017/5/12 晚,面積暴發。比病毒爆發更火的,則是各類關于此病毒的新聞、解決方法在朋友圈等社交媒體的爆發。
其中,有主觀善意但客觀有失偏頗的指導,更有夾帶私貨的安全軟件商攜各類工具的廣告宣傳,以及各大小 IT 公司借此做的宣傳。
一時間,眾多群眾不知所措,戰戰兢兢;不惜在自己的網絡中將各種帖子所支招數悉數執行一遍,導致業務中斷。
我在朋友圈中已多次發帖,探討和指導應對。但依然看到大家的無所適從。
為此,我整理一下思路,做一下總結說明。
本文主要包括如下部分:
你可以參照上述建議操作,如需了解技術細節,請繼續下文。
這次病毒是利用微軟 Windows SMB v1 的漏洞進行傳播并遠程執行代碼,對計算機中的文檔進行加密。
病毒于 2017/5/12 大面積暴發。
微軟于 2017/3/14 發布了安全公告和安全更新。 鏈接地址:
Microsoft 安全公告 MS17-010 – 嚴重
MS17-010:Windows SMB 服務器安全更新
另外,微軟對于已經停止服務的XP和Win2003也提供了補丁,鏈接為https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
由于大家平常不看這樣的微軟官方技術文檔,所以可能有些讀不懂。不用擔心,根據你的操作系統版本,選擇相應的補丁即可。
就用上面鏈接的第一個文檔安全公告為主來說吧:
文檔表中每一個操作系統下面,有好幾個鏈接,分為如下幾方面:
僅此一頁足矣。有朋友打電話過來說補丁裝不上,就是因為沒有選對。
企業當然不能像個人一樣一臺臺打補丁。
你需要一臺補丁服務器。建議部署微軟的 WSUS 服務 。
其基本原理就是:企業內部的所有客戶機將更新源指向 WSUS 服務器,WSUS 服務器將更新源指向微軟補丁服務器。
根據企業規模及IT管理模式,WSUS服務器可以配置為層次結構,可以配置補丁分發策略,可以對補丁進行審批操作等。
具體請參見Windows Server Update Services 概述 ,此不贅述。哦,贅述一下,這個服務是免費的,(好像反而不好立項是吧),不過請專業的微軟解決方案合作伙伴實施服務是收費的。
當然也可以使用第三方專業公司的補丁服務。可以是真正專業的產品或者上級指定的產品。
除非你知道會發生什么,否則不要隨意關閉端口。 以下內容節選自 比我上面自吹的資歷還深的朋友 MVP 胡浩 的文章《抵抗勒索病毒的正確姿勢——不要上來就封端口!》 中的重點內容:
剛剛過去的這個周末,朋友圈一定被勒索病毒刷屏了~
看到一堆人告訴別人封鎖 135-139,445 端口,作為一個修過無數 AD 復制問題,客戶端無法登錄或者使用域資源問題的老司機,我想問問,您真的知道這些端口是干嘛的么?
端口使用的官方網頁請看這里: Port Assignments for Well-Known Ports
請仔細閱讀和確認有關135,136,137,138,139,445端口的作用,如果不確定是否需要這些端口完成正常的域登錄、訪問域資源、DC間檢測復制等等,請謹慎封鎖端口!
