建站服務(wù)器

沒想到之前的一篇緊急之下寫的簡單文字，這么快就破了4000的閱讀。突然蹭了網(wǎng)紅病毒的熱度，有點不太習(xí)慣。

讓客戶滿意是我們工作的目標，不斷超越客戶的期望值來自于我們對這個行業(yè)的熱愛。我們立志把好的技術(shù)通過有效、簡單的方式提供給客戶，將通過不懈努力成為客戶在信息化領(lǐng)域值得信任、有價值的長期合作伙伴，公司提供的服務(wù)項目有：主機域名、虛擬空間、營銷軟件、網(wǎng)站建設(shè)、江漢網(wǎng)站維護、網(wǎng)站推廣。

于是，想花點時間來稍微深入的寫點東西。畢竟，在我看來，這次爆發(fā)僅僅是個開始。

開始之前，先做有關(guān)利益相關(guān)等簡單申明：本人04年至今13屆8個方向的Microsoft MVP，但與微軟并無利益相關(guān)；本人非安全專業(yè)工作崗位，主要經(jīng)驗在基礎(chǔ)架構(gòu)、云和虛擬化和IT管理方向；后文會出現(xiàn)與本人供職公司產(chǎn)品或方案介紹，可自行取舍；文中所有引用”僅以原樣“（AS IS）提供，版權(quán)歸原作者所有。本人并不保證所有觀點正確，僅供參考。

來由

我們先來看看這個病毒的血統(tǒng)。加密勒索軟件早已有之。雖然我已經(jīng)離開IT管理一線，印象里勒索病毒第一次爆發(fā)是在前年還是去年的時候，在微信朋友圈看到卡巴斯基老同事轉(zhuǎn)發(fā)的病毒情況。因為傳播基本靠傳統(tǒng)方式，例如郵件、鏈接、存儲介質(zhì)等等，并沒有引起我太大的興趣，只是開始用SyncToy同步備份自己的工作文件。與其說是為了防止病毒，不如說我更擔心電腦SSD損壞。

緊接著，去年8月？大概是這個時間？Shadow Brokers聲稱從NSA TAO團隊泄露獲得了一批安全漏洞，這些漏洞已存在較長時間，***面及威力都較為驚人。

可參考一些鏈接：

The Shadow Brokers:

https://en.wikipedia.org/wiki/The_Shadow_Brokers

NSA Equation Group hacking tools leak:

https://arstechnica.com/security/2016/08/hints-suggest-an-insider-helped-the-nsa-equation-group-hacking-tools-leak/

http://www.reuters.com/article/us-intelligence-nsa-commentary-idUSKCN10X01P

拿到這些利器，怎么可能不用呢？在今年4月吧，這些武器開始放出來并待價而沽。

\'NSA malware\' released by Shadow Brokers hacker group

http://www.bbc.com/news/technology-39553241

那么，除了這次廣為人知的永恒之藍，還有那些武器放出來了呢？老司機即將發(fā)車，請坐穩(wěn)扶好。

ETERNALROMANCE — Remote privilege escalation (SYSTEM) exploit (Windows XP to Windows 2008 over TCP port 445) ENTERNALCHAMPION, ETERNALSYSTEM — Remote exploit up to Windows 8 and 2012 ETERNALBLUE — Remote Exploit via SMB & NBT (Windows XP to Windows 2012) EXPLODINGCAN — Remote IIS 6.0 exploit for Windows 2003 EWORKFRENZY — Lotus Domino 6.5.4 and 7.0.2 exploit ETERNALSYNERGY — Windows 8 and Windows Server 2012 FUZZBUNCH — Exploit Framework (Similar to Metasploit) for the exploits.

A separate analysis by researcher Kevin Beaumont found three zerodays affecting Windows systems. They are Esteemaudit-2.1.0.exe, a Remote Desktop exploit that installs an implant on Windows Server 2003 and XP; Eternalchampion-2.0.0.exe, which also works against SMB; and the previously mentioned Eternalblue. Beaumont found four other exploits that he believes may be zerodays, including Eskimoroll-1.1.1.exe, a Kerberos attack targeting domain controllers running Windows Server 2000, 2003, 2008 and 2008 R2; Eternalromance-1.3.0.exe, Eternalromance-1.4.0.exe, an update of Eternalromance-1.3.0.exe; and Eternalsynergy-1.0.1.exe, a remote code-execution attack against SMBv3.

