WannaCry勒索病毒橫行 安防實(shí)力企業(yè)如何快速應(yīng)對(duì)

【中國安防展覽網(wǎng) 企業(yè)關(guān)注】 2017年5月12日，WannaCry蠕蟲通過MS17-010漏洞在全球范圍大爆發(fā)，感染了大量的計(jì)算機(jī)，該蠕蟲感染計(jì)算機(jī)后會(huì)向計(jì)算機(jī)中植入敲詐者病毒，導(dǎo)致電腦大量文件被加密。受害者電腦被黑客鎖定后，病毒會(huì)提示支付價(jià)值相當(dāng)于300美元(約合人民幣2069元)的比特幣才可解鎖。

2017年5月14日，監(jiān)測發(fā)現(xiàn)，WannaCry勒索病毒出現(xiàn)了變種：WannaCry2.0，與之前版本的不同是，這個(gè)變種取消了KillSwitch，不能通過注冊(cè)某個(gè)域名來關(guān)閉變種勒索病毒的傳播，該變種傳播速度可能會(huì)更快。

WannaCry勒索病毒橫行 安防實(shí)力企業(yè)如何快速應(yīng)對(duì)

WannaCry勒索病毒攻擊過程及造成危害

據(jù)騰訊安全反病毒實(shí)驗(yàn)室安全研究人員分析發(fā)現(xiàn)，此次勒索事件與以往相比最大的區(qū)別在于，勒索病毒結(jié)合了蠕蟲的方式進(jìn)行傳播，傳播方式采用了前不久NSA被泄漏出來的MS17-010漏洞。在NSA泄漏的文件中，WannaCry傳播方式的漏洞利用代碼被稱為“EternalBlue”，所以也有的報(bào)道稱此次攻擊為“永恒之藍(lán)”。

據(jù)了解，MS17-010漏洞指的是攻擊者利用該漏洞，向用戶機(jī)器的445端口發(fā)送精心設(shè)計(jì)的網(wǎng)絡(luò)數(shù)據(jù)包文，實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。如果用戶電腦開啟防火墻，也會(huì)阻止電腦接收445端口的數(shù)據(jù)。但是在中國高校內(nèi)，同學(xué)之間為了打局域網(wǎng)游戲，有時(shí)需要關(guān)閉防火墻，這也是此次事件在中國高校內(nèi)大肆傳播的原因。

安全研究人員指出，勒索病毒被漏洞遠(yuǎn)程執(zhí)行后，會(huì)從資源文件夾下釋放一個(gè)壓縮包，此壓縮包會(huì)在內(nèi)存中通過密碼“WNcry@2ol7”解密并釋放文件。這些文件包括了后續(xù)彈出勒索框的exe，桌面背景圖片的bmp，輔助攻擊的兩個(gè)exe文件以及含有各國語言的勒索字體。這些文件會(huì)釋放到本地目錄，并設(shè)置為隱藏。其中“u.wnry*”就是后續(xù)彈出的勒索窗口，而在窗口右上角的語言選擇框中，可以針對(duì)不同國家的用戶進(jìn)行定制的展示，這些字體的信息也存在于之前資源文件釋放的壓縮包中。

通過分析病毒，安全研究人員進(jìn)一步發(fā)現(xiàn)，含有txt、doc、ppt、xls等后綴名類型的文件會(huì)被加密。以圖片為例，查看電腦中的圖片，發(fā)現(xiàn)圖片文件已經(jīng)被勒索軟件通過WindowsCryptoAPI進(jìn)行AES+RSA的組合加密，并且后綴名改為了“*.WNCRY”。此時(shí)如果點(diǎn)擊勒索界面的decrypt，會(huì)彈出解密的框，但只有受害者繳納贖金后，才可以解密。此外，安全研究人員還發(fā)現(xiàn)，不法分子是通過“115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn”、“12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw”、“13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94”等三個(gè)賬號(hào)隨機(jī)選取一個(gè)作為錢包地址，收取非法錢財(cái)。