最大的危害不在于立即出現的故障,而在于90天或者180天之后出現的大量AD復制錯誤,修復這些問題比你想想的更復雜。
請不要受一些非專業的安全文檔或者一些不明來源的信息的蠱惑,安裝一堆亂七八糟的軟件。
這次事件很清楚,微軟知道了產品漏洞,并立即發布了補丁。兩個月后,惡意黑客利用此漏洞開發出 WannaCry 病毒。
我們只需要按微軟建議打補丁即可。因為你用的是微軟的 Windows。
當然,360 們 也不是一無是處,他們大致在做兩件事:
如果你喜歡 360,我沒說一定讓你卸載。只是我個人不喜歡而已。剛剛一個朋友告知找不到補丁,我發現他是 XP SP2,而微軟即便緊急發布了本已不支持的 WinXP 的補丁,也只支持到 32位 WinXP sp3 和 64 位 WinXP sp2 。這種情況,可能 360 存著 XP SP3 安裝包,可以試試,我沒做了解。
我們相信國際專業的網絡安全公司是優秀的、偉大的。
但我們也看到一些不專業的公司的問題。他們推出一些所謂電腦管家之類的工具,做出一些優化性能、提升安全的功能,關閉了一些他們不懂的服務與端口,導致系統出現許多莫名其妙的問題。
如果不是他們隨意建議用戶關閉自動更新服務、接管 Windows 自帶的反病毒軟件 MSE 或 Defender、接管 Windows 防火墻,可能也不會有這么多電腦受到感染。
如果永恒之藍是始作俑者,那這些安全軟件或者非專業技術貼,并未起到遏制事態發展的作用。
微軟很早就推出了自己的殺毒軟件。
所以,你只需要打開自動更新,同時使用微軟自帶的殺毒軟件,就夠了。
如果您是 Windows 7 用戶,請安裝 Microsoft Security Essentials.
下載地址:
Windows Vista/Windows 7 32-bit
Windows Vista/Windows 7 64-bit
從 Windows 8 以后,操作系統里邊已經自帶了 Windows Defender,直接使用即可。
世上本無事,庸人自擾之
Windows 自帶的殺毒軟件 Defender,自帶的防火墻,自帶的 Windows Update,默認都是打開的,正常運行的。
所以,本來一切都好好的,但由于不規范的操作,反而導致了問題的出現。
關于這個問題,胡浩的文章《抵抗勒索病毒的正確姿勢——不要上來就封端口!》 已經清楚說明了,此不贅述。
我只想講幾個故事:
很多人知道 RPC 使用 135 端口,所以,為了能夠實現跨防火墻 RPC 通信,在防火墻上打開了 135 端口,結果發現 RPC 通信依然有問題。為什么?因為 RPC 通信不是使用的 135 端口,而是在通信發起時,利用 135 端口協商,雙方商量一個 1024 到65535 之間的某個任意未被使用的端口來進行通信。
所以,無論是打開端口還是關閉端口,必須要搞清楚這個端口是干什么的,原理是什么。而不是簡單的關關關,干脆把網線拔了算了。
很多企業不許使用動態 IP,于是,他們就通過組策略把 DHCP Client 服務停了。他不知道這個服務除了自動獲取 IP 之外,還進行 DNS 客戶端注冊和更新。結果導致 DNS 服務器上的客戶機記錄老舊或自動清理。
某些單位,不許使用共享,包括強制關閉 Admin$, IPC$ 等,豈不知這些管理共享的本質意義,結果導致與安全策略復制故障等一系列問題。
所以,如果你的活動目錄出了問題,先檢查一下自己這幾天又裝什么安全軟件了,又關什么端口或服務了。你是否真的了解了這個安全軟件所做的操作的原理。
還有幾個問題想借此多說幾句:
這次漏洞是微軟 Windows 的,是微軟的錯。但真的怪不得微軟。
漏洞不是后門。后門是故意留下的。漏洞是無意間產生的,或者是協議標準本身的缺陷。
