“永恒之蓝”漏洞和WannaCry病毒完整解析及SonicWall应对攻略_机房360

摘要：5月12日，有英媒报道其国家医疗机构电脑系统感染WannaCry勒索病毒，短短几个小时，该勒索病毒迅速扩散至全球超过99个国家和地区，从俄罗斯内政部，到中国大学生的个人电脑系统等均纷纷沦陷。

　　背景前陈

　　5月12日，有英媒报道其国家医疗机构电脑系统感染WannaCry勒索病毒，短短几个小时，该勒索病毒迅速扩散至全球超过99个国家和地区，从俄罗斯内政部，到中国大学生的个人电脑系统等均纷纷沦陷。

　　一旦WannaCry勒索病毒锁定你的电脑，立马会植入恶意软件。对于那些没有打补丁的Windows电脑，只要联网且开启了445端口SMB文件共享服务，则无需任何操作即可被感染此勒索病毒。感染后用户电脑里的所有数据都会被加密，然后屏幕会弹出消息框要求受害人在3天内支付价值300美元的比特币赎金。

　　而要扒横空出世的WannaCry勒索病毒，则要从其源头软件“永恒之蓝”(EternalBlue)说起。

　　“永恒之蓝”漏洞和WannaCry勒索病毒的完整解析

　　“永恒之蓝”(EternalBlue)是美国国家安全局NSA旗下的黑客组织Equation Group开发的网络攻击工具。它扫描并利用运行在TCP 445端口之上的Windows SMB (Server Message Block)文件共享协议的漏洞, 上传勒索软件等恶意软件到Windows系统，对用户的文件进行加密并勒索赎金。

　　2017年4月，Shadow Broker黑客组织入侵了Equation Group的网络，窃取了大量网络攻击工具，并把它放到互联网上拍卖。为证明其拍卖的黑客工具的真实性和有效性，Shadow Broker黑客组织在网上公布了他们窃取来的一部分黑客工具，包括“永恒之蓝”恶意软件的密码，该软件即是WannaCry勒索病毒的源头软件。

　　WannaCry勒索病毒是黑客在“永恒之蓝”的基础上开发的蠕虫病毒，它可以自我复制传播。该蠕虫病毒先扫描网络上存在SMB漏洞的Windows机器，然后上传勒索软件到该Windows系统，锁定用户的数据并进行勒索，是一个典型的蠕虫和勒索软件的结合体。

　　最新SonicWall下一代防火墙已能够有效应对WannaCry勒索病毒

　　SonicWall安全防御团队早在今年4月份Shadow Broker黑客组织发布“永恒之蓝”的第一时间就对其进行了快速分析和诊断，并于4月20日更新了多个IPS签名，能够有效阻断黑客利用“永恒之蓝”工具以及基于该工具开发的蠕虫病毒针对 Windows SMB漏洞进行的入侵行为。

　　因此，对于SonicWall下一代防火墙IPS(入侵防御)服务在有效期内的用户则无需担心，SonicWall下一代防火墙在4月20日起即已能够防御“永恒之蓝”攻击工具及其同类软件的入侵行为，保护您的网络免受WannaCry勒索病毒侵扰。

　　黑客能够利用“永恒之蓝”工具和Windows SMB漏洞上传任何恶意软件，且勒索软件可通过电子邮件传播，对此，SonicWall已发布数个勒索软件病毒签名，阻断通过电子邮件或利用SMB漏洞上传的勒索软件。

　　因此，对于SonicWall下一代防火墙GAV网关杀毒服务在有效期内的用户亦可放心，该服务能够有效地防御WannaCry勒索病毒及多个变种。网关杀毒防御勒索软件是对IPS入侵检测防御“永恒之蓝”入侵的一个补充，可以阻止经电子邮件途径传播的勒索病毒。

　　此外，SonicWall Capture服务(云端沙盒)能够检测未知安全威胁, 是IPS入侵防御和GAV网关杀毒服务的有效补充。对IPS和GAV网关杀毒不能确认的文件，例如快速出现的任意新的勒索软件变种，SonicWall Capture的多引擎可做并行检测，使恶意软件难以逃避检测。SonicWall Capture能够对WannaCry的新变种及其它勒索软件做准确的判断，并阻断其传播。

　　用户该购买哪些服务以效防御此类安全威胁?

　　· 没有购买SonicWall下一代防火墙的用户在购买SonicWall下一代防火墙时，请同时购买AGSS服务，即高级网关安全服务包，包含Capture多引擎沙盒、入侵检测、网关杀毒、内容过滤及厂商7*24技术支持服务;或购买CGSS服务，包含全部AGSS安全服务功能，但没有Capture多引擎沙盒服务;也可购买UTM杀毒和入侵防御服务，但是缺少Capture多引擎沙盒对未知安全威胁的检测及厂商的7*24技术支持服务。

　　AGSS License。包含Capture沙盒服务和UTM的应用层安全防御功能，每个设备型号有对应的SKU，下面SKU是以NSA3600为例。AGSS包含最全的安全服务，可以应对已知和未知安全威胁。