葉水勇，聶立莎，葉 菁，張 月，程曉潔，張峻林，金 鑫

（國網(wǎng)黃山供電公司，安徽 黃山 245000）

0 引言

2017年 5月12日的“WannaCry”與10月25日的 “壞兔子”等勒索病毒在全球范圍內(nèi)爆發(fā)是基于Windows網(wǎng)絡共享協(xié)議進行攻擊傳播的蠕蟲惡意代碼，中國國內(nèi)多個行業(yè)被病毒感染，被勒索支付高額贖金才能解密恢復文件［1-2］。

1 問題分析

勒索病毒的惡意代碼會掃描開放445文件共享端口的Windows機器，無需用戶任何操作，只要開機上網(wǎng)，不法分子就能在電腦和服務器中植入勒索軟件、遠程控制木馬、虛擬貨幣挖礦機等惡意程序。因此，防護措施主要分為兩個層面［3-4］。第一，進行網(wǎng)絡隔離。用網(wǎng)絡阻斷的方式，通過ACL網(wǎng)段訪問控制作網(wǎng)絡層的隔離處理，防止蠕蟲病毒通過445端口在網(wǎng)段間傳播。第二，安裝補丁與關(guān)閉主機端口。檢測系統(tǒng)是否已經(jīng)安裝MS17-010漏洞的補丁，或者是否關(guān)閉相關(guān)服務及端口。

根據(jù)國家能源局［2015］36號文件要求，各電力公司需要開展風險評估、攻擊檢測與安全加固等工作，對于各種攻擊行為需采取有效技術(shù)手段實現(xiàn)對各種攻擊的檢測和識別工作，然后進行加固［5-6］。并且隨著攻擊手段的不斷發(fā)展與演進，網(wǎng)絡信息系統(tǒng)所面臨的安全問題越來越復雜，安全威脅正在飛速增長，尤其是基于應用的新型威脅。2017年5月12日爆發(fā)了利用郵件傳播的“WannaCry”勒索病毒，并且在10月25日永恒之藍的升級版“壞兔子”再次爆發(fā)。在此情況下黃山公司致力于研究快速檢測主機是否存在被勒索病毒感染風險的檢測工具，并且通過此工具進行相關(guān)端口的封閉等加固工作。

2 處理過程及主要做法

2.1 網(wǎng)絡隔離

網(wǎng)絡中可能存在持續(xù)運行的主機，這部分主機很可能已經(jīng)被感染了蠕蟲病毒，由于蠕蟲病毒可利用SMB漏洞在本網(wǎng)段和跨網(wǎng)段傳播［7-8］。因此，為了防止病毒進一步擴散，風險控制第一步：通過ACL網(wǎng)段訪問控制作網(wǎng)絡層的隔離處理，防止蠕蟲病毒通過445端口在網(wǎng)段間傳播。以Cisco設備配置為例，在網(wǎng)絡邊界（出口網(wǎng)關(guān)、路由器或安全設備）、內(nèi)部網(wǎng)絡區(qū)域（交換機及無線設備）部署安全策略，以防范和降低攻擊產(chǎn)生的影響。

2.2 風險檢測

對于未開機的主機，風險排查確認網(wǎng)絡中不存在感染主機后，斷開網(wǎng)絡后再進行開機檢查［9-10］。對于持續(xù)開機運行的主機，人工查看是否感染了勒索蠕蟲病毒。若感染病毒，立即斷網(wǎng)隔離，等待下一步處置；若未感染病毒，斷網(wǎng)查看是否安裝了相關(guān)的安全補丁。

2.2.1 windows Server 2003檢測方法

在“添加或者刪除程序”功能面板中，開啟“顯示更新”，查找是否存在KB4012598補丁。

2.2.2 Windows 7補丁檢測方法

打開 “控制面板”→“程序和功能”→“查看已安裝的更新”，查找Windows 7操作系統(tǒng)的MS17-010漏洞對應的更新補丁（KB4012212）。

由于不同系統(tǒng)版本中補丁編號不同，對照表1所示的相應補丁進行查找。

2.3 風險處置

2.3.1 已感染病毒主機處置

在被感染主機上，需要對蠕蟲進行清除。

1）關(guān)閉進程。

關(guān)閉tasksche.exe進程：不完全執(zhí)行的狀態(tài)下，還可能有mssecsvc.exe，即最初啟動的那個進程，在后續(xù)完全執(zhí)行的狀態(tài)下，還可能有其他Tor等的進程，建議在關(guān)閉進程的時候，將圖1所列舉的可執(zhí)行文件涉及的相關(guān)進程都關(guān)閉掉。

表1 系統(tǒng)版本與補丁號對照表

圖1 關(guān)閉進程圖

2）刪除相關(guān)服務。

刪除服務 mssecsvc2.0。服務路徑為 C：／WINDOWS／tasksche.exe 或 者 C：／WINDOWS／mssecsvc.bin-m security。

刪除hnjrymny834（該服務名可能隨機）服務。查找對應的路徑，在其路徑名下刪除可執(zhí)行文件。

3）清除注冊表項。

在注冊表中，刪除以下鍵值：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunhnjrymny834 ＂C：ProgramDatahnjrymny834 asksche.exe＂或者HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunhnjrymny834

4）刪除病毒文件。

病毒運行后，釋放的文件目錄存在于C：ProgramDatahnjrymny834 或 C：UsersAll Usershnjrymny834

病毒的可執(zhí)行文件主要有以下文件：

C：WINDOWS asksche.exe

C：ProgramDatahnjrymny834 asksche.exe

C：UsersAll Usershnjrymny834 asksche.exe

2.3.2 未感染病毒主機補丁加固

處理完網(wǎng)段中存在的被感染病毒的主機后，對網(wǎng)段中的其他未感染的和未開機的終端進行安全排查并進行加固。

對于提供文件共享以及與認證服務相關(guān)的服務器，由于業(yè)務需求不能關(guān)閉端口和禁用服務，因此，建議使用升級補丁的方式進行加固處理。

2.3.3 未感染病毒主機人工工具加固

本文設計“勒索病毒安全加固”工具，自動檢測系統(tǒng)是否已經(jīng)安裝MS17-010漏洞的補丁，若未安裝，則自動判斷系統(tǒng)版本并安裝相應版本的補丁。如果安裝失敗，工具會通過關(guān)閉Server服務，配置防火墻策略阻斷端口進行防御［11-12］。在使用時，以管理員權(quán)限運行工具，對系統(tǒng)進行升級。

2.3.4 工具使用流程及方法

1）雙擊運行“勒索病毒一鍵加固及恢復.bat”文件，彈出DOS窗口。

2）根據(jù)系統(tǒng)類型選擇相關(guān)的數(shù)字鍵，點擊回車。

3）如果需要對加固的內(nèi)容進行恢復，恢復到加固前的狀態(tài)，選擇加固恢復選項。

3 結(jié)束語

本文設計安全檢測及加固工作主要用于自動檢測主機系統(tǒng)是否已經(jīng)安裝MS17-010漏洞的補丁。若未安裝，工具會通過關(guān)閉Server服務，配置防火墻策略阻斷端口進行防御。通過該工具的研發(fā)及使用，進一步提高了我公司信息安全管控水平。