微軟有一套完善的安全補丁管理機制,從2003年微軟提出可信賴的計算時,便建立了專門的安全團隊,負責安全應對及補丁發布。
到目前為止,所有的安全事件,都是在微軟發布補丁之后發生的。
大多數情況是:專業安全人員或廠商發現了漏洞,報告給微軟(未公開),微軟立即開發和發布補丁(可能緊急發布熱修復,然后提供完善的補丁)。
而惡意利用者則是通過這些發布補丁的公開信息,開發惡意軟件。
下面是幾個當年比較嚴重的病毒的情況:
而這一次,微軟于 2017/3/14 發布補丁,WannaCry 于 2017/5/12 爆發,提前 58 天。
當然,這次可怕一些,是因為很久沒有爆發這么大的病毒事件了,還因為社交媒體發達了,事件影響被放大。
更可怕的,是這個漏洞,不是被有良知的安全廠商發現并主動報告微軟,而是 美國國安局早已發現漏洞,并基于漏洞開發了戰略級武器庫,而部分武器,即利用漏洞進行攻擊的工具,被泄露了。然后被惡意利用了。 我們所有吃瓜群眾,都終于真切感受到了網絡戰爭是什么樣子。
這將值得全人類反思。
這次事件另一個有意思的現象,是勒索軟件要你支付的是比特幣。
比特幣的重要特點是無中心化,這是強調個人主義/無政府主義者最興奮的特點。這種基于區塊鏈技術的比特幣,不需要中央銀行監管、賬號不可追蹤、從數學上證明你無法通過賬號跟蹤到賬號相關其他信息。這是另一個話題,暫不贅述。
這不得不讓人重新思考 科學主義 對人類社會的影響問題。
從哲學意義回到現實,我們從十多年前就開始講打補丁打補丁打補丁,并給出了大量的指導文檔和最佳實踐。但為什么我們做不到。
我們的 IT 運維理念,從最早的自發運維,到 ITIL 理念,到 ISO20000,到 DevOps,層出不窮。
可我們為什么連最基本的打補丁都不去做? 說多了都是啰嗦,思考吧。
以上只是工作被電話微信打斷后停下來草草寫就的觀點及感言,錯誤之處在所難免,請各位微軟網絡安全方面的哥們兒指正。
IT 運維無小事,網絡安全無兒戲。大家加油。
本文轉載自:https://github.com/
作者:HiwebFrank
原文鏈接:https://github.com/HiwebFrank/Blogs/blob/master/NetworkSecurityaboutWannaCry.md
文 | 廁所所長
歡迎來到折騰工作室,新冠肺炎疫情出現已經兩年了,居家辦公逐漸成為生活的常態,因此,如何在家里方便的讀取、使用公司電腦的資料,就成了一個值得思考的問題。
看到這里你也許會說,不就是遠程控制么?我用Teamviewer,向日葵,甚至QQ遠程都可以輕松解決。那這么說的話,你可能低估了有些公司的安防級別。
當你興沖沖地下好了一個teamviewer,準備開始遠程控制的時候,你以為你看到的會是這樣一個熟悉的界面:
正常情況下的Teamviewer
但實際上你看到的是這樣的:
被公司封禁的teamviewer
換了國產的向日葵也是一樣,根本連不上服務器,甚至連官方網站都打不開
https://sunlogin.oray.com/ 無法打開
向日葵無法連接服務器
出現這種情況,應該是公司的網管為了安全的考慮,封禁了teamviewer、向日葵等遠程控制軟件的端口或域名,造成其服務無法使用。于是,為了疫情期間持續辦公,你只有三條路可以選擇,一是冒著風險強行上班,這是許多同事的做法,這顯然不是我的風格;二是通過利誘、色誘等各種可以描述或者不可描述的方式,讓網管在設置安全規則時,對你機器的ip網開一面,但我們往往不推薦這么做,因為在有的公司內部,職位和任職人員經常變動,而且網管的人品、顏值和取向千差萬別,想走這一條路,實際上需要巨大的時間、經濟和人力成本。第三條路是,找一個替代方案,可以繞過封禁相關端口的安全策略。
