葉水勇，聶立莎，葉 菁，張 月，程曉潔，張峻林，金 鑫

（國(guó)網(wǎng)黃山供電公司，安徽 黃山 245000）

0 引言

2017年 5月12日的“WannaCry”與10月25日的 “壞兔子”等勒索病毒在全球范圍內(nèi)爆發(fā)是基于Windows網(wǎng)絡(luò)共享協(xié)議進(jìn)行攻擊傳播的蠕蟲(chóng)惡意代碼，中國(guó)國(guó)內(nèi)多個(gè)行業(yè)被病毒感染，被勒索支付高額贖金才能解密恢復(fù)文件［1-2］。

1 問(wèn)題分析

勒索病毒的惡意代碼會(huì)掃描開(kāi)放445文件共享端口的Windows機(jī)器，無(wú)需用戶任何操作，只要開(kāi)機(jī)上網(wǎng)，不法分子就能在電腦和服務(wù)器中植入勒索軟件、遠(yuǎn)程控制木馬、虛擬貨幣挖礦機(jī)等惡意程序。因此，防護(hù)措施主要分為兩個(gè)層面［3-4］。第一，進(jìn)行網(wǎng)絡(luò)隔離。用網(wǎng)絡(luò)阻斷的方式，通過(guò)ACL網(wǎng)段訪問(wèn)控制作網(wǎng)絡(luò)層的隔離處理，防止蠕蟲(chóng)病毒通過(guò)445端口在網(wǎng)段間傳播。第二，安裝補(bǔ)丁與關(guān)閉主機(jī)端口。檢測(cè)系統(tǒng)是否已經(jīng)安裝MS17-010漏洞的補(bǔ)丁，或者是否關(guān)閉相關(guān)服務(wù)及端口。

根據(jù)國(guó)家能源局［2015］36號(hào)文件要求，各電力公司需要開(kāi)展風(fēng)險(xiǎn)評(píng)估、攻擊檢測(cè)與安全加固等工作，對(duì)于各種攻擊行為需采取有效技術(shù)手段實(shí)現(xiàn)對(duì)各種攻擊的檢測(cè)和識(shí)別工作，然后進(jìn)行加固［5-6］。并且隨著攻擊手段的不斷發(fā)展與演進(jìn)，網(wǎng)絡(luò)信息系統(tǒng)所面臨的安全問(wèn)題越來(lái)越復(fù)雜，安全威脅正在飛速增長(zhǎng)，尤其是基于應(yīng)用的新型威脅。2017年5月12日爆發(fā)了利用郵件傳播的“WannaCry”勒索病毒，并且在10月25日永恒之藍(lán)的升級(jí)版“壞兔子”再次爆發(fā)。在此情況下黃山公司致力于研究快速檢測(cè)主機(jī)是否存在被勒索病毒感染風(fēng)險(xiǎn)的檢測(cè)工具，并且通過(guò)此工具進(jìn)行相關(guān)端口的封閉等加固工作。

2 處理過(guò)程及主要做法

2.1 網(wǎng)絡(luò)隔離

網(wǎng)絡(luò)中可能存在持續(xù)運(yùn)行的主機(jī)，這部分主機(jī)很可能已經(jīng)被感染了蠕蟲(chóng)病毒，由于蠕蟲(chóng)病毒可利用SMB漏洞在本網(wǎng)段和跨網(wǎng)段傳播［7-8］。因此，為了防止病毒進(jìn)一步擴(kuò)散，風(fēng)險(xiǎn)控制第一步：通過(guò)ACL網(wǎng)段訪問(wèn)控制作網(wǎng)絡(luò)層的隔離處理，防止蠕蟲(chóng)病毒通過(guò)445端口在網(wǎng)段間傳播。以Cisco設(shè)備配置為例，在網(wǎng)絡(luò)邊界（出口網(wǎng)關(guān)、路由器或安全設(shè)備）、內(nèi)部網(wǎng)絡(luò)區(qū)域（交換機(jī)及無(wú)線設(shè)備）部署安全策略，以防范和降低攻擊產(chǎn)生的影響。

2.2 風(fēng)險(xiǎn)檢測(cè)

對(duì)于未開(kāi)機(jī)的主機(jī)，風(fēng)險(xiǎn)排查確認(rèn)網(wǎng)絡(luò)中不存在感染主機(jī)后，斷開(kāi)網(wǎng)絡(luò)后再進(jìn)行開(kāi)機(jī)檢查［9-10］。對(duì)于持續(xù)開(kāi)機(jī)運(yùn)行的主機(jī)，人工查看是否感染了勒索蠕蟲(chóng)病毒。若感染病毒，立即斷網(wǎng)隔離，等待下一步處置；若未感染病毒，斷網(wǎng)查看是否安裝了相關(guān)的安全補(bǔ)丁。

