WannaCry勒索病毒橫行 安防實力企業(yè)如何快速應對

【中國安防展覽網(wǎng) 企業(yè)關(guān)注】 2017年5月12日，WannaCry蠕蟲通過MS17-010漏洞在全球范圍大爆發(fā)，感染了大量的計算機，該蠕蟲感染計算機后會向計算機中植入敲詐者病毒，導致電腦大量文件被加密。受害者電腦被黑客鎖定后，病毒會提示支付價值相當于300美元(約合人民幣2069元)的比特幣才可解鎖。

2017年5月14日，監(jiān)測發(fā)現(xiàn)，WannaCry勒索病毒出現(xiàn)了變種：WannaCry2.0，與之前版本的不同是，這個變種取消了KillSwitch，不能通過注冊某個域名來關(guān)閉變種勒索病毒的傳播，該變種傳播速度可能會更快。

WannaCry勒索病毒橫行 安防實力企業(yè)如何快速應對

WannaCry勒索病毒攻擊過程及造成危害

據(jù)騰訊安全反病毒實驗室安全研究人員分析發(fā)現(xiàn)，此次勒索事件與以往相比最大的區(qū)別在于，勒索病毒結(jié)合了蠕蟲的方式進行傳播，傳播方式采用了前不久NSA被泄漏出來的MS17-010漏洞。在NSA泄漏的文件中，WannaCry傳播方式的漏洞利用代碼被稱為“EternalBlue”，所以也有的報道稱此次攻擊為“永恒之藍”。

據(jù)了解，MS17-010漏洞指的是攻擊者利用該漏洞，向用戶機器的445端口發(fā)送精心設(shè)計的網(wǎng)絡數(shù)據(jù)包文，實現(xiàn)遠程代碼執(zhí)行。如果用戶電腦開啟防火墻，也會阻止電腦接收445端口的數(shù)據(jù)。但是在中國高校內(nèi)，同學之間為了打局域網(wǎng)游戲，有時需要關(guān)閉防火墻，這也是此次事件在中國高校內(nèi)大肆傳播的原因。

安全研究人員指出，勒索病毒被漏洞遠程執(zhí)行后，會從資源文件夾下釋放一個壓縮包，此壓縮包會在內(nèi)存中通過密碼“WNcry@2ol7”解密并釋放文件。這些文件包括了后續(xù)彈出勒索框的exe，桌面背景圖片的bmp，輔助攻擊的兩個exe文件以及含有各國語言的勒索字體。這些文件會釋放到本地目錄，并設(shè)置為隱藏。其中“u.wnry*”就是后續(xù)彈出的勒索窗口，而在窗口右上角的語言選擇框中，可以針對不同國家的用戶進行定制的展示，這些字體的信息也存在于之前資源文件釋放的壓縮包中。

通過分析病毒，安全研究人員進一步發(fā)現(xiàn)，含有txt、doc、ppt、xls等后綴名類型的文件會被加密。以圖片為例，查看電腦中的圖片，發(fā)現(xiàn)圖片文件已經(jīng)被勒索軟件通過WindowsCryptoAPI進行AES+RSA的組合加密，并且后綴名改為了“*.WNCRY”。此時如果點擊勒索界面的decrypt，會彈出解密的框，但只有受害者繳納贖金后，才可以解密。此外，安全研究人員還發(fā)現(xiàn)，不法分子是通過“115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn”、“12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw”、“13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94”等三個賬號隨機選取一個作為錢包地址，收取非法錢財。

目前來看，此次全球突發(fā)比特幣病毒瘋狂襲擊公共和商業(yè)系統(tǒng)事件，英國各地超過40家醫(yī)院遭到大范圍網(wǎng)絡黑客攻擊，國家醫(yī)療服務系統(tǒng)(NHS)陷入一片混亂。中國多個高校校園網(wǎng)也集體淪陷。據(jù)悉，目前至少有150個國家受到網(wǎng)絡攻擊，受害人數(shù)多達20萬人，并且影響還在持續(xù)中。截至14日10時30分，國家互聯(lián)網(wǎng)應急中心已監(jiān)測到約242.3萬個IP地址遭受“永恒之藍”漏洞攻擊；被該勒索軟件感染的IP地址數(shù)量近3.5萬個，其中中國境內(nèi)IP約1.8萬個。

安防實力企業(yè)快速應對 彰顯企業(yè)責任

前些年在安防廠商大力推廣下，網(wǎng)絡監(jiān)控已經(jīng)趨于成熟并在國內(nèi)取代模擬監(jiān)控普及到各個領(lǐng)域。從目前來看報道來看，國內(nèi)網(wǎng)絡視頻監(jiān)控系統(tǒng)并沒有受到大面積的WannaCry病毒攻擊。為了用戶的安全起見，國內(nèi)眾多安防廠商紛紛第一時間做出反應，通過優(yōu)化網(wǎng)絡入口，加固系統(tǒng)安全，全力保障用戶系統(tǒng)安全。由于病毒傳播速度快，如何第一時間做出正確的反應，就可以最大限度保證用戶的系統(tǒng)安全，彰顯企業(yè)全力維護用戶利益，把客戶放在第一的理念。

