2017-《永恒之蓝勒索蠕虫应急响应调研分析报告》

政企机构“永恒之蓝”勒索蠕虫应急响应调研分析报告 360 威胁情报中心 360 安全监测与响应中心 2017.7 目录背景介绍........................................................................................................................................... 1 一、 Wannacry 渗透内网原因分析 ....................................................................................... 1 （一）一机双网缺乏有效管理 ................................................................................... 1 （二）缺陷设备被带出办公区 ................................................................................... 2 （三）协同办公网络未全隔离 ................................................................................... 2 （四）防火墙未关闭 445 端口 ................................................................................... 3 （五）办公网与生活网未隔离 ................................................................................... 3 （六）外网设备分散无人管理 ................................................................................... 3 二、中招企业现存典型问题分析 ........................................................................................... 3 （一）意识问题 ........................................................................................................... 3 （二）管理问题 ........................................................................................................... 4 （三）技术问题 ........................................................................................................... 5 三、优秀典型企业成功经验分析 ........................................................................................... 6 四、永恒之蓝勒索蠕虫最新攻击 ........................................................................................... 8 背景介绍 2017 年 5 月，影响全球的永恒之蓝勒索蠕虫（Wannacry）大规模爆发后，有两个重要问题一直让很多我国政企机构管理者和安全从业者感到困惑：一个是内网穿透问题，一个是同业差距问题。 1）内网穿透问题 Wannacry 传播和攻击的一个明显的特点，就是内网设备遭感染的情况要比互联网设备遭感染的情况严重得多。虽然说，未打补丁是内网设备中招根本原因，但 Wannacry 究竟是如何穿透的企业网络隔离环境，特别是如何穿透了物理隔离的网络环境，一直是令业界困惑的问题。 2）同业差距问题 Wannacry 传播和攻击的另外一个重要特点，就是有些机构大面中招，而有些机构则几乎无一中招。而且，即便是在同行业、同规模、同级别，甚至是安全措施都差不太多的大型政企机构中，也是有的机构全面沦陷，有的机构就安然无事。究竟是什么原因导致这种天差地别的结果呢？为能深入研究上述两个问题，寻找国内政企机构安全问题的症结所在及有效的解决途径， 360 威胁情报中心联合 360 安全监测与响应中心，对 5 月 12 日-5 月 16 日间，国内 1700 余家大中型政企机构的网络安全应急响应情况进行了抽样调研。并对上述问题得出了一些初步结论。一、 Wannacry 渗透内网原因分析从震网病毒开始，人们就已经充分的认识到：U 盘可以作为病毒的摆渡实现内网渗透。