目前來看，此次全球突發(fā)比特幣病毒瘋狂襲擊公共和商業(yè)系統(tǒng)事件，英國各地超過40家醫(yī)院遭到大范圍網(wǎng)絡(luò)黑客攻擊，國家醫(yī)療服務(wù)系統(tǒng)(NHS)陷入一片混亂。中國多個(gè)高校校園網(wǎng)也集體淪陷。據(jù)悉，目前至少有150個(gè)國家受到網(wǎng)絡(luò)攻擊，受害人數(shù)多達(dá)20萬人，并且影響還在持續(xù)中。截至14日10時(shí)30分，國家互聯(lián)網(wǎng)應(yīng)急中心已監(jiān)測到約242.3萬個(gè)IP地址遭受“永恒之藍(lán)”漏洞攻擊；被該勒索軟件感染的IP地址數(shù)量近3.5萬個(gè)，其中中國境內(nèi)IP約1.8萬個(gè)。

安防實(shí)力企業(yè)快速應(yīng)對(duì) 彰顯企業(yè)責(zé)任

前些年在安防廠商大力推廣下，網(wǎng)絡(luò)監(jiān)控已經(jīng)趨于成熟并在國內(nèi)取代模擬監(jiān)控普及到各個(gè)領(lǐng)域。從目前來看報(bào)道來看，國內(nèi)網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)并沒有受到大面積的WannaCry病毒攻擊。為了用戶的安全起見，國內(nèi)眾多安防廠商紛紛第一時(shí)間做出反應(yīng)，通過優(yōu)化網(wǎng)絡(luò)入口，加固系統(tǒng)安全，全力保障用戶系統(tǒng)安全。由于病毒傳播速度快，如何第一時(shí)間做出正確的反應(yīng)，就可以最大限度保證用戶的系統(tǒng)安全，彰顯企業(yè)全力維護(hù)用戶利益，把客戶放在第一的理念。

華為安防

華為安防在病毒爆發(fā)第一天主動(dòng)升級(jí)IPS特征庫及防火墻，同時(shí)發(fā)布解決方案，協(xié)助公安、交警等關(guān)鍵系統(tǒng)的客戶進(jìn)行視頻監(jiān)控平臺(tái)業(yè)務(wù)遷移，快速把目前因病毒影響而宕機(jī)、主動(dòng)關(guān)機(jī)的Windows平臺(tái)業(yè)務(wù)進(jìn)行遷移接管，通過有效的防護(hù)手段全力保障社會(huì)公共安全系統(tǒng)的穩(wěn)定運(yùn)行。

在技術(shù)方面，由于華為視頻監(jiān)控解決方案中的核心設(shè)備視頻云節(jié)點(diǎn)(VCN)和視頻智能分析云平臺(tái)(VCM)均采用Linux操作系統(tǒng)，可以從容應(yīng)對(duì)本次突然爆發(fā)的安全危機(jī)，保障全球數(shù)百個(gè)平安城市系統(tǒng)的正常運(yùn)行。

除去Linux系統(tǒng)以外，華為視頻監(jiān)控云平臺(tái)在針對(duì)病毒攻擊時(shí)還設(shè)計(jì)了多項(xiàng)預(yù)防機(jī)制，用以保障系統(tǒng)的穩(wěn)定安全，華為關(guān)閉了不需要使用的端口，最大限度的降低了被攻擊的風(fēng)險(xiǎn)。其次業(yè)務(wù)系統(tǒng)運(yùn)行程序去root化處理，文件權(quán)限也最小化。這種機(jī)制保障了當(dāng)系統(tǒng)被入侵后，想要再度展開對(duì)于全系統(tǒng)乃至全網(wǎng)的深度攻擊，難度會(huì)大大增加。

