政企机构“永恒之蓝”勒索蠕虫 应急响应调研分析报告 360威胁情报中心 360安全监测与响应中心 2017.7 目录 背景介绍....... 1 一、 Wannacry渗透内网原因分析 ... 1 （一） 一机双网缺乏有效管理 ........... 1 （二） 缺陷设备被带出办公区 ........... 2 （三） 协同办公网络未全隔离 ........... 2 （四） 防火墙未关闭445端口 ........... 3 （五） 办公网与生活网未隔离 ........... 3 （六） 外网设备分散无人管理 ........... 3 二、 中招企业现存典型问题分析 ....... 3 （一） 意识问题 ........... 3 （二） 管理问题 ........... 4 （三） 技术问题 ........... 5 三、 优秀典型企业成功经验分析 ....... 6 四、 永恒之蓝勒索蠕虫最新攻击 ....... 8背景介绍 2017年5月，影响全球的永恒之蓝勒索蠕虫（Wannacry）大规模爆发后，有两个重要 问题一直让很多我国政企机构管理者和安全从业者感到困惑：一个是内网穿透问题，一个是 同业差距问题 1） 内网穿透问题 Wannacry传播和攻击的一个明显的特点，就是内网设备遭感染的情况要比互联网设备 遭感染的情况严重得多。虽然说，未打补丁是内网设备中招根本原因，但Wannacry究竟是 如何穿透的企业网络隔离环境，特别是如何穿透了物理隔离的网络环境，一直是令业界困惑 的问题 2） 同业差距问题 Wannacry传播和攻击的另外一个重要特点，就是有些机构大面中招，而有些机构则几 乎无一中招。而且，即便是在同行业、同规模、同级别，甚至是安全措施都差不太多的大型 政企机构中，也是有的机构全面沦陷，有的机构就安然无事。究竟是什么原因导致这种天差 地别的结果呢？ 为能深入研究上述两个问题，寻找国内政企机构安全问题的症结所在及有效的解决途径， 360威胁情报中心联合360安全监测与响应中心，对5月12日-5月16日间，国内1700余 家大中型政企机构的网络安全应急响应情况进行了抽样调研。并对上述问题得出了一些初步 结论 一、 Wannacry渗透内网原因分析 从震网病毒开始，人们就已经充分的认识到：U盘可以作为病毒的摆渡实现内网渗透 但此次永恒之蓝勒索除虫的传播，完全不依赖于U盘，但仍然非常成功渗透到了很多机构 内网中，特别是渗透进如了大量物理隔离的网络中。这就使我们又要重新认识网络的隔离与 边界问题 此次调研显示，在大量感染Wannacry的机构案例中，病毒能够成功入侵政企机构内部 网络，主要原因有以下几类： （一） 一机双网缺乏有效管理 一机双网或一机多网问题，是此次Wannacry能够成功入侵物理隔离网络的首要原因 所以一机双网问题，是指一台电脑设备即连接在物理隔离的网络中，同时又直接与互联 网或其他网络相连的问题。这种情况的出现，会导致病毒首先通过互联网感染某台设备，随 后再通过这台染毒设备攻击内网系统中的其他设备 造成这种情况的主要原因是：使用隔离网设备的员工缺乏安全意识，无视机构内部的管 理规定，私搭网络连接互联网。从技术上来说，一机双网问题，又可以分为有线外连和无线 外连两种 有线外连的情况主要发生在提供双网接入的机构。这些机构本身就在办公场所的墙面上提供了互联网插口和内网插口这两个插口，并且为部分员工提供了两台工作机：上网机和内 网机。但问题主要发生在那些只有内网机的员工身上。这些员工往往耐不住寂寞，就会私自 用网线将内网机与互联网插口相连。调研显示，员工将内网机连上互联网后，最主要的用途 是上网购物和聊天，还有一些人会去浏览色情网站。而浏览色情网站给内网造成的安全风险 最大 无线外连的情况在企业外协、供应商或临时工中最常发生。这些人会由于自身工作或生 活需要，用手机等设备私自搭建WiFi热点，之后将与内网相连的电脑设备链接到WiFi热点 上，从而实现了一机双网。此外，我们也发现有少量企业员工会在内网机上插入随身WiFi等 即插即用的网卡设备，之后再将内网机与手机热点相连 一机双网或一机多网问题，反应出企业网络安全管理的多方面问题：首先是员工安全教 育与安全管理不到位，安全管理规定形同虚设；其次是企业缺乏足够有效的技术手段来管理 一机双网问题 而实际上，无论是用终端安全管控设备、边界安全管理设备，还是无线安全管理设备（可 以禁止非法WiFi热点），要解决类似问题都不太困难，而且市场上已经有很多成熟的解决方 案了，只是很多企业没有意识到相关风险的存在，未采购相关产品及技术系统，或是未能正 确使用相关产品及技术系统 （二） 缺陷设备被带出办公区 将未打补丁，或有安全缺陷的设备带出办公场所，并与互联网相连，是此次Wannacry 感染内网设备的第二大主要原因 Wannacry爆发初期，时逢“一带一路”大会前夕。