五月十二日晚上20:00全球爆發(fā)大規(guī)模勒索軟件感染事件，目前已經(jīng)涉及150個(gè)國(guó)家20萬(wàn)個(gè)受害者，包括能源、電力、教育、醫(yī)療、交通等重點(diǎn)領(lǐng)域都在快速蔓延，西班牙電力公司Iberdrola、天然氣公司Gas natural以及電信巨頭Telefonica無(wú)一幸免；德國(guó)德勒斯頓火車(chē)站、葡萄牙電信、聯(lián)邦快遞FedEx包括俄羅斯內(nèi)政部和第二大電信巨頭Magefon等都遭到了勒索軟件的攻擊；國(guó)內(nèi)中石油北京、上海、四川、重慶等地的加油站全面斷網(wǎng)，幾大高校也遭受了不同程度的攻擊，截止5月14日中國(guó)已有29372家機(jī)構(gòu)組織的數(shù)十萬(wàn)臺(tái)機(jī)器感染。

今天早上朋友圈各種文章都在討論防病毒方法，各種企業(yè)、政府預(yù)防公告，還有各種step by step防御辦法，更甚者聽(tīng)說(shuō)某些單位全部斷開(kāi)外網(wǎng)。今天早上也有很多朋友打電話咨詢?nèi)绾畏婪?，如果中毒如何處理等?nbsp;

今早的一篇來(lái)自劍指工控的文章《安全圈的殺人游戲》把本次事件的緣由把它比喻成了當(dāng)下流行的殺人游戲：

法官：NSA  警察：MicroSoft  殺手：WannaCry

?

法官NSA無(wú)意泄露了警察（MicroSoft）的信息（ETERNALBLUE漏洞)，警察（MicroSoft）跳警（2017年3月14日微軟發(fā)布比特病毒的安全補(bǔ)丁后），殺手WannaCry得到信息反應(yīng)更快，借時(shí)間差屠殺平民。公開(kāi)的補(bǔ)丁就這樣成了屠殺的邀請(qǐng)函。

5月12日國(guó)家工業(yè)信息安全研究中心發(fā)布緊急通知要求各地工信主管部門(mén)盡快做好組織應(yīng)對(duì)和風(fēng)險(xiǎn)通報(bào)。

工業(yè)領(lǐng)域的工控機(jī)（工程師站、操作員站、歷史服務(wù)器，SCADA服務(wù)器）等大量使用Windows系統(tǒng)，而且2008年以前的90%工控系統(tǒng)均采用Windows 2000 SP4和Windows XP，這兩個(gè)系統(tǒng)默認(rèn)開(kāi)放445端口，極有可能被“WannaCry”利用漏洞進(jìn)行入侵攻擊，并迅速蔓延到整個(gè)工業(yè)控制網(wǎng)絡(luò)，嚴(yán)重導(dǎo)致組態(tài)軟件加密狗失效，甚至造成工業(yè)企業(yè)內(nèi)網(wǎng)癱瘓。而且一旦中招，工業(yè)企業(yè)相關(guān)敏感數(shù)據(jù)存在被鎖定、篡改和銷(xiāo)毀的風(fēng)險(xiǎn)。如果您的配方、數(shù)據(jù)庫(kù)、視頻、制圖等關(guān)鍵數(shù)據(jù)不被截取，請(qǐng)認(rèn)證閱讀本文。當(dāng)然了有的企業(yè)說(shuō)我們正常辦公必須開(kāi)放445端口，那怎么辦？本文后續(xù)段落會(huì)有不禁用445端口如何防范類(lèi)似WannaCry的攻擊。

先來(lái)看看這個(gè)所謂的勒索軟件到底是個(gè)什么妖孽？

WannaCry也被稱(chēng)為WannaCrypt0r 2.0， WannaCry使用了NSA泄露的ETERNALBLUE（永恒之藍(lán)）漏洞，ETERNALBLUE利用漏洞MS17-010中的某些版本的SMB服務(wù)器協(xié)議進(jìn)行傳播，該漏洞并不是0Day漏洞， 補(bǔ)丁程序微軟已于2017年3月14日發(fā)布，但未打補(bǔ)丁的用戶有可能遭受此次攻擊。

