安天关于系统化应对NSA网络军火装备的操作手册

安天关于系统化应对NSA网络军火装备的操作手册（节选）

安天安全研究与应急处理中心(Antiy CERT)

报告初稿完成时间：2017年5月22日 6时00分
首次发布时间：2017年5月22日 6时00分
本版本版发布时间：2017年5月22日 6时00分

1        概述
北京时间2017年5月12日20时左右，全球爆发大规模“WannaCry”（中文名称魔窟）索软件感染事件，我国各地的计算机网络（特别是一些内网）也受到不同程度的影响。该勒索软件迅速传播的原因是利用了基于445端口传播扩散的SMB漏洞——MS17-010。该漏洞原本是美国NSA下属的Equation Group（方程式组织）使用的“网络军火”，在2017年4月14日的被黑客组织Shadow Brokers（影子经纪人）曝光，而该勒索软件的攻击者或攻击组织在借鉴了该“网络军火”后进行了此次全球性的大规模攻击事件。

关于本次事件需要注意的是，“WannaCry”（中文名称魔窟）索者蠕虫仅利用了被曝光“网络军火”中的“永恒之蓝”（Eternalblue）漏洞，Shadow Brokers（影子经纪人）曝光的“网络军火”中还有大量的漏洞需要关注和防范。同时，Shadow Brokers（影子经纪人）在2017年5月16 日再次发布声明，称其会在6月公布更多漏洞，鉴于以上原因，需要对当前已知的和未来将出现的威胁做好相应的防护和准备工作。

在面对各种严峻的安全风险时，除了通过有效的安全设计和使用安全产品形成防御能力之外，我们必须要做好合理的补丁策略、端口和应用的管理策略、边界的安全条件等基础安全工作。针对部分网络节点规模及数量较大的内网用户或部分对业务系统的稳定性及安全性要求较高的用户，有可能不能实施全面的系统的补丁策略，同时实时获取补丁的方法一定程度上受到网络隔离的相应影响或限制，因此，可能需要采用对严重漏洞进行单点补丁的策略。但是因为整个补丁系统的庞大和复杂性，在基础补丁包无法安装的情况下，这种单点补丁也可能无法成功的安装。比如以下几种场景：

第一种情况，由于相应系统停止更新服务的原因，部分安全漏洞被发现时，原厂可能已经不再发布补丁，必须要使用升级相关的系统或应用的方式来解决，如本次受影响的Windows XP及Windows Server 2003系统，微软已经在多年前停止对这两个系统进行补丁更新及相关的升级，对于使用这两种系统的用户来说，无法获得官方的补丁进行修复漏洞，此时，我们就需要采用有效的安全设计和安全产品等策略进行防护。

第二种情况，实际上来看，每一个应用和它开放的端口都有其特定场景的业务价值，因此，在采用相应端口屏蔽策略之前，需要判断是不是系统中需要正常使用的应用或端口，以及这种应用或端口是否有其他的方式来替换。比如在用户的业务场景下，如果80端口是为了保证业务系统的正常运行时，不能够进行对其进行端口关闭、端口修改或停止相应的服务时，就需要采用有效的系统安全设计和使用安全产品形成对系统的整体性的综合防御来抵御其攻击。

第三种情况，如果补丁和业务系统的稳定性发生冲突的情况，对于多数情况下，可能需要保证业务系统的正常运行，这种不能更新补丁的情况，可能需要外部的安全检测方法或者替换现有操作系统版本等方式来解决，此时就需要引入特定的安全产品进行防护。

合理的补丁策略绝不只是针对重大事件的应急反应，而是要在日常的安全应用和维护中需要达成的一个规范工作及流程，仅靠打补丁和关闭端口是无法完整应对网络攻击的，必须借助安全设计、被动防御、积极防御和威胁情报的结合，依托具有有效防护能力的安全产品来形成防御的纵深能力。

微软补丁包机制是不安装基础补丁包则无法安装后续的部分补丁。因此安天建议普通的桌面系统和不重要的服务系统在内部无法安装在线补丁的情况下，先安装基础补丁包，然后再安装无法安装的补丁包。因为基础补丁包体积较大，一旦出现大型的安全事故，由于大量用户进行下载，可能造成下载不成功的情况，因此希望网络管理员提前储备基础补丁包及重要补丁包。