优秀案例之360企业安全汽车制造行业“永恒之蓝”病毒应急处理和安全

360工业主机安全防护系统产品白皮书© 2019 360企业安全集团■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明外，所有版权均属360企业安全集团所有，受到有关产权及版权法保护。

任何个人、机构未经360企业安全集团的书面授权许可，不得以任何方式复制或引用本文的任何片断。

目录| Contents一. 引言 (1)二. 工业主机安全防护系统产品介绍 (2)2.1产品概述 (2)2.2设计理念 (2)2.3产品架构 (2)2.4产品优势 (4)2.5主要功能 (5)2.6典型部署 (7)三. 客户价值 (8)3.1工业主机安全防护，减少安全隐患 (8)3.2工业资产风险分析，提高运维效率 (8)3.3自主知识产权，杜绝后门隐患 (9)四. 总结 (9)一. 引言近年来，随着工业4.0及两化深度融合战略的持续推进，以及物联网等新兴技术在工业领域的应用，工业控制系统安全也倍受政府和企业关注。

其中，工业主机是工业控制系统安全的关键环节，工业信息安全建设也需要从主机防护开始。

工业主机相对普通的IT系统主机和终端，在安全防护方面存在以下特点：1. 工业主机生命周期长，硬件资源受限在很多细分工业行业，工业主机在投运后会运行很多年，硬件资源受限，往往不能安装杀毒软件。

2. 工业主机不会随意增加应用软件工业主机投运后，安装在主机上的软件不会随意升级或增加新的软件、插件。

3. 病毒库不能定期升级杀毒软件防病毒库需要定期升级或进行在线云查杀。

而工控系统不允许在运行期间进行系统升级，也不允许在线云查杀。

在工控系统中的防病毒库如果三个月不升级，防病毒效果会大大降低。

4. 普通杀毒软件误杀关键进程目前非工控专用杀毒软件没做过与工业软件的兼容性测试，在国内外都发生过非工控专用杀毒软件误杀工业软件进程，造成工控系统运行异常的事件。

误杀进程在工业控制系统中是致命的。

5. 查毒、杀毒造成工业软件处理延时杀毒软件一般会使用本地引擎或云端病毒库对工业主机进行病毒查杀，可能会造成工业软件的处理延时。

永恒之蓝360处置方案近年来，网络攻击事件层出不穷。

其中最让人印象深刻的莫过于2017年全球著名勒索软件WannaCry病毒爆发。

它利用了NSA利用的漏洞——永恒之蓝，通过在网络中寻找可感染的计算机，加密受害人的文件并勒索赎金。

针对此次攻击事件，360公司发起了相关处置方案，并成功抵抗了攻击。

下面将从360公司的角度介绍他们是如何应对此次全球性网络攻击事件的。

永恒之蓝简介永恒之蓝是一个Windows Server消息块(SMB)漏洞的代码名，其主要影响操作系统是Windows XP、Windows 7和Windows Server 2003，可以被用于攻击未应用Microsoft修补程序安全更新的服务器或计算机。

永恒之蓝利用了Windows内核中的漏洞，可以在没有受害者干预的情况下远程攻击并获取系统权限。

漏洞会通过传输控制协议(TCP)/网络协议版本6( IPv6)连接进行攻击。

360不断研究并制定新的规则360公司不断进行永恒之蓝漏洞的研究，从其攻击数据中分析出漏洞的特征，并根据分析结果制定出针对不同类型永恒之蓝漏洞攻击的规则。

这些规则在永恒之蓝病毒最初爆发时可能并不会被所有的计算机系统所使用，但在360公司开发的防病毒软件中已经集成。

因此，这样的规则将很普遍地防止永恒之蓝病毒的攻击。

与全球防病毒行业合作360公司是全球最大的防病毒公司之一，与全球其他许多防病毒公司（如卡巴斯基、趋势微软、麦克风、McAfee等）保持良好的合作关系。

这就意味着360公司在全球范围内都在积极配合着其他防病毒公司应对永恒之蓝攻击事件，这有助于为用户提供更全面的防护、更高效的解决方案。

及时更新补丁和安全软件最重要的避免永恒之蓝攻击的方法之一就是及时更新安装补丁和安全软件。

当微软在2017年3月发布了Windows XP、Windows 7和Windows Server 2003的安全修补程序时，360公司推动用户及时更新，减小被攻击的概率。

