阴影下的庇护所2017安全手册---应对下一次“影子代理人”攻击。

TOM2000

事件回顾,4月一名神秘的“影子代理人”发布了多个Windows黑客工具,这些工具据称来自美国国家安全局(NSA)。
但是其实早在1月份问题就被曝光,2月份微软跳过了常规的“周二补丁”升级,3月份微软同时修复了多个漏洞,而此前几年没有人知道这些漏洞的存在。很明显,微软知道了这些漏洞。信息安全研究员穆斯塔法·阿尔-巴萨姆(Mustafa Al-Bassam)提出了自己的解释,即微软花钱买到了这些漏洞的信息。不过,Zerodium CEO乔基·贝克拉(Chaouki Bekrar)则认为,“影子代理人”向微软提供了信息。

一些安全公司在偷换概念,声称可以对wannacry 进行数据恢复,但是他们恢复的都是加密过的文件,而且不是100%的恢复且成功率不高,更关键wannacry 使用的是aes-128位加密,除非使用超算级别(天河等)的大型计算机,否则几乎不存在暴力破解的可能性!!!

问题是没有知道“影子代理人”从NSA窃取多少工具,而且“影子代理人”发布消息说只要付钱他们就是卖相关的网络战工具。问题更关键是没有人清楚这些工具利用的漏洞是否被安全专家或微软发现,就是说有大量的潜在的所谓0day威胁。

何为0day
0day 起源于软件破解,它在信息安全意义上的0Day是指在系统商在知晓并发布相关补丁前就被掌握或者公开的漏洞信息。
2005年12月8日,几乎影响Windows所有操作系统的WMF漏洞在网上公开,虽然微软在8天后提前发布了安全补丁(微软的惯例是在每月的第一个周二),但就在这8天内出现了二百多个利用此漏洞的攻击脚本。漏洞信息的公开加速了软件生产企业的安全补丁更新进程,减少了恶意程序的危害程度。但如果是不公开的0Day呢?WMF漏洞公开之前,又有多少人已经利用了它?是否有很多0Day一直在秘密流传?例如,给全球网络带来巨大危害的“冲击波”和“震荡波”这两种病毒,如果它们的漏洞信息没有公开,自然也就没有这两种超级病毒的产生。反过来想,有什么理由认为眼下不存在类似的有着重大安全隐患的漏洞呢?(Dtlogin远程溢出漏洞于2002年被发现,2004年公布。)
看不见的才是最可怕的,这就是0Day的真正威胁。

所以说理论上0Day出现后,除非微软发布补丁,否则杀毒软件和防火墙是很难阻止的,但是本次勒索病毒利用是445端口漏洞,如果防火墙或0Day防御软件提前做好预防实际上也确实如此,是可以避免的。因为445端口之前就已经被黑客和病毒利用,电信等早就封堵445端口也就造成在中国基本都是在几个大型内网传播,而这些内网往往都是没有做安全设置的。所以勒索病毒没有更进一步的爆发就是它用的是个老的很敏感的端口!我们一些安全产品和WWW已经提前封堵(封堵原因不是这次利用的漏洞,而且以前其它同样利用445端口的漏洞)


面对将来可能还会发生攻击,我们将如何防范。

升级操作系统
XP的安全支持已经到期,微软这次专门给XP发布补丁已经非常罕见。所以用户不要抱侥幸心理,而且用户应该略过WIN7,8这样的系统。因为WIN7,8依旧微软提供安全升级但是已经快到期,而且WIN7,8补丁没有WIN10完善,比如FLASH在WIN7,8中用户只能单独升级,而WIN10FLASH补丁已经自动集成到安全更新中。

什么是补丁,我要特别说明,用户可能感觉不断弹出的补丁提示很烦,但是补丁的作用要远远大于杀毒软件和其它安全产品。因为漏洞是是目前黑客最主要的攻击方式,而唯有补丁才可以彻底的解决漏洞问题,而杀毒软件等对这点基本没有太多的办法。我做个比方补丁就好比是人体免疫体统,你根本就感觉不到它的存在但是它却抵挡预防你绝大多数病毒感染和疾病袭击。而药就是杀毒软件它只有在你中毒或感染后才起效。人可以不吃药,但是人不能没有免疫系统。