很多机构在此期间进行了联合集中 办公，其中就不乏有机构将内部办公网上电脑设备被搬到了集中办公地点使用。这些电脑日 常缺乏有效维护，未打补丁，结果不慎与互联网相连时就感染了Wannacry。而这些被带出 办公区的缺欠电脑，又由于工作需要，持续的，或不时的会通过VPN、专线等方式与机构内 网相连，于是又将Wannacry感染到了机构的内网设备中 （三） 协同办公网络未全隔离 这是一类比较特殊的问题，但在某些政企机构中比较突出。即，某些机构在其办公系统 或生产系统中，同时使用了多个功能相互独立，但又需要协同运作的网络系统；而这些协同 工作的网络系统中至少有一个是可以与互联网相连的，从而导致其他那些被“物理隔离”的 网络，在协同工作过程中，因网络通信而被病毒感染 从几个因存在此问题感染Wannacry的网络系统实例来看，这种安全隐患并非不可避免 因为在实际办公或生产环境中，几个需要协同工作的相互独立的网络系统之间，实际上真正 需要进行通信传输的信息类型是十分有限的。所以，如果网络的设计者或管理者能够提前关 闭不必要的协议和接口，只保留协同工作所必须的信令信息，则完全可以避免类似Wannacry 这样的攻击 还有一些更加突出的问题，就是有个别企业为了开发方便，直接在生产系统中大量使用 445端口进行共享功能的开发，这种显而易见的安全隐患，也使得相关机构成为Wannacry 攻击的重灾区，并且只能通过大规模的终端业务来进行应急处置。（四） 防火墙未关闭445端口 这一问题主要发生在政企机构内部的不同子网之间，大型政企机构，或存在跨地域管理 的政企机构之中，发生此类问题的较多 一般来说，企业使用的防火墙设备，大多会对互联网访问关闭445端口。但很多企业在 内部多个子网系统之间的防火墙（内部防火墙）上，却没有关闭445端口。从而导致这些政 企机构内部的某个子网中一旦有一台设备感染了Wannacry（可能是前述任何一种原因），病 毒就会穿透不同子网之间防火墙，直接对其他子网系统中的设备发动攻击，最终导致那些看 起来相互隔离的多个子网系统全部沦陷，或者是分布在全国各地的办公区均有电脑大面积沦 陷的情况发生。甚至有个别企业的共享服务器被感染后，直接导致其在各地分支机构的网络 设备全部中招 但显然，从生产需求的角度看，不同子网之间，特别是不同地区分支机构的网络之间， 开放445端口是没有太大意义的，理应全面关闭 （五） 办公网与生活网未隔离 这一问题在某些超大型政企机构中比较突出。受到历史、地理等复杂因素的影响，这些 机构大多自行建设了规模非常庞大的内部网络，而且这些网络本身并未进行非常有效的功能 隔离。特别是这些企业在办公区附近自建的家属楼、饭店、网吧，及其他一些娱乐场所，其 网络也往往是直接接入了企业的内部网络，而没有与办公区的网络进行有效隔离。这也就进 一步加剧了不同功能区电脑设备之间的交叉感染情况 （六） 外网设备分散无人管理 这也是一类比较特殊，但在某些政企机构中比较突出的问题。产生这一问题的主要原因 是：某些政企机构，出于管辖、服务等目的，需要将自己的电脑设备放在关联第三方的办公 环境中使用；但这些关联第三方可能是多家其他的政企机构，办公网点也可能分散在全国各 地，甚至是一个城市中的多处不同地点；由此就导致了这些设备虽然被经常使用，但却长期 无人进行安全管理和维护，电脑系统长期不打补丁，也不杀毒的情况，所以也有相当数量的 电脑中招 需要说明的是，目前新型的企业安全终端管理系统，已经能够很好的解决分散设备的统 一管理、补丁分发及安全监控等问题 二、 中招企业现存典型问题分析 从目前已调研的所有感染Wannacry的政企机构情况来看，中招企业普遍存在以下典型 问题： （一） 意识问题 员工，甚至IT管理者的安全意识差，轻视安全问题，不能对突发安全事件做出正确的 判断，是本次永恒之蓝勒索蠕虫在某些机构中，未能做到第一时间有效处理的重要原因。具 体表现在以下几个主要方面：
。。。以上简介无排版格式，详细内容请下载查看