【安全篇 / 入侵防御】(5.2) ❀ 01. 防范 WannaCry 勒索软件攻击 ❀ FortiGate 防火墙

        【简介】2017年5月12日晚，WanaCrypt0r 2.0勒索病毒在全球爆发（简称 WCry2.0）。 在无需用户任何操作的情况下，Wcry2.0即可扫描开放445文件共享端口的Windows机器，从而植入恶意程序。

---

  WannaCry 勒索软件

        根据美联社、英国标准晚报等多家媒体报道，一种名为WannaCry（永恒之蓝）的电脑勒索病毒正在全球蔓延，许多国家受到病毒感染。最严重的地区集中在美国、欧洲、澳洲等地区，目前也已由国外进入中国。

　　这款勒索病毒主要利用了微软“视窗”系统的漏洞，以获得自动传播的能力，能够在数小时内感染一个系统内的全部电脑。根据网络安全机构通报显示，永恒之蓝是NSA网络军火库民用化第一例。它会自动扫描445文件共享端口的Windows机器，无需用户任何操作，就可以将所有磁盘文件加密、锁死，后缀变为.onion，随后，黑客可以远程控制木马，向用户勒索“赎金”。“赎金”需要以比特币的形式支付。虚拟货币支付形式分散、难以追踪，所以非常受黑客欢迎。

　　根据BBC与CNN的报道显示，5月12日英国本土超过16家医院受到大规模黑客攻击，系统瘫痪，既定的手术被迫取消，救护车也被迫转往其他医院。黑客要求医院支付价值300美金比特币，才可获取密钥，并重新打开文件。如果三天之内仍未完成支付，赎金将翻倍。

　　而中国的蠕虫病毒感染重灾区集中在高校。据悉，目前全国范围内有数十所高校的校园网感染了这一病毒，而正值毕业季，许多学生的毕业论文和设计都因感染病毒而被锁死。据有关机构统计，目前国内平均每天有5000多台机器遭到NSA“永恒之蓝”黑客武器的远程攻击。之所以国内教育网首当其冲的原因，由于以前国内多次爆发利用445端口传播的蠕虫，运营商对个人用户已封掉445端口，但是教育网并没有此限制，仍然存在大量暴露445端口的机器。

　　在小范围的互联网内，一旦有某一个人没有封掉445端公口、或者没有给Windows打补丁，那么整个区域内的电脑都会被病毒感染。而作为个人用户一旦感染此病毒，千万不要给钱，因为即便交了赎金，文件也可能无法恢复。只能在把硬盘低格后，重新安装操作系统。

　　经过分析，该勒索软件是一个名称为“wannacry”的新家族，目前无法解密该勒索软件加密的文件。该勒索软件迅速感染全球大量主机的原因是利用了基于445端口传播扩散的SMB漏洞MS17-010，微软在今年3月份发布了该漏洞的补丁。2017年4月14日黑客组织Shadow Brokers（影子经纪人）公布的Equation Group（方程式组织）使用的“网络军火”中包含了该漏洞的利用程序，而该勒索软件的攻击者或攻击组织在借鉴了该“网络军火”后进行了些次全球性的大规模攻击事件。

  统一威胁管理 UTM

       Fortinet 统一威胁管理系统包括防火墙、VPN、入侵保护、防病毒、防恶意软件、防垃圾邮件、Web内容过滤等安全功能，可在一台单一设备中识别多种安全威胁。尤其FortiGate的应用控制功能可以让网络管理员轻松控制千种以上的应用，无论是监控还是流量控制都可以简单实现。除此之外，它还可以实现反间谍软件，漏洞扫描和WAN优化等功能，给用户以更多的选择。

       在中国，Fortinet 防火墙硬件设备和UTM通常是分开销售的。如果没有购买UTM，就不具备防病毒、入侵保护、Web过滤等功能。

  升级病毒库和IPS库

        针对5月12日爆发的WannaCry 勒索软件攻击，Fortinet的安全团队立即做出了反应，只要将病毒库和IPS库升级到最新版本，就可以防范WannaCry 勒索软件攻击。

　　① 选择菜单【系统管理】-【配置】-【FortiGuard】，将右边窗口拉到最下方，点开【AV&IPS下载选项】，点击【立即升级】。

　　② 根据网络的情况，升级时间略有不同。

          【提示】 大部分情况下都会配置自动升级，间隔若干个小时。

  查看病毒库和IPS库版本

        怎样才能知道防火墙的病毒库和IPS是不是最新版本，只要查看FortriGuard就可以了。

        ① 在FortiGuard分布网络界面，可以看到病毒库和IPS库的版本号，后面显示的升级日期，是这个库的更新日期，并不是指防火墙的升级日期。如果不能确定这是不是最新库，还有一个方法，点击【立即登录】。

        ②会跳转到飞塔支持官网，输入登录密码。

        ③ 登录后选择菜单【Download】－【FortiGuard Server Updates】。

        ④ 选择防火墙的固件版本和型号，可以看到最新病毒库和IPS库版本。

        ⑤ 经过对比，可以看到防火墙的病毒库和IPS库已经是升级到最新的版本了。

          【提示】 可以下载飞塔支持官网的病毒库和IPS库文件，点击FortiGuard分布网络界面对应的更新按钮，进行手动升级。

  应用 UTM

　　任何一个好的工具却不使用，那和没有是一样的。

        ① 在所有上网策略中，安全配置文件启用反病毒、网页过滤、IPS。这样就可以了。

  反病毒

        飞塔防火墙会根据病毒库的病毒特征来识别病毒。       

　　① 选择菜单【安全配置文件】-【反病毒】，这里并不能看到病毒库的内容。

        ② 打开网址：http://fortiguard.com/encyclopedia/virus/7385618/w32filecoder-wannacryptor-d-tr，可以看到WannaCry 勒索软件被判别为木马。加入日期是2017年5月12日，特征ID是7385618。

        ③ 可以在菜单【日志与报告】-【反病毒】，过滤病毒ID，来快速查看是否拦截到 WannaCry 勒索软件攻击。

  IPS

        入侵防御系统（IPS）对那些被明确判断为攻击行为，会对网络、数据造成危害的恶意行为进行检测和防御，降低或是减免使用者对异常状况的处理资源开销。

　　① 选择菜单【安全配置文件】-【入侵防御】，我们可以看到升级到最新IPS库后，有10880条签名，点击【显示IPS签名】。

　　② 搜索Handling，我们可以找到签名为：MS.SMB.Server.SMB1.Trans2.Secondary.Handling.Code.Execution，动作为阻断。这个签名有什么作用？

　　③ 打开网址 http://www.fortiguard.com/encyclopedia/ips/43796，我们可以看到这条签名是阻止对SMB服务器漏洞的攻击，对应的微软漏洞MS17-010。

　　④ 而本次正是针对MS17-010漏洞的攻击。     

  Web 过滤

        Fortinet阻断了已知的 WannaCry 勒索软件C&C服务器。

  FortiClient

        FortiClient 是VPN客户软件。同时也具备杀毒功能。

        ① FortiClient及时得到更新，所具备的杀毒功能可以防范 WannaCry 勒索软件攻击。

---