With the exception of Esteemaudit, the exploits should be blocked by most firewalls. And best practices call for remote desktop connections to require use of a virtual private network, a practice that should make the Estememaudit exploit ineffective. Microsoft also recommends that organizations disable SMBv1, unless they absolutely need to hang on to it for compatibility reasons, which may block Eternalblue. That means organizations that are following best practices are likely safe from external attacks using these exploits. There\'s no indication any of the exploits work on Windows 10 and Windows Server 2016, although it\'s possible the exploits could be modified to work on these operating systems.

這篇文章發(fā)表于2017/04/15，這個時侯微軟的相關(guān)補丁已經(jīng)發(fā)布了。全文在：

https://arstechnica.com/security/2017/04/nsa-leaking-shadow-brokers-just-dumped-its-most-damaging-release-yet/

可以說，正是結(jié)合了這些戰(zhàn)略級的漏洞工具，WanaCry及其變種才能夠來勢洶洶。

0Day***工具之下，微軟是否無動于衷？可參看：

https://arstechnica.com/security/2017/04/purported-shadow-brokers-0days-were-in-fact-killed-by-mysterious-patch/

行動

作為IT行業(yè)從業(yè)人員，最直接的行動，肯定是第一時間了解原委，抓緊每一秒鐘堵塞漏洞，盡量替用戶挽回損失。如何快速防御，在前一篇Blog中已經(jīng)簡單介紹，不復(fù)贅述。醒過神之后，我們也需要一點時間，來思考為什么看上去很安全的架構(gòu)，在這樣的***面前顯得如此脆弱。

的一個原因，是對補丁工作的漠視。用戶不懂，那是可以理解的；作為IT從業(yè)人員，漠視補丁就有點讓人不那么能接受了。實際上包括幾個0Day***工具在內(nèi)的大部分***手段，微軟都在第一時間發(fā)布了補丁，比如MS17-010：

Code Name Solution “EternalBlue” Addressed by MS17-010 “EmeraldThread” Addressed by MS10-061 “EternalChampion” Addressed by CVE-2017-0146& CVE-2017-0147 “ErraticGopher” Addressed prior to the release of Windows Vista “EsikmoRoll” Addressed by MS14-068 “EternalRomance” Addressed by MS17-010 “EducatedScholar” Addressed by MS09-050 “EternalSynergy” Addressed by MS17-010 “EclipsedWing” Addressed by MS08-067

需要提醒的是，病毒一定會產(chǎn)生新的變種，防御并不是打完這一個MS17-010就搞定了。千萬別防止了最新的漏洞，卻沒防住早就有補丁的漏洞。

還有就是，再次強調(diào)，

1、打補丁打補丁打補丁。盡快打補丁，WSUS、SCCM、組策略安裝、腳本安裝甚至手動安裝，盡快。企業(yè)推薦WSUS，簡單易行，也避免了最近官網(wǎng)補丁下載過多難以訪問的困難。

2、不要盲目聽從所謂專家意見封端口。已經(jīng)很多用戶在封端口之后，出現(xiàn)了應(yīng)用故障和系統(tǒng)異常。不知道有什么影響的時候，切記謹慎操作。

3、也不要聽信某些無底線廠商號稱的0Day響應(yīng)。您早干嘛去了？測試過***代碼么？三月份至今有提醒過用戶防御嗎？除了微軟官網(wǎng)的補丁，不要使用來源不明的補丁程序，誰知道里面有什么？已經(jīng)有用戶打完補丁起不來了。

這些還不夠，需要繼續(xù)在架構(gòu)上思考，還有這種***，我們該如何應(yīng)對。

首先了解風險。除了前文的簡介，還有一張來自Citrix Blog的圖幫助理解：

https://www.citrix.com/blogs/2017/05/16/wannacry-why-citrix-customers-are-not-crying-today/

WannaCry***會有三步。架構(gòu)應(yīng)對也須對應(yīng)。

第一步，感染。

不論是如何獲得病毒代碼，郵件也好、鏈接也好，利用系統(tǒng)漏洞遠程執(zhí)行也好，病毒需要在本地運行，然后才能夠繼續(xù)破壞動作。因此，在本地禁止運行或者堵塞漏洞讓運行失效就是我們在感染階段想要實現(xiàn)的目標。

補丁。對于管理員來說，補丁總是個痛苦的事情，因為你無法掌控所有的PC什么時候打補丁，是不是真的打上了補丁。即使我們使用WSUS，甚至SCCM，都沒法保證100%。所以，最合適的安全桌面，就是標準桌面。作為一個搞過多年終端管理項目的TC，從傳統(tǒng)PC ghost，到WDS、WinPE、SCCM OSD，再到VDI，如果不是池化的標準桌面，桌面維護支持人員永遠也走不出噩夢。技術(shù)發(fā)展，用戶的大多個性化需求都能夠通過配置文件管理、個人磁盤 PvD、AppLayer等技術(shù)得到滿足。而應(yīng)用的多樣化需求，則可以通過虛擬桌面+虛擬應(yīng)用的方式實現(xiàn)靈活性。我的觀點是，企業(yè)工作桌面，就不應(yīng)該隨便給管理員權(quán)限。如果真的有少數(shù)個人安裝需求，可以通過基于RunAs的小工具來實現(xiàn)，例如很久前我寫了一個：