華為安防

華為安防在病毒爆發(fā)第一天主動升級IPS特征庫及防火墻，同時發(fā)布解決方案，協(xié)助公安、交警等關(guān)鍵系統(tǒng)的客戶進行視頻監(jiān)控平臺業(yè)務遷移，快速把目前因病毒影響而宕機、主動關(guān)機的Windows平臺業(yè)務進行遷移接管，通過有效的防護手段全力保障社會公共安全系統(tǒng)的穩(wěn)定運行。

在技術(shù)方面，由于華為視頻監(jiān)控解決方案中的核心設(shè)備視頻云節(jié)點(VCN)和視頻智能分析云平臺(VCM)均采用Linux操作系統(tǒng)，可以從容應對本次突然爆發(fā)的安全危機，保障全球數(shù)百個平安城市系統(tǒng)的正常運行。

除去Linux系統(tǒng)以外，華為視頻監(jiān)控云平臺在針對病毒攻擊時還設(shè)計了多項預防機制，用以保障系統(tǒng)的穩(wěn)定安全，華為關(guān)閉了不需要使用的端口，最大限度的降低了被攻擊的風險。其次業(yè)務系統(tǒng)運行程序去root化處理，文件權(quán)限也最小化。這種機制保障了當系統(tǒng)被入侵后，想要再度展開對于全系統(tǒng)乃至全網(wǎng)的深度攻擊，難度會大大增加。

宇視科技

宇視科技在5月13日召集安全專家和產(chǎn)品研發(fā)專家評估安全形勢，同時宇視成立了總裁為組長的應急售后保障小組，對用戶實際業(yè)務影響做全面的實際測試驗證，當天宇視針對本次安全事件的發(fā)布完整方案，公司600余名技術(shù)服務部工作人員全部就位，參與到用戶的應急保障行動中。

宇視科技研發(fā)總裁王玉波針對此次WannaCry病毒攻擊事件表示：“宇視在初期投入150人，耗時兩年完成IMOS核心平臺構(gòu)建，并持續(xù)加大投入進行優(yōu)化和技術(shù)迭代，至今研發(fā)投入累計超萬人月。IMOS作為跨平臺的系統(tǒng)，移植到Windows是相對容易的選項，內(nèi)部也曾有討論和爭執(zhí)，但近幾年的安全事件肯定了宇視堅持目前的道路，始終把系統(tǒng)可靠性、數(shù)據(jù)安全性放于最高位置?！蓖瑫r表示宇視科技愿與安防同行共同應對網(wǎng)絡安全的威脅和挑戰(zhàn)，共同維護安防行業(yè)的信息安全。

天地偉業(yè)

天地偉業(yè)在病毒爆發(fā)當天，就天地云監(jiān)控系統(tǒng)針對系統(tǒng)網(wǎng)絡環(huán)境進行了深度優(yōu)化，只保留了內(nèi)部通訊所必需的網(wǎng)絡端口，關(guān)閉了不需要使用的端口，最大限度的降低了被攻擊的風險。同時天地系統(tǒng)對系統(tǒng)權(quán)限和文件權(quán)限進行了深度優(yōu)化。這種機制極大限度了避免系統(tǒng)被入侵。即使在系統(tǒng)被入侵情況下，對手也很難對系統(tǒng)及整個網(wǎng)絡進行深度攻擊。

另外，天地偉業(yè)在數(shù)字產(chǎn)品、視頻監(jiān)控平臺均嵌入信息安全加密模塊，從前端設(shè)備到平臺的媒體數(shù)據(jù)全部加密處理，保障了媒體數(shù)據(jù)內(nèi)容安全不外泄，即使有不法分子從網(wǎng)絡中截獲了數(shù)據(jù)也無濟于事。

小結(jié)

在互聯(lián)網(wǎng)技術(shù)高速發(fā)展的今天，以安全防范為核心的安防行業(yè)，在時刻保障城市安全運行過程中也時刻受到網(wǎng)絡信息安全問題的困擾，尤其是近些年不斷曝出各種涉及安防產(chǎn)品的網(wǎng)絡信息安全事件，為行業(yè)發(fā)展敲響了警鐘，網(wǎng)絡安全問題的重要性已經(jīng)被提升到一個前所未有的新高度。

在6月1日《網(wǎng)絡安全法》即將施行前期，安防行業(yè)內(nèi)同行有必要以開放態(tài)度，通過多種平臺、渠道開展交流與合作，在組織流程、管理規(guī)范、技術(shù)標準等方面，共同應對網(wǎng)絡安全的威脅和挑戰(zhàn)，共同維護安防行業(yè)的信息安全。
（來源：中國安防行業(yè)網(wǎng)）
文章鏈接：中國安防展覽網(wǎng) http://www.afzhan.com/news/detail/55366.html