宇視科技

宇視科技在5月13日召集安全專家和產(chǎn)品研發(fā)專家評(píng)估安全形勢，同時(shí)宇視成立了總裁為組長的應(yīng)急售后保障小組，對(duì)用戶實(shí)際業(yè)務(wù)影響做全面的實(shí)際測試驗(yàn)證，當(dāng)天宇視針對(duì)本次安全事件的發(fā)布完整方案，公司600余名技術(shù)服務(wù)部工作人員全部就位，參與到用戶的應(yīng)急保障行動(dòng)中。

宇視科技研發(fā)總裁王玉波針對(duì)此次WannaCry病毒攻擊事件表示：“宇視在初期投入150人，耗時(shí)兩年完成IMOS核心平臺(tái)構(gòu)建，并持續(xù)加大投入進(jìn)行優(yōu)化和技術(shù)迭代，至今研發(fā)投入累計(jì)超萬人月。IMOS作為跨平臺(tái)的系統(tǒng)，移植到Windows是相對(duì)容易的選項(xiàng)，內(nèi)部也曾有討論和爭執(zhí)，但近幾年的安全事件肯定了宇視堅(jiān)持目前的道路，始終把系統(tǒng)可靠性、數(shù)據(jù)安全性放于最高位置?！蓖瑫r(shí)表示宇視科技愿與安防同行共同應(yīng)對(duì)網(wǎng)絡(luò)安全的威脅和挑戰(zhàn)，共同維護(hù)安防行業(yè)的信息安全。

天地偉業(yè)

天地偉業(yè)在病毒爆發(fā)當(dāng)天，就天地云監(jiān)控系統(tǒng)針對(duì)系統(tǒng)網(wǎng)絡(luò)環(huán)境進(jìn)行了深度優(yōu)化，只保留了內(nèi)部通訊所必需的網(wǎng)絡(luò)端口，關(guān)閉了不需要使用的端口，最大限度的降低了被攻擊的風(fēng)險(xiǎn)。同時(shí)天地系統(tǒng)對(duì)系統(tǒng)權(quán)限和文件權(quán)限進(jìn)行了深度優(yōu)化。這種機(jī)制極大限度了避免系統(tǒng)被入侵。即使在系統(tǒng)被入侵情況下，對(duì)手也很難對(duì)系統(tǒng)及整個(gè)網(wǎng)絡(luò)進(jìn)行深度攻擊。

另外，天地偉業(yè)在數(shù)字產(chǎn)品、視頻監(jiān)控平臺(tái)均嵌入信息安全加密模塊，從前端設(shè)備到平臺(tái)的媒體數(shù)據(jù)全部加密處理，保障了媒體數(shù)據(jù)內(nèi)容安全不外泄，即使有不法分子從網(wǎng)絡(luò)中截獲了數(shù)據(jù)也無濟(jì)于事。

小結(jié)

在互聯(lián)網(wǎng)技術(shù)高速發(fā)展的今天，以安全防范為核心的安防行業(yè)，在時(shí)刻保障城市安全運(yùn)行過程中也時(shí)刻受到網(wǎng)絡(luò)信息安全問題的困擾，尤其是近些年不斷曝出各種涉及安防產(chǎn)品的網(wǎng)絡(luò)信息安全事件，為行業(yè)發(fā)展敲響了警鐘，網(wǎng)絡(luò)安全問題的重要性已經(jīng)被提升到一個(gè)前所未有的新高度。

在6月1日《網(wǎng)絡(luò)安全法》即將施行前期，安防行業(yè)內(nèi)同行有必要以開放態(tài)度，通過多種平臺(tái)、渠道開展交流與合作，在組織流程、管理規(guī)范、技術(shù)標(biāo)準(zhǔn)等方面，共同應(yīng)對(duì)網(wǎng)絡(luò)安全的威脅和挑戰(zhàn)，共同維護(hù)安防行業(yè)的信息安全。
（來源：中國安防行業(yè)網(wǎng)）
文章鏈接：中國安防展覽網(wǎng) http://www.afzhan.com/news/detail/55366.html