千家信息网

记录一次勒索病毒漏洞扫描发现过程

发表于:2024-11-21 作者:千家信息网编辑
千家信息网最后更新 2024年11月21日,2017年5月,勒索病毒爆发,主要是通过windows主机相应的漏洞进行感染记录当时使用防火墙日志软件搜寻存在漏洞和疑似中毒的过程公网地址已经作废某单位业务系统漏洞分析报告中青在线5月13日电(中国青
千家信息网最后更新 2024年11月21日记录一次勒索病毒漏洞扫描发现过程

2017年5月,勒索病毒爆发,主要是通过windows主机相应的漏洞进行感染
记录当时使用防火墙日志软件搜寻存在漏洞和疑似中毒的过程
公网地址已经作废

某单位业务系统漏洞分析报告
中青在线5月13日电(中国青年报·中青在线记者潘圆)针对5月12日开始在全球爆发的Wannacry(永恒之蓝)勒索蠕虫***,今天国家网络与信息安全信息通报中心发布紧急通报。通报称,"我国部分Windows系列操作系统用户已经遭到感染。改病毒主要通过SMB文件共享协议进行传播。
周末,"永恒之蓝"病毒席卷全球,为避免病毒对广电工作产生影响,武汉本公司公司维护人员在5月13日周六,紧急对某单位系统进行了漏洞分析,分析结果如下:
1、防火墙策略正常,被***端口处于被保护状态;
2、因内网服务器众多,分属各维护单位,只能从网络层面进行检查,发现有一台服务器疑似中毒,并及时通知服务器负责人员,告知检测结果和防范方法。
为防止意外发生,本公司公司维护人员5月15日第一时间到现场进行支持,避免病毒对业务的产生影响,同时建议单位通知各维护单位和个人及时更新补丁,注意设备使用安全。
下面是本次病毒的防范方法和我公司对系统漏洞分析的过程,并在最后对疑似中毒服务器给出解决建议。

1.防范方法

1.1.更新补丁

https://technet.microsoft.com/zh-cn/library/security/MS17-010.aspx,下载该补丁更新。

1.2.使用防火墙

使用防火墙关闭(包括虚拟机)445,135,137,138,139等端口

1.3.关闭计算机server服务

在计算机管理中,点击服务,关闭或禁用"server"服务。

1.4.更新杀毒软件

更新杀毒软件病毒库,进行软件杀毒。

2.漏洞分析

2.1.分析外网映射端口

使用端口扫描软件,查看公网端口映射中是否存在445,135,137,138,139这些高危端口。
:襄阳联通58.19.180.80/30,端口扫描结果如下:

(图:襄阳联通端口扫描结果)
可见在襄阳联通公网对外映射端口不存在漏洞端口。
对上海富亚公网1.82.184.76/30端口扫描结果如下:

(图:上海富亚公网端口扫描结果)
可见上海富亚公网对外映射端口不存在漏洞端口。

2.2.目的流量分析

查询最近3天内,5月11日到5月13日内网流量进行分析查看,看是否有存可疑源地址和目的地址的流量。
三天内查看外网访问目的地址流量排行,查看是否有使用tcp 445,136,137,138,139端口的异常流量。

(图:目的地址流量查看1)

(图:目的地址流量查看2)
根据分析,在最近三天内没有发现使用高危端口目的流量。

2.3.源流量分析

查询最近3天内,5月11日到5月13日内网流量进行分析查看,看是否有存可疑源地址和目的地址的流量。

(图:源流量分析1)
可见,没有异常的源地址流量。

2.4.应用分析

查询最近3天内,5月11日到5月13日内网应用情况。

(图:应用查看1)
查看tcp 445,136,137,138,139端口使用的应用:

(图:查看高危端口的应用)
可见,没有相关tcp 445,136,137,138,139端口的应用。

2.5.查看SMB服务的策略流量

查询最近3天内,5月11日到5月13日内网协议SMB的情况。

(图:SMB协议使用情况)

(图:172.31.215.4使用SMB协议情况)
可见IP为172.31.215.4的主机SMB协议开启,使用445端口。目标地址为国外各个地址,有美国,日本,英国等。基本判断内网中172.31.215.4这台主机有疑似迹象。

(图:172.31.215.4登录界面)
虽然该主机使用SMB服务发送流量,但是被防火墙策略阻拦,被限制住,没有影响内网安全。

(图:172.31.215.4主机MAC地址为00-ff-0b-80-b9-89)

(图:mac地址查询信息)
3.结论
1)172.31.215.4有漏洞迹象,疯狂发送SMB服务;
2)内网没有发现其他漏洞迹象;
3)防火墙策略阻止了病毒的影响;
4)172.31.215.4这台主机的MAC地址为00-ff-0b-80-b9-89;
5)基本可以判断该主机使用时间较长。
4.建议解决办法
172.31.215.4这台主机不是虚拟机,而是实际服务器,使用者是网络信息部门,推测为传输设备网管服务器。
该服务器的情况未知,并没有登记在我们的维护清单中,不知晓账户密码。
登录该服务器,进行病毒查杀和更新补丁。

0