管理員把用戶需要運行的命令行和自己的用戶名密碼進行加密。

經(jīng)過加密的命令行，就無需擔心管理員密碼泄露了。而且也只能用于運行經(jīng)過管理員確認的命令行。上圖例子就是打開一個IE窗口訪問Bing.com。

因此，強烈推薦使用單一鏡像能夠集中升級所有桌面的部署方式，即池化桌面。特別是PVS，模板更新后，幾分鐘之內(nèi)所有的桌面就都更新了。天下武功，唯快不破嘛~

防毒。不管桌面運行在物理機還是虛擬機，開放到外網(wǎng)還是運行在內(nèi)網(wǎng)，防病毒工作總是需要的。殷鑒不遠。傳統(tǒng)的防病毒效率在虛擬桌面上非常吃力，因為集中地更新和殺毒常常消耗了所有的系統(tǒng)資源。至少把批量更新和殺毒的時間間隔開。目前也有所謂無代理殺毒，將經(jīng)過虛擬化IO的數(shù)據(jù)進行掃描。更加好的辦法是使用虛擬化底層的掃描。一旦風險代碼加載到內(nèi)存，不論是在哪一個虛擬機，虛擬化底層都直接禁止運行。XenServer新的版本提供了接口，目前國內(nèi)已有廠商有對應(yīng)防病毒產(chǎn)品。細節(jié)可訪問Citrix官網(wǎng)，或聯(lián)系電話售前。

第二步，傳染。

不能傳染的病毒不是好病毒。哈哈。常見病毒傳播途徑，不外乎移動存儲介質(zhì)、郵件附件、惡意鏈接和網(wǎng)絡(luò)***。讓我們分別來看看是否從架構(gòu)上能做一些工作。

文件復(fù)制。虛擬桌面的協(xié)議應(yīng)該具備本地存儲重定向和文件傳輸?shù)牟呗怨芸啬芰?，這樣可以隨時根據(jù)需要，限制客戶端直接向內(nèi)網(wǎng)的桌面復(fù)制文件。傳統(tǒng)上如果想對所有的桌面進行文件傳輸并做掃描，會難以確保所有桌面都及時更新防護軟件，確保統(tǒng)一的安全基線。有個變通的方法就是，發(fā)布文件管理器應(yīng)用，并且嚴格應(yīng)用所運行的服務(wù)器的病毒防護和掃描。由于減少了文件可能的入口數(shù)量，確保及時更新防護軟件和管理變得相對簡化。

郵件附件和惡意鏈接。完全可以讓郵件訪問和瀏覽器脫離桌面去運行。基于和以上相同的原因，在同等條件下，減少運行的系統(tǒng)數(shù)量，也就意味著可能感染的數(shù)量的減少。舉例而言，1000個用戶使用桌面，如果他們都使用郵件客戶端和瀏覽器瀏覽潛在風險網(wǎng)站，那么就有1000個可能的感染系統(tǒng)需要防護應(yīng)對。而轉(zhuǎn)成虛擬應(yīng)用，假設(shè)一臺虛擬服務(wù)器允許50個用戶使用，那么防護就變得只需要針對20臺虛擬應(yīng)用服務(wù)器。更為重要的是，安全郵件訪問服務(wù)器和安全瀏覽器，能夠做到網(wǎng)絡(luò)隔離。對于企業(yè)而言，不論是部署在低完全級別網(wǎng)絡(luò)的桌面訪問高安全級別網(wǎng)絡(luò)的應(yīng)用，還是部署在高完全級別網(wǎng)絡(luò)的桌面訪問低安全級別網(wǎng)絡(luò)的應(yīng)用，都能夠輕松實現(xiàn)。再也不用使用兩臺PC或者帶開關(guān)的網(wǎng)卡了。這個架構(gòu)已經(jīng)呼之欲出了，沒錯，就是虛擬桌面嵌套虛擬應(yīng)用。既能通過標準部署響應(yīng)需求的靈活性，同時又不失之安全。