永恒之蓝病毒是什么入侵原理在去年，全球爆发大规模蠕虫勒索病毒入侵事件，被入侵的用户需支付高额的赎金(或比特币)才能解密文件，目前攻击已造成多处教学系统、医院系统瘫痪。

虽然早已被控制，不过一些网友还是很好奇到底是个什么病毒，能造成全球性计算机安全威胁。

什么是永恒之蓝病毒?据了解，这次事件是不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件。

这次的“永恒之蓝”勒索蠕虫，是NSA网络军火民用化的全球第一例。

一个月前，第四批NSA相关网络攻击工具及文档被Shadow Brokers组织公布，包含了涉及多个Windows系统服务(SMB、RDP、IIS)的远程命令执行工具，其中就包括“永恒之蓝”攻击程序。

恶意代码会扫描开放445文件共享端口的Windows机器，无需用户任何操作，只要开机上网，不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。

目前，“永恒之蓝”传播的勒索病毒以ONION和WNCRY两个家族为主，受害机器的磁盘文件会被篡改为相应的后缀，图片、文档、视频、压缩包等各类资料都无法正常打开，只有支付赎金才能解密恢复。

这两类勒索病毒，勒索金额分别是5个比特币和300美元，折合人民币分别为5万多元和2000多元。

安全专家还发现，ONION勒索病毒还会与挖矿机(运算生成虚拟货币)、远控木马组团传播，形成一个集合挖矿、远控、勒索多种恶意行为的木马病毒“大礼包”，专门选择高性能服务器挖矿牟利，对普通电脑则会加密文件敲诈钱财，最大化地压榨受害机器的经济价值。

没有关闭的445端口“引狼入室”据360企业安全方面5月13日早晨提供的一份公告显示，由于以前国内多次爆发利用445端口传播的蠕虫，部分运营商在主干网络上封禁了445端口，但是教育网及大量企业内网并没有此限制而且并未及时安装补丁，仍然存在大量暴露445端口且存在漏洞的电脑，导致目前蠕虫的泛滥。

61《广播电视网络》 2021年第2期 总第374期1 引言为满足当前广电业务不断融合发展的需要，虚拟化、云平台、大数据系统、IP 化播出前端和制作中心等设备和应用相继投入使用。

与此同时，网络安全面临越来越严重的挑战，大量系统和应用漏洞被发布与利用，其中以“永恒之蓝”漏洞最具代表性。

“永恒之蓝”利用Windows 操作系统SMB 服务漏洞获取系统的最高权限,对应微软公司编号MS17-010。

不法分子通过改造“永恒之蓝”制作了WannaCry 勒索病毒，该病毒利用Windows 操作系统445端口存在的漏洞进行传播，并且具有自我复制、主动传播性。

被WannaCry 勒索病毒入侵后，用户主机、服务器操作系统内的图片、文档、音频、视频、数据等都会被加密，并在桌面弹出勒索对话框，要求受害者支付比特币作为赎金，才能解密并释放被加密的数据。

时至今日，各种新型勒索病毒不断涌现，攻击目标不再限于Windows 操作系统，Linux 操作系统也未能幸免，并且新型勒索病毒对攻击目标的选择越来越精准、隐蔽性越来越强，可以长期潜伏于受害者的内部网络中，当感染的主机和服务器达到一定数量后集中暴发，有的勒索病毒甚至可以预判并删除备份数据，再加密当前运行数据，给企业和用户带来巨大的损失。

基于以上原因，我们非常有必要了解“永恒之蓝”漏洞的攻击方式，从而加固防御系统。

2 信息收集阶段使用NMAP 对局域网靶机进行扫描，发现局域网内靶机开放端口445。

使用Nessus 对靶机进行扫描，扫描结果证明靶机存在MS17-010漏洞。

3 渗透攻击阶段首先，在Kali Linux 中启动Metasploit Framework。

其次，寻找“永恒之蓝”相关可利用模块。

执行命令“msf 6 > search ms17-010”，发现存在扫描模块“auxiliary/scanner/smb/smb_ms17_010”和攻击模块“exploit/基于“永恒之蓝”漏洞的 渗透攻击与系统安全加固姜巍 天津广播电视网络有限公司摘要：在广电网络多业务平台融合发展的大背景下，网络安全面临越来越严重的挑战。