但此次永恒之蓝勒索除虫的传播，完全不依赖于 U 盘，但仍然非常成功渗透到了很多机构内网中，特别是渗透进如了大量物理隔离的网络中。这就使我们又要重新认识网络的隔离与边界问题。此次调研显示，在大量感染 Wannacry 的机构案例中，病毒能够成功入侵政企机构内部网络，主要原因有以下几类：（一）一机双网缺乏有效管理一机双网或一机多网问题，是此次 Wannacry 能够成功入侵物理隔离网络的首要原因。所以一机双网问题，是指一台电脑设备即连接在物理隔离的网络中，同时又直接与互联网或其他网络相连的问题。这种情况的出现，会导致病毒首先通过互联网感染某台设备，随后再通过这台染毒设备攻击内网系统中的其他设备。造成这种情况的主要原因是：使用隔离网设备的员工缺乏安全意识，无视机构内部的管理规定，私搭网络连接互联网。从技术上来说，一机双网问题，又可以分为有线外连和无线外连两种。有线外连的情况主要发生在提供双网接入的机构。这些机构本身就在办公场所的墙面上 1 提供了互联网插口和内网插口这两个插口，并且为部分员工提供了两台工作机：上网机和内网机。但问题主要发生在那些只有内网机的员工身上。这些员工往往耐不住寂寞，就会私自用网线将内网机与互联网插口相连。调研显示，员工将内网机连上互联网后，最主要的用途是上网购物和聊天，还有一些人会去浏览色情网站。而浏览色情网站给内网造成的安全风险最大。无线外连的情况在企业外协、供应商或临时工中最常发生。这些人会由于自身工作或生活需要，用手机等设备私自搭建 WiFi 热点，之后将与内网相连的电脑设备链接到 WiFi 热点上，从而实现了一机双网。此外，我们也发现有少量企业员工会在内网机上插入随身 WiFi 等即插即用的网卡设备，之后再将内网机与手机热点相连。一机双网或一机多网问题，反应出企业网络安全管理的多方面问题：首先是员工安全教育与安全管理不到位，安全管理规定形同虚设；其次是企业缺乏足够有效的技术手段来管理一机双网问题。而实际上，无论是用终端安全管控设备、边界安全管理设备，还是无线安全管理设备（可以禁止非法 WiFi 热点），要解决类似问题都不太困难，而且市场上已经有很多成熟的解决方案了，只是很多企业没有意识到相关风险的存在，未采购相关产品及技术系统，或是未能正确使用相关产品及技术系统。（二）缺陷设备被带出办公区将未打补丁，或有安全缺陷的设备带出办公场所，并与互联网相连，是此次 Wannacry 感染内网设备的第二大主要原因。 Wannacry 爆发初期，时逢“一带一路”大会前夕。很多机构在此期间进行了联合集中办公，其中就不乏有机构将内部办公网上电脑设备被搬到了集中办公地点使用。这些电脑日常缺乏有效维护，未打补丁，结果不慎与互联网相连时就感染了 Wannacry。而这些被带出办公区的缺欠电脑，又由于工作需要，持续的，或不时的会通过 VPN、专线等方式与机构内网相连，于是又将 Wannacry 感染到了机构的内网设备中。（三）协同办公网络未全隔离这是一类比较特殊的问题，但在某些政企机构中比较突出。即，某些机构在其办公系统或生产系统中，同时使用了多个功能相互独立，但又需要协同运作的网络系统；而这些协同工作的网络系统中至少有一个是可以与互联网相连的，从而导致其他那些被“物理隔离”的网络，在协同工作过程中，因网络通信而被病毒感染。从几个因存在此问题感染 Wannacry 的网络系统实例来看，这种安全隐患并非不可避免。因为在实际办公或生产环境中，几个需要协同工作的相互独立的网络系统之间，实际上真正需要进行通信传输的信息类型是十分有限的。所以，如果网络的设计者或管理者能够提前关闭不必要的协议和接口，只保留协同工作所必须的信令信息，则完全可以避免类似 Wannacry 这样的攻击。还有一些更加突出的问题，就是有个别企业为了开发方便，直接在生产系统中大量使用 445 端口进行共享功能的开发，这种显而易见的安全隐患，也使得相关机构成为 Wannacry 攻击的重灾区，并且只能通过大规模的终端业务来进行应急处置。 2 （四）防火墙未关闭 445 端口这一问题主要发生在政企机构内部的不同子网之间，大型政企机构，或存在跨地域管理的政企机构之中，发生此类问题的较多。一般来说，企业使用的防火墙设备，大多会对互联网访问关闭 445 端口。但很多企业在内部多个子网系统之间的防火墙（内部防火墙）上，却没有关闭 445 端口。从而导致这些政企机构内部的某个子网中一旦有一台设备感染了 Wannacry（可能是前述任何一种原因），病毒就会穿透不同子网之间防火墙，直接对其他子网系统中的设备发动攻击，最终导致那些看起来相互隔离的多个子网系统全部沦陷，或者是分布在全国各地的办公区均有电脑大面积沦陷的情况发生。甚至有个别企业的共享服务器被感染后，直接导致其在各地分支机构的网络设备全部中招。但显然，从生产需求的角度看，不同子网之间，特别是不同地区分支机构的网络之间，开放 445 端口是没有太大意义的，理应全面关闭。（五）办公网与生活网未隔离这一问题在某些超大型政企机构中比较突出。受到历史、地理等复杂因素的影响，这些机构大多自行建设了规模非常庞大的内部网络，而且这些网络本身并未进行非常有效的功能隔离。特别是这些企业在办公区附近自建的家属楼、饭店、网吧，及其他一些娱乐场所，其网络也往