網(wǎng)絡(luò)***。網(wǎng)絡(luò)層面我只想說兩點。雖然虛擬化平臺可以通過虛擬交換機實現(xiàn)ACL和QoS，但是真的不建議不了解的情況下去關(guān)閉端口，已經(jīng)有無數(shù)慘痛案例可供參考了。而最重要的，就是×××是不是安全？對我而言，×××當然不安全?！痢痢潦呛芎唵味畠r的遠程接入方式，可是，在連接到內(nèi)網(wǎng)的同時，難以防護的客戶端就繞過了防火墻連接到了安全的內(nèi)網(wǎng)。沒錯，×××可以使用隔離區(qū)，可以做網(wǎng)絡(luò)準入判斷防病毒和補丁更新是否滿足要求，但都不如只允許單向的單應(yīng)用接入。

例如NetScaler對ICA協(xié)議的代理接入。除了Receiver，客戶端設(shè)備上的系統(tǒng)和應(yīng)用并不能訪問位于內(nèi)網(wǎng)的資源。這樣，就杜絕了客戶端利用×××進行的網(wǎng)絡(luò)***和傳播。

第三步，破壞。

所有病毒和惡意代碼的最終目的，必然是破壞和/或牟利。對于WannaCry勒索病毒來說，目的很簡單，加密有價值的文件，要求用戶交付比特幣的贖金以牟利和出名。如何從架構(gòu)上來盡量減少可能的損失影響呢？文件的話，我想可以分為存放和共享兩個話題吧。

文件存放。按照虛擬桌面的做法，建議操作系統(tǒng)、應(yīng)用和數(shù)據(jù)盡可能的分離，已實現(xiàn)的靈活度和管理。前文說過，類PC的虛擬桌面難以實現(xiàn)集中化管理。一方面，數(shù)據(jù)分散在每一個桌面中，難以集中掃描和安全管理，也造成大量重復(fù)存儲的浪費。另一方面，分散的數(shù)據(jù)也幾乎無法進行備份。

因此，建議將用戶數(shù)據(jù)從桌面剝離，使用用戶配置文件重定向、網(wǎng)絡(luò)磁盤及配額管理乃至CPM、AppLayer的用戶數(shù)據(jù)分層等。不大建議使用個人磁盤，雖然可以利用存儲的去重，感覺還是難以節(jié)省存儲和管理。保存的位置，除了文件服務(wù)器，也可以使用NAS。這樣，用戶的數(shù)據(jù)得以集中存放和管理，便于集中防病毒和備份。試想一下，發(fā)現(xiàn)中招之后，第一時間更新文件服務(wù)器的防病毒和補丁，便可避免病毒程序通過文件共享繼續(xù)傳播。而定時的文件備份，花不了太多的存儲空間，卻能夠在真的文件被綁架時，通過備份進行一定的恢復(fù)。

文件共享。由于本次病毒利用了文件共享CIFS/SMB的SMBv1的漏洞，不得不引發(fā)我們對用戶間數(shù)據(jù)共享的一些思考。是不是可以引入其他的文件共享方式呢？比如WebDAV，企業(yè)網(wǎng)盤？Citrix的ShareFile便是目前位于領(lǐng)導(dǎo)者象限領(lǐng)頭的文件安全共享產(chǎn)品。文件共享不再進行客戶端之間的文件傳輸，而是通過鏈接憑據(jù)去服務(wù)器上提取文件，并作相應(yīng)的權(quán)限和控制。

綜上，可以發(fā)現(xiàn)通過調(diào)整現(xiàn)有桌面架構(gòu)，使用合適的方案，其實可以大幅減少***成功概率以及造成的損失。事實上截止到現(xiàn)在，我尚未收到使用合適虛擬桌面方案的客戶收到WannaCry***造成損失的通告，更多的聽信讒言貿(mào)貿(mào)然封閉端口造成的系統(tǒng)和用戶使用問題。

需要提醒使用一些基于開源開發(fā)的虛擬桌面的用戶，請一定及時修補漏洞。據(jù)我所知，很多號稱自主可控的虛擬桌面方案，基于KVM+早期RDP來實現(xiàn)。出現(xiàn)基于早期RDP協(xié)議漏洞對虛擬桌面進行大肆***并不是癡人說夢。就像我們爭論為何這些病毒沒有去***MAC系統(tǒng)一樣，我覺得，這只取決于能夠獲得多大利益。

也許正如Citrix那篇Blog所言，Our customer are not crying today. 寫這篇東西的目的很單純，一句話：

I don\'t Wanna you Cry. 但愿天下所有的淚水，都是喜極而泣。

網(wǎng)站欄目：WannaCry？這才剛開始…
網(wǎng)站地址：http://www.rwnh.cn/article16/cgssgg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站維護、網(wǎng)站收錄、網(wǎng)站導(dǎo)航、面包屑導(dǎo)航、自適應(yīng)網(wǎng)站、建站公司

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)