360虚拟化安全产品“永恒之蓝”应急响应方案

1.漏洞描述

1.1漏洞描述

2017年5月12日起，在国内外网络中发现爆发基于Windows网络共享协议进行攻击传播的蠕虫恶意代码，这是不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件。

目前发现的蠕虫会扫描开放445文件共享端口的Windows机器，无需用户任何操作，只要开机上网，不法分子就能在电脑和服务器中植入执行勒索程序、远程控制木马、虚拟货币挖矿机等恶意程序。

此蠕虫目前在没有对445端口进行严格访问控制的教育网、企业内网及业务外网大量传播，呈现爆发的态势，受感染系统会被勒索高额金钱，不能按时支付赎金的系统会被销毁数据造成严重损失。该蠕虫攻击事件已经造成非常严重的现实危害，各类规模的网络也已经面临此类威胁。

1.2影响范围

涉及开放445 SMB服务端口且没有及时安装安全补丁的客户端和服务器系统都将可能面临此威胁。

1.3建议处置办法

已购买我司虚拟化安全产品客户，建议立即配置防火墙相关策略；如未购买防火墙模块，可致电360服务热线：400-136-360获取帮助。

对于Win7及以上版本的操作系统，微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞，请立即安装此补丁。

补丁地址：https://technet.microsoft.com/zh-cn/library/security/MS17-010

2.应急方案 – 已购买防火墙模块的用户

对于Win7及以上版本的系统确认是否安装MS17-010补丁，如果没有安装则受威胁影响；Win7以下的Windows XP/2003没有补丁，只要开启SMB服务就会受到影响。

为了减少“永恒之蓝”带来的损失，我们建议客户首先对向外开放的445等共享端口进行防火墙阻断控制，并及时部署MS17-010补丁，同时升级IPS、应用识别等设备的特征库。

提醒：执行应急处置办法之前，请管理员先自行评估关闭135、137、138、139、445端口对业务是否带来影响。

2.1适用于以下虚拟化安全产品

版本

360虚拟化安全管理系统v6.0（轻代理型）

360虚拟化安全管理系统v6.1（轻代理型）

360虚拟化安全管理系统v7.0（轻代理型）

360虚拟化安全管理系统v6.1（无代理型）

2.2 360虚拟化安全管理系统v6.x（轻代理型）

在虚拟化安全V6.x版本控制中心，点击【策略】-【防火墙策略】-【策略模板】，新建策略模板SMB。

在【防火墙策略】-【防火墙规则】中新建规则。

配置参数：

优先级：建议最高

流向：设定为流入

协议：TCP

端口：135、137、138、139、445

远端IP：任意

远端端口：任意

进入【策略】-【分组策略】-【网络防护】，开启防火墙功能，并引用刚才创建的防火墙模板。

点击保存，并执行生效。

2.3 360虚拟化安全管理系统v7.x（轻代理型）

在虚拟化安全V7.x版本控制中心，点击【防火墙】”，新建策略模板SMB，并选择“新建防火墙配置”。

配置参数：

优先级：建议最高

流向：设定为流入

协议：TCP

端口：135、137、138、139、445

远端IP：任意

远端端口：任意

设置好策略好，将规则开启。

并到【主机策略】-【分组策略】中确认防火墙功能是否开启，将防火墙策略模板调整到SMB策略模板即可完成应急处置。

2.4 360虚拟化安全管理系统v6.1（无代理型）

在虚拟化安全V6.1无代理版本控制中心，点击【安全策略】-【安全配置】”，新建安全配置。

点击【新建防火墙规则】

配置参数：

方向：设定为入站

动作：组织

协议：TCP

本地IP信息

本地端口信息：135、137、138、139、445

远端IP信息：所有

远端端口信息：所有

设置完防火墙规则后，点击“确定”。并调整优先级为置顶，最后点击“保存”。

3.应急方案 – 未购买防火墙模块的用户

1.开始菜单->运行，输入gpedit.msc回车。打开组策略编辑器

2.在组策略编辑器中，计算机配置->windows设置->安全设置->ip安全策略 下，在编辑器右边空白处鼠标右键单击，选择“创建IP安全策略”

3.下一步->名称填写“封端口”，下一步->下一步->勾选编辑属性，并点完成

4.去掉“使用添加向导”的勾选后，点击“添加”

5.在新弹出的窗口，选择“IP筛选列表”选项卡，点击“添加”

6.在新弹出的窗口中填写名称，去掉“使用添加向导”前面的勾，单击“添加”

7. 在新弹出的窗口中，“协议”选项卡下，选择协议和设置到达端口信息，并点确定。

8.重复第7个步骤，添加TCP端口135、139、445。添加UDP端口137、138。添加全部完成后，确定。

9.选中刚添加完成的“端口过滤”规则，然后选择“筛选器操作”选项卡。

10.去掉“使用添加向导”勾选，单击“添加”按钮

11.选择“阻止”

12.选择“常规”选项卡，给这个筛选器起名“阻止”，然后点击“确定”。

13.确认“IP筛选列表”选项卡下的“端口过滤”被选中。确认“筛选器操作”选项卡下的“阻止”被选中。然后点击“关闭”。

14.确认安全规则配置正确。点击确定。

15.在“组策略编辑器”上，右键“分配”，将规则启用。

4.附录 – 查看445端口是否开放

1.查看445端口是否关闭的方法：

2.打开开始菜单---点击运行----输入cmd---点击确定

3.输入命令：netstat -an 回车

4.查看结果中是否还有445端口