当前位置:安全客 >> 内参详情

【防火墙】360防火墙针对“永恒之蓝”勒索蠕虫的防护方案

2017-05-18 17:54:12 阅读:0次

http://p8.qhimg.com/t01a0079b92f7c0cb26.jpg


1、漏洞描述

近期国内多处网络出现ONION/Wncry勒索软件感染情况,磁盘文件会被病毒加密为“.onion”或“.WNCRY”后缀,只有支付高额赎金才能解密恢复文件,对重要数据造成严重损失。

根据网络安全机构通报,这是不法分子利用NSA黑客武器库泄漏的“永恒之蓝”发起的蠕虫病毒攻击事件。恶意代码会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。

以前国内多次爆发利用445端口传播的蠕虫,部分运营商在主干网络上也封禁了445端口,但仍有小部分连接运营商主干网的网络由于没有及时修补Widows某些版本的漏洞,还是被感染了勒索病毒或存在被感染的高风险。

360新一代智慧防火墙(NSG3000/5000/7000/9000系列)和下一代极速防火墙(NSG3500/5500/7500/9500系列)产品,通过更新IPS特征库、应用识别特征库已经完成了蠕虫变种的防护,建议用户尽快将IPS特征库升级至“20170513”版本,应用识别特征库升级至“20170513”版本。此外,对于已经被攻击的主机,360新一代智慧防火墙基于“智慧发现”、“智慧调查”特性可高效检测、统计产生此类攻击的终端IP,协助用户快速定位已失陷主机以便于及时在终端系统进行处置操作。

特别提醒:WanaCry!勒索软件除了通过MS17-010的SMBv1传播,还可能通过曾经被安装过NSA DoublePulsar后门的渠道进行传播,曾被EternalBlue攻击并成功安装过DoublePulsar后门的系统,即便已安装MS17-010补丁仍有可能被该勒索软件感染。


2、处置建议

1.立即封堵不必要的SMB协议(TCP 445端口);

2.针对必须启用SMB协议的网络进行深度的IPS检测,及时阻断攻击; 

3.诱导方式,通过防火墙的静态dns功能进行诱导;

4.在网络内部安全域间部署防火墙设备,通过隔离安全域降低攻击的影响范围;


3、配置指引

3.1封堵不必要的SMB协议

3.1.1新一代智慧防火墙配置方法

可通过配置“一键处置”或“安全策略”功能实现阻断(二者任选其一即可)。

方式1:通过“一键处置”阻断

1.登录防火墙管理界面,进入“处置中心->人工处置”,点击“+添加”,新建一条处置策略;

http://p5.qhimg.com/t0136c21393a3a9b659.png

2.按照下图参数设定,配置处置策略,“目的端口”填写“445”,“处置动作”选择“阻断”,点击“确定”完成新建;

http://p0.qhimg.com/t01f266a94416f52967.png

3.确认处置策略添加成功。

http://p6.qhimg.com/t01598c5eb370ef5b30.png

方式2:通过“安全策略”阻断

1.登录防火墙管理界面,进入“对象配置->服务->自定义服务”,点击“+添加”,新建一个服务对象;

http://p8.qhimg.com/t0170e1a8efe58bbb8c.png

2.按照下图参数设定,配置服务对象,“源端口”填写“0~65535”,“目的端口”填写“445~445”, 点击“确定”完成新建;

http://p0.qhimg.com/t010640cbfd7c9bf82d.png

3.确认服务对象添加成功;

http://p3.qhimg.com/t012f657745a7344bf3.png

4.点击“策略管理->安全策略”,点击“+添加”新建一条安全策略;

http://p5.qhimg.com/t01ebe693bd00fc0c4a.png

5.按照下图参数设定,配置策略条件,“动作”选择“拒绝”, 点击“确定”完成新建;

http://p8.qhimg.com/t011283972176301111.png

6.在策略列表中选择步骤5新建的策略,点击“调序”,并将该策略调整至第一位;

http://p1.qhimg.com/t01212d90831327ce1d.png

7.确认该策略排位已至第一。

 http://p1.qhimg.com/t01fc00a9722448f123.png

3.1.2下一代极速防火墙配置方法

1.登录防火墙管理界面,进入“对象配置->服务->自定义服务”,点击“+添加”。

http://p2.qhimg.com/t01db47f4a995746d64.png

2.按照下图参数设定,配置服务对象,“源端口”填写“0~65535”,“目的端口”填写“445~445”, 点击“确定”完成新建;

http://p4.qhimg.com/t0110b3487cb37c83f3.png

3.确认服务对象添加成功;

http://p8.qhimg.com/t011e4e1206f1aeca7a.png

4.点击“策略管理->安全策略”,点击“+添加”新建一条安全策略;

http://p2.qhimg.com/t017e90e4f5f12828ae.png

5.按照下图参数设定,配置策略条件,“动作”选择“拒绝”, 点击“确定”完成新建;