用户目前装机绝大多数都是电脑城或其它人使用的GHOST,这样对装机小哥有巨大的好处因为它可以大大减少装机时间也免去在装其它工具软件的麻烦,但是GHOST对用户可就没有那么友好,因为GHOST中WIN文件是被大量精简和修改,用户无法保证你系统是不是被做手脚或者是不是本身就是“带病上阵“。所以有条件的用户最好自己使用微软原始镜像自己做系统,如果用户没有这个能力和条件也最起码查看一下自己系统自动更新是否开启,是否正常工作。



杀毒软件
倒退几年杀毒软件可能可以单独应对网络安全事件,但是现在你指望装一个杀毒软件就能保平安就是笑话。因为传统意义上的病毒和木马攻击已经基本消亡,用户的计算机基本不会被病毒直接破坏。用户面临更多的自己隐私泄露和资金窃取或勒索病毒这样直接针对用户金钱的攻击。面对这样攻击单单靠杀毒软件基本是没有办法应付。而且更关键目前国内杀毒软件本身就是”全家桶“性质,用户确实会享受到免费的安全服务,但是更多是自己计算机被安全产品绑架装很多用户自己不想装的东西,而且还更多的潜在的手段是用户感觉不到的,而且这些东西用户靠简单卸载是卸载不干净的,也就是说”全家桶“到家,你除非格掉整个系统,否则普通用户自己是永远摆脱不掉的,就是专业用户有能力自己手动删除,所付出的时间也远大于重装系统花费的时间。


防火墙
这是一个被用户和安全公司遗忘的产品,但是事实上wannacry证明一些时候防火墙起到的作用要远远大于杀毒软件,比如这次勒索病毒安全软件基本全部灭灯的情况下,防火墙只是一次紧急升级就是关掉445端口,这是一个什么概念就是全部安装这个防火墙的用户只要收到升级,就会避免感染。这是什么概念基本就是等于装这个防火墙用户第一时间有了免疫能力。它的效果要远远的好用杀毒软件!


但是非常可惜我们安全厂商因为用户不重视防火墙,现在基本已经停止防火墙维护和研发上的投入。所以面对越来越专业的网络安全威胁,单单靠杀毒软件的时代已经过去,杀毒软件防火墙等配合才能起到更有效的防御效果。


0DAY安全产品
有很多0DAY安全产品,大着可以提前预防漏洞的旗号。我们自己看法就是他们可能会有效果但是效果有限,比如这次勒索病毒它利用445这个漏洞,一款0DAY安全产品提前做预防445。那它确实起效了,但是你不能说它体现对关漏洞MS17-010提前就有防御,仅是445也被其它漏洞所利用,所以0DAY安全产品因为别的漏洞封掉445口,所以它能提前预防勒索病毒不是本身技术先进而是”附带收益而已“

简单说

1安装系统之前确定系统镜像安全性


2非必要的情况下,系统最好升级到WIN10RS2 并且开始自动更新。


3杀毒软件不是安全唯一方案,不能把安全仅给予杀毒软件上,而且有时候所谓安全软件自己本身就很流氓。所以选择一款靠谱的杀毒软件,在配合一个你会用的防火墙。会让你更安全。对于有能力的用户在路由器的安全设置要远远好于单机安全产品。


4有能力重要数据做好备份,nas私有云很方便但是也会感染,所以独立数据保存的移动硬盘安全性要高于nas和U盘。


计算机安全是枯燥无味的,你花时间为一个良好安全习惯比别人更谨慎的使用计算机,别人可能都免费用软件你却选择付费或用的是自己精心挑选过安全产品,别人可能对升级提示永远选着延后,而你却第一时间选着中断其它活动等待更新。但是总有一天这些都会看似无用的行为终将给你回报。
最后编辑麦青儿 最后编辑于 2017-05-18 14:41:58
TOM2000的城堡

任何人任何软件都无法让你达到绝对安全,我们所做的只是最大限度的使你趋近于这个目标!