首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

巧设“蜜罐”,定位蓝屏攻击源

不过在问题的处理上,我们常见的作法是对所有的电脑进行打补丁、封端口和安装专业企业版杀毒软件,问题倒是得到了有效的解决,但对于一些客户尤其是大型客户,这样的操作虽然能彻底解决问题,并不能迅速定位和解决问题,如果能快速定位攻击源,并对这些中毒的电脑进行优先处理,那么无疑会大大降低这次攻击所带来的危害。

下面是我今天处理的一个用户的例子,希望能为大家提供一个解决问题的思路:

情况描述:某单位从昨天开始,收款机的服务器开始出现蓝屏重启的现象,开始以为是硬件故障,于是晚上做了一些处理,如主板除尘、内存条插拔、CPU降温等措施,结果今天又频繁蓝屏,大约十几分钟就要蓝屏一次,频繁的蓝屏导致收款业务受到严重影响。用户怀疑可能是病毒原因,于是联系到了我。

问题分析:根据症状描述,结合最近在其他单位遇到的同样问题,可以初步判定为局域网内存在ShadowBrokers病毒,该病毒利用微软的MS17-010漏洞,通过UDP协议攻击局域网内的其他机器的445端口,如果网络内的电脑没有安装补丁,就会出现频繁的重启现象(该病毒和攻击的详细情况,参看《小心,一大波病毒来袭!!》)。因为该服务器为WINDOWS2000 SERVER操作系统,该系统早已不在微软的服务支持列表中,因此也没有发布针对该系统的补丁程序,导致该服务器频繁重启。

解决办法:要彻底解决这次攻击带来的危害,需要找到攻击源,在终端上安装杀毒软件彻底删除病毒体,同时开启主机防火墙,关闭445端口。为了快速定位攻击源,我们在网络内找了几个和重启服务器同网段的终端,在终端上安装卡巴斯基企业防病毒软件客户端。并故意打开系统的445端口(卡巴斯基默认开启防火墙并关闭445端口)并记录所有行为,同时开启“反网络攻击”功能,将这几台终端设计为一个“蜜罐”,以吸引病毒攻击。

大约一个小时之后,我们在报告中就发现了来自几个终端的攻击记录。

根据IP,我们找到了其中的一台,经检查,该电脑不属于该单位所有,而是属于停车场管理公司,但接入该单位网络读取数据,以实现数据共享,该机器为WIN7操作系统,未更新SP1补丁,因此也无法安装MS17-010补丁,在这台电脑上,安装的有某免费的杀毒软件,提示发现ShadowBrokers病毒,并已删除,但检查后发现实际上该病毒一直存在,并在后台不断的发送攻击数据包,通过本地端口攻击遍历攻击局域网内的其他电脑的445端口(遍历一次的时间应该是服务器重启的时间间隔)。

因为该电脑为停车场监控电脑,正是业务高峰期,不能重启,也就无法安装补丁和杀毒软件。因此暂时采取了措施,打开了本机防火墙,阻止了本机对远程445端口的访问。同时准备了一台备用机,安装好补丁和卡巴斯基杀毒软件后,等晚上下班后进行主机替换。

安全建议:

1、网络内所有的电脑安装MS17-010补丁。注意有些系统要求必须先安装SP1补丁后才可以安装该补丁。

2、关闭本机的UDP和TCP的445端口,也禁止对远程电脑的445进行访问。

3、安装专业的企业级杀毒软件,要具备防火墙功能和反网络攻击功能。

4、进行系统和数据备份。

5、对网络内所有的接入电脑进行如上的安全防护。对于非本单位但接入本单位网络的电脑要有相应的隔离措施,如防火墙,并进行协议、端口以及访问目标计算机的限制。

关于这个攻击的几点说明:

1、蓝屏的电脑上不一定感染了病毒。是因本机没有打补丁而被攻击。

2、中毒的电脑不一定会蓝屏。中毒的电脑主要是对外发起攻击,并不会造成自身的重启。除非自身没有打补丁,而网络内还有别的电脑中毒发起攻击导致自身被攻击而蓝屏。

3、打过补丁不代表不会中病毒。病毒的感染途径有很多,比如U盘、比如内外网互联。

4、关闭端口不代表不会被攻击。攻击行为是病毒发起的,端口只是攻击的途径。

5、事实上,你很难做到为每一台终端打上补丁。如操作系统版本的问题、盗版的问题等。

6、事实上,你很难关闭每一台电脑的139\445\3389等,且不说病毒攻击的端口会变,即使不变,这些端口你还有其他用途,如果把每一个端口都关了,网络也就不能用了。

7、事实上,任何杀毒软件都不可能承诺你100%的防范所有的病毒和攻击。道高一尺魔高一丈。当然好的专业的杀毒软件和普通的还是有很大区别的。

综上所述,安全事故不可避免,不是会不会发生的问题,而是什么时候发生的问题。我们要做的是:

1、提前做好安全防范措施。要做到防患于未然,未雨绸缪。

2、任何的安全措施都不能保证100%安全,多考虑一些万一的情况,做好应急预案。

欢迎关注:大兵说安全

如果你觉得本文对你有价值,欢迎打赏

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180212G01EZJ00?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券