2.2.1 windows Server 2003檢測(cè)方法

在“添加或者刪除程序”功能面板中，開(kāi)啟“顯示更新”，查找是否存在KB4012598補(bǔ)丁。

2.2.2 Windows 7補(bǔ)丁檢測(cè)方法

打開(kāi) “控制面板”→“程序和功能”→“查看已安裝的更新”，查找Windows 7操作系統(tǒng)的MS17-010漏洞對(duì)應(yīng)的更新補(bǔ)?。↘B4012212）。

由于不同系統(tǒng)版本中補(bǔ)丁編號(hào)不同，對(duì)照表1所示的相應(yīng)補(bǔ)丁進(jìn)行查找。

2.3 風(fēng)險(xiǎn)處置

2.3.1 已感染病毒主機(jī)處置

在被感染主機(jī)上，需要對(duì)蠕蟲(chóng)進(jìn)行清除。

1）關(guān)閉進(jìn)程。

關(guān)閉tasksche.exe進(jìn)程：不完全執(zhí)行的狀態(tài)下，還可能有mssecsvc.exe，即最初啟動(dòng)的那個(gè)進(jìn)程，在后續(xù)完全執(zhí)行的狀態(tài)下，還可能有其他Tor等的進(jìn)程，建議在關(guān)閉進(jìn)程的時(shí)候，將圖1所列舉的可執(zhí)行文件涉及的相關(guān)進(jìn)程都關(guān)閉掉。

表1 系統(tǒng)版本與補(bǔ)丁號(hào)對(duì)照表

圖1 關(guān)閉進(jìn)程圖

2）刪除相關(guān)服務(wù)。

刪除服務(wù) mssecsvc2.0。服務(wù)路徑為 C：／WINDOWS／tasksche.exe 或 者 C：／WINDOWS／mssecsvc.bin-m security。

刪除hnjrymny834（該服務(wù)名可能隨機(jī)）服務(wù)。查找對(duì)應(yīng)的路徑，在其路徑名下刪除可執(zhí)行文件。

3）清除注冊(cè)表項(xiàng)。

在注冊(cè)表中，刪除以下鍵值：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunhnjrymny834 ＂C：ProgramDatahnjrymny834 asksche.exe＂或者HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunhnjrymny834

4）刪除病毒文件。

病毒運(yùn)行后，釋放的文件目錄存在于C：ProgramDatahnjrymny834 或 C：UsersAll Usershnjrymny834

病毒的可執(zhí)行文件主要有以下文件：

C：WINDOWS asksche.exe

C：ProgramDatahnjrymny834 asksche.exe

C：UsersAll Usershnjrymny834 asksche.exe

2.3.2 未感染病毒主機(jī)補(bǔ)丁加固

處理完網(wǎng)段中存在的被感染病毒的主機(jī)后，對(duì)網(wǎng)段中的其他未感染的和未開(kāi)機(jī)的終端進(jìn)行安全排查并進(jìn)行加固。

對(duì)于提供文件共享以及與認(rèn)證服務(wù)相關(guān)的服務(wù)器，由于業(yè)務(wù)需求不能關(guān)閉端口和禁用服務(wù)，因此，建議使用升級(jí)補(bǔ)丁的方式進(jìn)行加固處理。

2.3.3 未感染病毒主機(jī)人工工具加固

本文設(shè)計(jì)“勒索病毒安全加固”工具，自動(dòng)檢測(cè)系統(tǒng)是否已經(jīng)安裝MS17-010漏洞的補(bǔ)丁，若未安裝，則自動(dòng)判斷系統(tǒng)版本并安裝相應(yīng)版本的補(bǔ)丁。如果安裝失敗，工具會(huì)通過(guò)關(guān)閉Server服務(wù)，配置防火墻策略阻斷端口進(jìn)行防御［11-12］。在使用時(shí)，以管理員權(quán)限運(yùn)行工具，對(duì)系統(tǒng)進(jìn)行升級(jí)。

2.3.4 工具使用流程及方法

1）雙擊運(yùn)行“勒索病毒一鍵加固及恢復(fù).bat”文件，彈出DOS窗口。

2）根據(jù)系統(tǒng)類型選擇相關(guān)的數(shù)字鍵，點(diǎn)擊回車。

3）如果需要對(duì)加固的內(nèi)容進(jìn)行恢復(fù)，恢復(fù)到加固前的狀態(tài)，選擇加固恢復(fù)選項(xiàng)。

3 結(jié)束語(yǔ)

本文設(shè)計(jì)安全檢測(cè)及加固工作主要用于自動(dòng)檢測(cè)主機(jī)系統(tǒng)是否已經(jīng)安裝MS17-010漏洞的補(bǔ)丁。若未安裝，工具會(huì)通過(guò)關(guān)閉Server服務(wù)，配置防火墻策略阻斷端口進(jìn)行防御。通過(guò)該工具的研發(fā)及使用，進(jìn)一步提高了我公司信息安全管控水平。