http://p5.qhimg.com/t01c05df5c4be7495b0.png

6.在策略列表中选择步骤5新建的策略,点击“调序”,并将该策略调整至第一位

http://p5.qhimg.com/t0120a5e4a80e3e617c.png

7.确认该策略排位已至第一。

http://p6.qhimg.com/t017c089e00a5fed8d7.png

3.2通过入侵防御、应用控制规则阻断攻击流量

新一代智慧防火墙和下一代极速防火墙均可通过配置入侵防御规则实现攻击阻断,同时可通过配置应用控制规则增强防护效果。

3.2.1新一代智慧防火墙配置方法

1.登录防火墙管理界面,进入“系统配置->升级->库升级”确认特征库版本,应确保IPS特征库需升级到20170513,应用识别特征库升级到 20170513;

http://p6.qhimg.com/t01c44d5131db56f177.png

2.进入“对象配置->安全配置文件->漏洞防护”,添加一个漏洞防护配置实例;

http://p2.qhimg.com/t014f30a5152b45b546.png

3.新建一条安全策略,在“漏洞防护”中选择步骤2中新建的漏洞防护实例,点击确定完成新建;

http://p9.qhimg.com/t01bb21f2e9b14992e8.png

4.在策略列表中选择步骤3新建的策略,点击“调序”,并将该策略调整至第一位;

5.新建另外一条安全策略,在“应用”中选择“NSA_Eternalblue_17_010_SMB”,“动作”选择“拒绝”;

http://p5.qhimg.com/t0100a8abf95d4519d8.png

6.在策略列表中选择步骤5新建的策略,点击“调序”,并将该策略调整至第一位。

3.2.2下一代极速防火墙配置方法

1.登录防火墙管理界面,进入“系统配置->升级->库升级”确认特征库版本,应确保IPS特征库需升级到20170513,应用识别特征库升级到 20170513;

http://p4.qhimg.com/t01dc2ae57d1bab03bb.png

2.进入“安全->入侵防护”,添加一个入侵防护配置实例;

http://p3.qhimg.com/t01a7a4333a99946406.png

3.新建一条安全策略,在“漏洞防护”中选择步骤2中新建的漏洞防护实例,点击确定完成新建;

http://p3.qhimg.com/t012287f7aca215ab96.png

4.在策略列表中选择步骤3新建的策略,点击“调序”,并将该策略调整至第一位;

5.新建另外一条安全策略,在“应用”中选择“NSA_Eternalblue_17_010_SMB”,“动作”选择“拒绝”;

 http://p1.qhimg.com/t01542fdfbec4bc11b4.png

6.在策略列表中选择步骤5新建的策略,点击“调序”,并将该策略调整至第一位。

3.3 通过诱导方式

通过域名欺骗方式,把恶意软件访问的域名www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, 欺骗到一个存活的http服务器后,该样本就不会进行文档加密,而是自动退出。

注:若所使用的HTTP服务器是新搭建的,并使用了默认限制并发连接数(可在对应的配置文件中查看),或者是复用现有存在较大并发负载的HTTP服务器,则一旦终端中毒很多以至于超过了限制和负载,那么该HTTP服务器可能无法提供服务,存在导致诱导失败风险。

3.3.1 诱导方式防火墙配置前提

这种方式360智慧防火墙和极速防火墙的配置相同,该场景必须满足如下条件:

1、windows主机的网络访问必须经过防火墙;

2、windows主机的dns解析必须经过防火墙;

3、必须有一个存活的http服务器(可以是公网的web服务器);

3.3.2 对恶意域名的防火墙配置示例智慧防火墙配置示例如下:打开【网络配置】->【DNS】->【静态DNS】->【添加】

把域名www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com和域名www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com添加进去,对应的IP地址选择一个存活的HTTP服务器,同时接口选择连接Windows设备侧的网络接口,如下图:

http://p1.qhimg.com/t012b11315323c58f28.pnghttp://p2.qhimg.com/t01c13f8c148b877994.png

http://p9.qhimg.com/t01f398cabadb6b2abb.png

点击【确定】,配置完毕。

http://p5.qhimg.com/t013e0a0278bfeabc9f.png

极速防火墙配置示例如下:打开【网络】->【DNS代理】->【静态DNS】->【添加】

同样把域名www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com和域名www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com添加进去,对应的IP地址选择一个存活的HTTP服务器,同时接口选择连接Windows设备侧的网络接口,如下图:

http://p3.qhimg.com/t01394a98f569baef31.png

http://p7.qhimg.com/t013a8a465a83dd212d.png

点击【确定】,配置完毕。

http://p9.qhimg.com/t01435a471c14dd8c2c.png

通过这种域名欺骗的方式可以使勒索软件不再进行恶意加密,而是自动退出。


3.4 新一代智慧防火墙“处置中心”隔离中招主机配置方法

针对已中招主机,为防止内部扩散,可通过新一代智慧防火墙“处置中心”功能对其执行快速的网络隔离操作。

1.登录防火墙管理界面,进入“处理中心->人工处置”,点击“+添加”;

http://p7.qhimg.com/t01a181a280f9ccbb32.png

2.按照下图设置,添加一条处置策略,“源地址”填为已确定的中招主机IP地址,“动作”选择“阻断”;

http://p9.qhimg.com/t0198731d43e391a28d.png

3.确认处置策略下发成功。

http://p4.qhimg.com/t01a6273dc85212b351.png


本文由 安全客 原创发布,如需转载请注明来源及本文地址。
本文地址:http://bobao.360.cn/news/detail/109.html

参与讨论,请先 | 注册 | 匿名评论
发布
用户评论
无任何评论