎所有中毒的和没中毒的PC一夜之间都不再访问之前的那个域名了。经过redhat9i和现场几个同事的探讨,大家猜测病毒的探测行为可能不是时时刻刻都在进行的,应该是需要一定条件,比如特定时间,这个最终原因则有待病毒实验室去研究了。
从5月20日到5月21日,白天和夜晚,经过两天两夜的处理,这场没有硝烟的战争基本结束了。
加强安全意识防火防盗防病毒
事情处理完了,回过头来看觉得这次事件中还是存在不少问题。
1、补丁一定要引起重视。微软发布系统补丁这事似乎从Windows系统诞生之日起就有,但似乎管理员都没引起重视,绝大多数人都认为漏洞理论上确实可以被利用然后进行一些破坏,但这不是还没有出事么。redhat9i印象中最近一次利用漏洞进行大规模病毒感染的应该是微软的MS08-067漏洞,病毒名字叫worm_downad.ad,这病毒可算是让大家开眼了,不仅利用自身携带的诸如admin、boss123、ihavenopass、qwe123等上百个中国人使用习惯的密码字典去进行传播感染,还利用微软MS08-067漏洞进行大规模传播。这个漏洞从发现至今已经9年了,但我在工作中还是发现有不少客户被这个病毒所困扰。所以,补丁请一定重视起来,不要指望安装在一个漏洞百出系统中的安全软件能给你搞定一切,房子地基都不稳了,你还能指望房子给你遮风挡雨么?给大家附上永恒之蓝利用的MS17-010漏洞补丁下载地址>>
2、搭建一个病毒访问域名站点。截止目前永恒之蓝激活后都会去访问www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com,若发现域名可用则停止加密,为了让此域名能及时被解析到,尤其是无法连接互联网的局域网,建议自己在公司内部搭建一个站点的解析记录。
3、若不幸感染此病毒,可以使用各大安全厂商提供的专杀工具进行查杀,也可以联系你使用的防病毒软件厂商协助你进行处理。
目前亚信、安天、360、北信源、瑞星、金山、腾讯7家公司已经研发出针对该病毒的最新专杀工具。大家可以自行选择使用
亚信专杀下载地址(32位):http://support.asiainfo-sec.com/Anti-Virus/Clean-Tool/ATTK_CN/supportcustomizedpackage.exe
亚信专杀下载地址(64位):http://support.asiainfo-sec.com/Anti-Virus/Clean-Tool/ATTK_CN/supportcustomizedpackage_64.exe
亚信专杀使用说明:http://support.asiainfo-sec.com/Anti-Virus/Clean-Tool/ATTK_CN/ATTK_USER_MANUAL.doc
安天专杀下载地址:http://www.antiy.com/response/wannacry/ATScanner.zip
安天免疫下载地址:http://www.antiy.com/response/wannacry/Vaccine_for_wannacry.zip。
安天应对说明链接:http://www.antiy.com/response/Antiy_Wannacry_FAQ.html。
360公司免疫工具下载链接:http://b.360.cn/other/onionwormimmune
360公司专杀工具下载链接:http://b.360.cn/other/onionwormkiller
北信源公司专杀免疫工具和说明下载链接:http://www.vrv.com.cn/index.php?m=content&c=index&a=lists&catid=205
瑞星免疫工具下载链接:http://download.rising.net.cn/zsgj/EternalBluemianyi.exe
瑞星免疫工具+杀软下载链接:http://download.rising.net.cn/zsgj/EternalBluemianyi_sharuan.exe
金山安全免疫工具(最新版,下载后可自动适配用户使用的系统,适配任何个人及企业用户)下载地址: http://pan.baidu.com/s/1o8hqpXC
金山V8+终端安全防护系统免疫工具(最新版,适配金山安全安装此产品的企业级用户)下载地址:http://pan.baidu.com/s/1kVHUlwz
腾讯电脑管家勒索病毒免疫工具和说明下载链接:http://guanjia.qq.com/wannacry/
腾讯电脑管家勒索病毒免疫工具(离线版)下载地址:http://url.cn/496kcwV
腾讯电脑管家勒索病毒免疫工具(在线版)下载地址:http://url.cn/498da3o
腾讯电脑管家管理员助手 下载地址:http://url.cn/499YVsJ 命令行:MS_17_010_Scan.exe 192.168.164.128
如果你也愿意分享你的故事,请加51CTO开发者QQ交流群 312724475联系群主小官,期待你精彩的故事!