個人端與防火牆UTM端對應目前 WannaCry 勒索蠕蟲已經變種並針對舊的作業系統 Windows XP,Windows Vista, Windows 7, Windows 8, Windows Server 2003 等進行攻擊並已傳出大量災情。微軟已經破例支援安全性更新,眾至資訊提供個人用戶端、防火牆端設定,供使用者應此攻擊。 個人用戶端建議 為因應勒索軟體 WanaCrypt0r 2.0 開機前請先注意: 1. 開機前先拔掉網線斷開網路,啟動 Windows 後並關閉 TCP、UDP445、135、137、138、139 Port,然後再接入網路。 2. 目前微軟已發佈更新 MS17-010 系統漏洞套件,請儘快為電腦安裝此套件。 3. 若怕還沒更新就先染上勒索病毒,可以先用別的電腦或手機,在以下的微軟官網尋找更 新程式,下載後自行安裝。 https://technet.microsoft.com/en-us/library/security/ms17-010.aspx 防火牆端建議 (以 ShareTech 防火牆為例) 為因應勒索軟體WanaCrypt0r 2.0,管理者可以採用三個步驟 (封鎖IP、封鎖port、允許Domain最後至條例套用) 1. 封鎖 WannaCry-IP 列表如下,共計 14 筆 128.31.0.39/32 213.61.66.116/32 146.0.32.144/32 217.79.179.77/32 188.138.33.220/32 38.229.72.16/32 188.166.23.127/32 50.7.161.218/32 193.23.244.244/32 79.172.193.32/32 2.3.69.209/32 81.30.158.223/32 212.47.232.237/32 89.45.235.21/32 至 管理目標 > 位址表 > 外部網路群組 > 新增 > 使用者自訂 IP 2. 封鎖 WannaCry 攻擊的 port 至管理目標 > 服務表 > 服務群組 > 新增 3. 允許 WannaCry 網域 iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 此設定之用意為觀察用,若發現此 domain 有解析到 IP , 且封包追蹤有紀錄,代表內部有 PC 嘗試對此 domain 連線,此時需特別注意感染風險 4. 設定條例, 可參考眾至官網 Demo 機 4-1. 至管制條例 > LAN ( DMZ )的管制 > LAN ( DMZ ) 對 WAN 管制 > 新增 4-2. 新增一筆,來源: inside_any;目的: Outside_any;動作:拒絕;服務:WannaCry (為方法所「二」新增的服務群組) 4-3. 新增一筆,來源: inside_any;目的:WannaCry-IP (為方法一所新增之 IP);動作:拒絕 4-4.新增一筆,來源: inside_any;目的: (為方法「三」所新增之 Domain);動作:允許
1 評論
|
|