勒索病毒永恒之蓝处理的方法勒索病毒永恒之蓝已经被攻破，具体的处理方法是怎样的呢?以下是小编acefouder为大家整理的勒索病毒永恒之蓝处理的方法，欢迎大家阅读。

勒索病毒office恢复工具下载勒索病毒处理方法5月14日，国家网络与信息安全信息通报中心紧急通报：监测发现，在全球范围内爆发的WannaCry 勒索病毒出现了变种：WannaCry 2.0，与之前版本的不同是，这个变种取消了Kill Switch，不能通过注册某个域名来关闭变种勒索病毒的传播，该变种传播速度可能会更快。

请广大网民尽快升级安装Windows操作系统相关补丁，已感染病毒机器请立即断网，避免进一步传播感染。

北京市委网信办、北京市公安局、北京市经信委联合发出《关于WannaCry勒索蠕虫出现变种及处置工作建议的通知》。

《通知》指出，有关部门监测发现，WannaCry 勒索蠕虫出现了变种：WannaCry 2.0，与之前版本的不同是，这个变种取消了所谓的Kill Switch，不能通过注册某个域名来关闭变种勒索蠕虫的传播。

该变种的传播速度可能会更快，该变种的有关处置方法与之前版本相同，建议立即进行关注和处置。

关于WannaCry 勒索蠕虫出现变种及处置工作建议的通知各有关单位：有关部门监测发现，WannaCry 勒索蠕虫出现了变种：WannaCry 2.0，与之前版本的不同是，这个变种取消了所谓的Kill Switch，不能通过注册某个域名来关闭变种勒索蠕虫的传播。

该变种的传播速度可能会更快，该变种的有关处置方法与之前版本相同，建议立即进行关注和处置。

一、请立即组织内网检测，查找所有开放445 SMB服务端口的终端和服务器，一旦发现中毒机器，立即断网处置，目前看来对硬盘格式化可清除病毒。

二、目前微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞，请尽快为电脑安装此补丁，网址为/zh-cn/library/security/MS17-010;对于XP、2003等微软已不再提供安全更新的机器，建议升级操作系统版本，或关闭受到漏洞影响的端口，可以避免遭到勒索软件等病毒的侵害。

针对“永恒之蓝”攻击应急方案（蠕虫WannaCry）2017 年05 月13 日第1章隔离网主机应急处置操作指南首先确认主机是否被感染被感染的机器屏幕会显示如下的告知付赎金的界面：如果主机已被感染：则将该主机隔离或断网（拔网线）。

若客户存在该主机备份，则启动备份恢复程序。

如果主机未被感染：则存在四种方式进行防护，均可以避免主机被感染。

针对未感染主机，方式二是属于彻底根除的手段，但耗时较长；其他方式均属于抑制手段，其中方式一效率最高。

从响应效率和质量上，360建议首先采用方式一进行抑制，再采用方式二进行根除。

第 3 页共23 页方式一：启用快速免疫工具360勒索(永恒之蓝、之石)免疫工具,免疫工具的下载地址（注内含封445端口）：https://172.20.133.158:8443/svn/JLsgsj/%e5%b8%b8%e7%94%a8%e8%bd%af%e4%bb%b6/360%e 5%8b%92%e7%b4%a2(%e6%b0%b8%e6%81%92%e4%b9%8b%e8%93%9d%e3%80%81%e4%b9%8 b%e7%9f%b3)%e5%85%8d%e7%96%ab%e5%b7%a5%e5%85%b7.zip采用快速处置方式，建议使用360安全卫士的“NSA武器库免疫工具”，可一键检测修复漏洞、关闭高风险服务，包括精准检测出NSA武器库使用的漏洞是否已经修复，并提示用户安装相应的补丁。

针对XP、2003等无补丁的系统版本用户，防御工具能够帮助用户关闭存在高危风险的服务，从而对NSA黑客武器攻击的系统漏洞彻底“免疫”。

NSA武器库免疫工具下载地址：/nsa/nsatool.exe方式二：针对主机进行补丁升级请参考紧急处置工具包相关目录并安装MS17-010补丁，2008服务器版补丁下载地址：https://172.20.133.158:8443/svn/JLsgsj/%e5%b8%b8%e7%94%a8%e8%bd%af%e4%bb%b6/windo方式三：关闭445端口相关服务点击开始菜单，运行，cmd，确认。