經過一段時間,我竟然驚訝的發現,跟向日葵遠程控制同屬于貝銳科技的花生殼,通過動態DDNS域名解析,竟然能夠較好的適應我的需求,下面我們就來看一下這個東西是怎么用的。
如果你公司已經封禁了各種端口,在辦公室你是同樣無法登錄花生殼官方網站的,因此,你首先需要一臺處于沒有被封端口的網絡環境的電腦,可以在家里,也可以在公司用手機開無線熱點。
在這臺電腦上,你可以正常打開花生殼官方網站:https://hsk.oray.com/,并點擊右上角的注冊。
同意用戶協議后,來到注冊界面,填寫相關信息,并注冊。
注冊成功后,會給你一個非常奇怪的免費域名,大多以.vip結尾,我們以后就用它來遠程訪問你公司的計算機。
然后,用你注冊的賬號登錄花生殼,點擊控制臺
你就會來到這樣一個界面:
在左側選“內網穿透”選項卡,然后選擇中間的“免費開通”
在出現的界面里,選擇“新建映射”,你就可以開始架設你的動態DDNS服務了。
在設置頁面中,應用名稱起一個你能記住的就行,“映射類型”選TCP,模板選擇“windows遠程桌面”,這時系統會自動幫你設定好內網主機為127.0.0.1,內網端口為3389,然后,在“外網域名”這一欄選擇你剛剛注冊時送給你的免費域名,“外網端口”是你想用的端口,如果沒有什么特殊需求,選擇動態即可。其它設置是加速、流量什么的增值服務,酌情購買,不買的話就是一個月1G的流量,1M的帶寬,辦辦公找個文件什么的是夠了,畢竟你也不會一直不去上班。如果另有需要就還要花錢,很貴。設置完點擊確定就可以。
現在你回到了花生殼控制臺,并且你會看到,控制臺里多了一個映射,這就是我們剛剛建立的映射。我們看到,系統給我們隨機分配了一個端口,你需要記住tcp://后面的那一串(包括端口號),一會設置遠程登錄的時候要用。
現在映射已經建立完畢了,下一步就是,要在你需要控制的機器上安裝花生殼客戶端,使其能夠響應你的訪問。
還是在你能夠訪問花生殼官網的電腦上,下載花生殼客戶端,然后把這個客戶端拷貝到你需要控制的目標電腦上,運行安裝。安裝完畢后,用你注冊的賬號在客戶端上登錄。
你會發現,在你的公司電腦上,雖然由于種種原因,無法訪問花生殼網站,但是客戶端可以登錄,這應該是因為客戶端登錄不需要域名解析。
當然了,由于被封禁,在辦公室登錄的花生殼和你正常登錄的樣子有所不同:
未被封禁機器上登錄后的樣子
被封禁機器上登錄的樣子
不要在乎這個大白板,這并不表示你就沒有設置成功,你可以看到左下角,即使我們界面一片空白,客戶端還是獲得了ip地址的。
下面我們來到網頁上的控制臺,點擊“診斷”,如果出現“域名解析成功”、“連接轉發服務器成功”、“域名指向IP與服務器一致”、“內網服務連接成功”的提示,說明已經設置成功。
此時,你只需要保持目標電腦聯網并登錄花生殼客戶端,并開啟了windows遠程桌面,就可以在家里愉快的辦公了。當然了,由于速度和流量的限制,你還是不能為所欲為的。
測試一下,登錄沒有任何問題。
我理解這個所謂的動態DDNS,即是讓你用客戶端,連接到了服務提供商的專用網絡,這個網絡可以不需要固定ip地址,只需要一個域名,根據域名解析地址。這樣做的好處是可以極大地節省網絡資源,而由于建立映射時可以使用隨機端口,也就繞過了網絡管理員封禁相關端口的操作(如果他封了這個端口,你換一個就行,他總不能把所有端口全部封掉)。
不過,友情提醒一下,這個免費映射只能支持1G流量和1M帶寬,并且如果你連續一個月沒有使用,就會被自動刪除,你可以購買永久映射和更多的流量,但是,得加錢!
當然了,如果你跟我一樣赤貧,也可以選擇多注冊幾個號輪流使用,設置起來也是一樣的。
最后,我由衷地希望,我司的網管不要看到這篇文章。祝大家玩耍愉快。