你是否也已經(jīng)中招了？

感染過(guò)程：

第一步：病毒運(yùn)行后會(huì)生成啟動(dòng)項(xiàng)（注冊(cè)表里）：

第二步：遍歷磁盤(pán)：

\ProgramData

\Intel

\WINDOWS

\Program Files

\Program Files (x86)

\AppData\Local\Temp

\Local Settings\Temp

第三步：遍歷文件后實(shí)施加密：

遍歷磁盤(pán)文件，加密以下178種擴(kuò)展名文件。

感染W(wǎng)annaCry后，用戶的終端與受到大多數(shù)的勒索軟件侵蝕后一樣，會(huì)將各類(lèi)型數(shù)據(jù)、文檔文件加密，被加密的文件后綴名會(huì)改成.WNCRY，并索要贖金。

?

工業(yè)控制系統(tǒng)又如何防范WannaCry的感染呢？

首先大家不要恐慌，沒(méi)有朋友圈宣傳的這么可怕，類(lèi)似通過(guò)445共享端口進(jìn)行攻擊的案列很多，因此網(wǎng)絡(luò)運(yùn)營(yíng)商基本上針對(duì)個(gè)人和企業(yè)都關(guān)閉了445這個(gè)端口。

而教育部門(mén)（各個(gè)大學(xué)）以及一些科研院所以及加油站支付系統(tǒng)為了共享方便，都是開(kāi)放445這個(gè)端口，所以這也就是為什么這么多大學(xué)和加油站都會(huì)中招的原因。

對(duì)于工業(yè)用戶最原始的方法就是斷網(wǎng)或者關(guān)閉445和139等端口，但是這種方法直接將共享文件的功能全部禁用了，并非最優(yōu)的解決方案。

特征碼——照妖鏡

WitLinc IPS rules：42329-42332、42340、41978

通俗的說(shuō)就是我們不需要關(guān)閉445和139端口，也可以把WannaCry過(guò)濾掉。

我們知道傳統(tǒng)的防火墻均采用包過(guò)濾的方法，只過(guò)濾數(shù)據(jù)流的3，4層信息，也就是五元組：源IP、源端口、協(xié)議、目的IP、目的端口；

但是Witlinc工業(yè)防火墻在傳統(tǒng)防火墻的基礎(chǔ)上內(nèi)嵌IPS，可以在傳統(tǒng)包過(guò)濾防火墻的基礎(chǔ)上再進(jìn)行7層特征碼的過(guò)濾，例如防火墻允許外網(wǎng)訪問(wèn)內(nèi)網(wǎng)Web服務(wù)器的80端口，但是Witlinc IPS可以過(guò)濾黑客發(fā)起的SQL注入數(shù)據(jù)包。針對(duì)本次事件Witlinc防火墻可以允許數(shù)據(jù)通過(guò)445端口，但是如果數(shù)據(jù)包中含有WannaCry的特征碼，那么該數(shù)據(jù)包將會(huì)被過(guò)濾掉。而且可以阻止被阻攔對(duì)象的的阻攔時(shí)間，從1秒到無(wú)限時(shí)長(zhǎng)，防止特征碼有誤，而防火墻策略一般是無(wú)限時(shí)長(zhǎng)的阻攔。

Witlinc Technology WL-620F工業(yè)防火墻其他主要功能：

●?實(shí)時(shí)通訊分析和信息包記錄

●?信息包有效載荷檢測(cè)

●?協(xié)議分析和內(nèi)容查詢匹配

●?探測(cè)緩沖溢出、秘密端口掃描、CGI攻擊、SMB探測(cè)、操作系統(tǒng)侵入嘗試

●?對(duì)系統(tǒng)日志、指定文件、Unix socket或通過(guò)Samba的WinPopus 進(jìn)行實(shí)時(shí)警

信息包有效載荷探測(cè)是Witlinc Technology工業(yè)防火墻與傳統(tǒng)防火墻最明顯的區(qū)別，這就意味著很多額外種類(lèi)的敵對(duì)行為可以被探測(cè)到。

最后特別感謝劍指工控提供的《安全圈的殺人游戲》！