永恒之蓝漏洞修复方案.docxVIP

指导修复方案 第 PAGE 21页，共 NUMPAGES 22页 深信服 永恒之蓝漏洞修复方案 深信服科技 安全服务团队 2020年7月 文档信息 文档类别 指导文档 文档版本号 V1.0 创建日期 2020-07-08 文档作者 深信服安全服务团队 修订历史 编号 修订内容简述 修订日期 修订前版本号 修订后版本号 修订人 批准人 1 2020-07-08 深信服安全服务团队 吴周龙 注：修订历史记录本文档提交时的当前有效的基本控制信息，当前版本文档有效期将在新版本文档生效时自动结束。文档版本号小于1.0 时，表示该版本文档为草案，仅供参考。 目录 TOC \o 1-4 \h \z \u 文档信息 2 一、 永恒之蓝漏洞利用攻击 3 1.1. 危害 3 1.2. 传播途径 4 1.3. 处置建议 4 1.4. 日常维护 4 二、 附录 5 2.1. 永恒之蓝漏洞补丁 5 2.2. 修改密码操作方法 5 2.3. 勒索挖矿专杀工具 6 2.4. 禁用和开启风险端口的脚本 8 永恒之蓝漏洞利用攻击 危害 存在永恒之蓝漏洞（MS17-010）利用攻击行为的主机极大可能已感染了勒索或挖矿病毒，此攻击行为是尝试向内网其他主机进行横向传播，试图感染更多的病毒主机。 传播途径 1、利用内网永恒之蓝漏洞(MS17-010)进行横向传播 2、通过暴力破解RDP-3389端口、SSH-22端口、文件共享-445端口、数据库端口-1433等控制主机，获取管理员权限后上传病毒程序执行 处置建议 步骤一：修改主机密码为强密码（密码大于8位数，包含字母大小写、数字和符号） 具体操作方法见 附录 步骤二：检查安装MS17-010漏洞补丁，补丁安装方法见 附录 步骤三：使用勒索挖矿病毒专杀工具进行病毒查杀。 工具地址及使用方法见 附件 步骤四：建议使用深信服EDR或火绒等第三方查杀工具进行全盘查杀 日常维护 1、主机关闭没必要的风险端口（如135、137、138、139、445、3389）禁止风险端口对公网映射。禁用和开启风险端口的脚本见 附录 2、主机定期进行病毒查杀，并定期修改密码（建议密码设置8位数以上，包含数字字母符号） 3、定期更新系统漏洞补丁 4、不随意打开来历不明的邮件及附件 5、不随意下载或打开来历不明的文件，不随意浏览恶意网站 附录 永恒之蓝漏洞补丁 安装完成重启系统即可，安装方法参考以下文档 修改密码操作方法 如下图所示，点击鼠标点击电脑右下角开--点击控制面板 如下图，查看方式选择类别--选择用户账户和家庭安全 如下图，点击更改Windows密码 如下图，点击更改密码 如下图，将密码修改为强密码（建议密码设置8位以上，包含字母大小写、数字和符号）后点击更改密码即可 勒索挖矿专杀工具 获取地址：/s/1nfl-XxG_eZ3RwOMsnIfDJw 方法一： 如下图所示，查看电脑的操作系统位数，若电脑为32位操作系统双击运行lzAntivirus_x86.exe、若为64位操作系统双击运行lzAntivirus_x64.exe，等待专杀工具运行完毕后关闭窗口即可。 方法二： 如下图所示，查看电脑的操作系统位数，若电脑为32位操作系统，打开命令提示符-切入软件所在目录下，运行lzAntivirus_x86.exe、若为64位操作系统，打开命令提示符-切入软件所在目录下，运行lzAntivirus_x64.exe，等待专杀工具运行完毕后关闭窗口即可。 禁用和开启风险端口的脚本 深信服僵尸网络查杀工具 下载链接如下： /#/introduction/bot_net 32位操作系统下载windows-32、64位操作系统下载windows-64即可 下载完毕后解压，双击打开目录的“SfAntiBot.exe”,点击全盘扫描进行病毒查杀，确认后进行一键隔离即可（注：部分正常使用软件如被扫描出病毒可选择信任）