基于Windows永恒之蓝漏洞排查整改的应用研究

基于Windows永恒之蓝漏洞排查整改的应用研究

乔瑜瑜乔国伟陶鹏

安徽继远软件有限公司安徽合肥230088

摘要：5月12日，比特币勒索病毒的新型蠕虫病毒在全球范围内大规模爆发，病毒已遍及150个国家和地区，包括国内某些城市在内的多地中石油旗下加油站在当天凌晨突然断网，因断网无法刷银行卡及使用网络支付，只能使用现金，给老百姓日常生活带来巨大的影响。随着泛在电力物联网建设的全面启动和“云大物移”等新兴业务的快速发展，网络边界不断扩大，网络安全风险日趋多样化，勒索病毒可能通过Windows永恒之蓝漏洞进行大肆传播，各行各业网络安全保障工作面临更加严峻的考验。

关键字：永恒之蓝；漏洞；补丁

引言

认真贯彻《网络安全法》和国家及行业网络安全工作要求，将网络安全与人身安全、设备安全等列为三大安全防范目标，坚守网络安全底线，夯实网络安全基础，为保障企业安全稳定发挥积极作用。Windows永恒之蓝漏洞全称为WindowsSMB远程代码执行漏洞，勒索病毒就是利用该漏洞进行传播。2018年国内外发生了诸多勒索病毒感染的情况，主机受感染的原因大多数为系统补丁未正确安装和终端安全防护不到位等。近期，有关部门通过技术装备分析监控域名解析系统（DNS）访问日志，发现部分单位存在主机感染恶意程序的情况。本论文主要解决利用自研工具开展永恒之蓝漏洞的排查方法。

1.问题描述

2018年5月12日，全球网络爆发大规模电脑勒索病毒，该类病毒通过445等共享端口传播，将对重要数据进行加密并勒索高额赎金，导致用户数据造成重大损失。

从管理角度入手建立、健全企业信息安全管理制度，一是完成内外网边界相关端口封闭、客户端补丁安装测试工作；二是积极与运营商确认上联端口封闭情况及相关预防措施，并及时沟通掌握病毒爆发趋势，同时对病毒感染情况进行实时监控，提前做好各种预防措施；三是组织完成勒索病毒防护整改确认书的签订工作，并收集各单位病毒防治整改情况，督导各类终端的补丁安装工作，及时协调解决存在问题，有效防范勒索病毒入侵及传播；四是做好企业安全风险评估，定期对信息网络安全状况进行评估，改进安全方案，调整安全策略。

从技术角度入手保证网络的安全，计算机终端的系统补丁的主要利用桌管推送及人工方式安装，在安装MS17-010漏洞补丁过程中由于未正确安装或者漏打补丁等原因，造成计算机终端漏洞依然存在。而计算机终端数量众多，运维人员缺乏一定的技术措施对全网进行批量排查，只能现场查看或者通过桌管逐个IP进行查询是否安装补丁，导致了个别计算机存在MS17-010漏洞。基于以上原因运维人员利用Python语言研发了永恒之蓝漏洞排查工具。

2.典型做法

通过开展Windows永恒之蓝漏洞专项排查整改工作，对发现的问题及时进行整改，清除本单位信息内网主机感染源，提升恶意程序防护和管控水平，确保信息内网安全。

（1）利用自主研发的永恒之蓝漏洞排查工具对目标ip段进行扫描进行扫描为例进行说明。

在命令行下输入命令：

pythonms17_010_scanner.py起始IP-结束IP线程数量

然后回车，程序就开始扫描目标IP，并将扫描的进程结果逐个进行显示，如下图：扫描到主机10.217.XX.XX存在该漏洞。

经查看桌管，该终端未安装补丁

（2）下发整改通知单，要求相应责任人立即安装该漏洞补丁。

1）加强DNS域名流量监控分析工作，加强访问勒索病毒开关域名行为的排查与监测，纳入信息通信调度监控体系中进行常态管控，及时发现威胁并组织开展处置工作。2）利用专业设备分析本单位内网DNS服务器流量，并与设备自带恶意域名库进行比对，定位受感染的主机IP。3）通过流量分析工具，提取内网DNS服务器有关域名请求的镜像流量，对其中非sgcc域名请求进行排查，定位受感染的主机IP。4）按照要求，对本单位信息内网本地DNS服务器就近接入对应数据中心，对非sgcc域名须指向指定数据中心根DNS。5）应常态化开展所辖范围内各类网络边界的流量分析和监测，及时发现异常流量，管控感染木马病毒的安全风险。

（3）定期对本单位全网进行扫描，对于发现漏洞的立即进行整改。

3.结语

针对永恒之蓝漏洞无法批量排查的情况，运维人员自主研发了永恒之蓝漏洞批量检测工具，并利用该工具第一时间对本单位计算机终端进行扫描，发现部分计算机终端存在该漏洞，并下发了整改通知单要求责任人员立即安装勒索病毒补丁，对漏洞进行修复，避免了勒索病毒的继续传播。完成全部终端系统版本升级及补丁安装工作，并全面做好病毒防范以及监测工作，确保发现问题及时处置，切实保障网络与信息系统安全稳定运行，为本公司生产经营保驾护航。

参考文献

[1]高能；江伟玉；刘丽敏.信息安全技术.北京：中国人民公安大学出版社

[2]程胜利.计算机病毒及其防护技术.北京：清华大学出版社

[3]卓新建.计算机病毒原理及防治.北京邮电出版社