導(dǎo)語：計(jì)算機(jī)病毒防范及應(yīng)對策略一文來源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：介紹了內(nèi)部局域網(wǎng)與廣域網(wǎng)的區(qū)別，提出了計(jì)算機(jī)病毒在不同環(huán)境下需要不同的處理方案，通過梳理震網(wǎng)病毒事件，并結(jié)合作者實(shí)際工作中經(jīng)歷的WannaCry病毒應(yīng)急處理案例進(jìn)行內(nèi)部局域網(wǎng)的風(fēng)險(xiǎn)分析，提出了普適性較強(qiáng)的防范及應(yīng)對辦法。

關(guān)鍵詞：內(nèi)部局域網(wǎng)；病毒；震網(wǎng)病毒；勒索病毒

1概述

以前郵差的健康，影響著信息的傳遞效率；如今網(wǎng)絡(luò)的健康，決定了數(shù)據(jù)的通信情況。從這個(gè)角度來看，作為病毒，同樣都會給通信帶來負(fù)面影響，不同的是它附著的載體發(fā)生了變化。醫(yī)人需要對癥下藥，解決計(jì)算機(jī)病毒也需要因地制宜。當(dāng)下的信息時(shí)代里，像國防、金融、通信、工業(yè)等維持國家穩(wěn)定運(yùn)轉(zhuǎn)的重要組成，它們的日常運(yùn)作或出于工作便利、或出于安全保密的因素都會依托于內(nèi)部局域網(wǎng)，而如何處理在網(wǎng)絡(luò)中的計(jì)算機(jī)病毒則成為一個(gè)重要環(huán)節(jié)。

2內(nèi)部局域網(wǎng)的特性

計(jì)算機(jī)網(wǎng)絡(luò)可以分為廣域網(wǎng)及局域網(wǎng)，所涉及的網(wǎng)絡(luò)環(huán)境為獨(dú)立組網(wǎng)，并與其他網(wǎng)絡(luò)環(huán)境物理隔離的內(nèi)部局域網(wǎng)。內(nèi)部局域網(wǎng)通常具備的特性有：（1）相較廣域網(wǎng)更高的傳輸速率；（2）覆蓋地理范圍較小；（3）具有較低的誤碼率及較低的時(shí)延；（4）文件及設(shè)備共享較廣域網(wǎng)中更便捷；（5）網(wǎng)絡(luò)環(huán)境隔離，與廣域網(wǎng)無數(shù)據(jù)通信。可以說局域網(wǎng)在構(gòu)建了一個(gè)封閉系統(tǒng)，與外界物理隔離后，網(wǎng)絡(luò)環(huán)境的安全取決于人工操作的合規(guī)性及內(nèi)部信任程度。如果由于人員操作不當(dāng)，致使某種病毒或惡意代碼進(jìn)入局域網(wǎng)某終端設(shè)備，繼而由于相互信任關(guān)系導(dǎo)致監(jiān)控管控力度不足，致使病毒或惡意代碼肆意傳播，最終于局域網(wǎng)內(nèi)大規(guī)模爆發(fā)產(chǎn)生不良后果。所以，內(nèi)部局域網(wǎng)只有在對外物理隔離對內(nèi)保持監(jiān)控及實(shí)時(shí)可控的情況下才能更好地為員工及企業(yè)服務(wù)。

3震網(wǎng)病毒事件

震網(wǎng)病毒正式走入公眾視野是在2010年11月29日，由時(shí)任伊朗總統(tǒng)的內(nèi)賈德在官方承認(rèn)，伊朗的核設(shè)施受到了黑客攻擊，造成了離心機(jī)故障并導(dǎo)致反應(yīng)堆無法正常工作，使得伊朗的核計(jì)劃至少推遲了兩年。而造成一系列問題的根源就是發(fā)作于2009年6月起在全球開始傳播的Stuxnet病毒，中文譯作震網(wǎng)病毒。該病毒破壞力強(qiáng)，波及面大，且目的性強(qiáng)，它不同于普通病毒以傳播垃圾信息、篡改系統(tǒng)配置、盜取用戶信息等主要以獲取利益為驅(qū)動的作用機(jī)理，而是通過感染工業(yè)控制計(jì)算機(jī)，來對重要設(shè)施進(jìn)行破壞，影響其正常運(yùn)行，造成巨大安全風(fēng)險(xiǎn)。震網(wǎng)病毒主要利用了Windows操作系統(tǒng)的MS10-046漏洞、MS10-061漏洞、MS08-067等多種漏洞，偽裝數(shù)字簽名繞過檢測后，針對西門子公司控制系統(tǒng)中的監(jiān)控與數(shù)據(jù)采集模塊（SCADA系統(tǒng)），進(jìn)行數(shù)據(jù)的攔截、竊取和修改?？梢哉f震網(wǎng)病毒的復(fù)雜性和高端性及主要作用于工業(yè)控制系統(tǒng)的特征，都使它的定義成為了一種信息時(shí)代的攻擊手段。震網(wǎng)病毒可以在U盤與主機(jī)插接連通之后，盡管未獲得許可、未執(zhí)行任何進(jìn)程，仍能將病毒注入主機(jī)，這也使得它能在欠缺準(zhǔn)入控制的物理隔離的網(wǎng)絡(luò)中肆意妄為。一度被廣泛接納的觀點(diǎn)，即該病毒是以美國為主的西方國家創(chuàng)造并用于制約伊朗核計(jì)劃進(jìn)程的工具。

4WannaCry病毒應(yīng)急處理案例

以在某公司內(nèi)部局域網(wǎng)維護(hù)工作中遇到的一起風(fēng)險(xiǎn)較大、知名的病毒傳播案例進(jìn)行分析，闡述了該病毒在全球領(lǐng)域爆發(fā)的過程、所任職的信息化部門在事件中的應(yīng)急處理辦法。病毒由漏洞利用模塊、加密器、解密器3部分組成。病毒利用MS17-010漏洞進(jìn)行入侵，通過加密器完成主要攻擊步驟，隨后通過解密器進(jìn)行勒索。具體攻擊WannaCry勒索病毒常見的解決方案參照圖中邏輯過程，分別為：（1）在病毒利用漏洞進(jìn)入終端的過程中，工程師可以提前通過禁用端口的方式進(jìn)行攔截：由于該病毒利用的MS17-010是針對Windows操作系統(tǒng)上的關(guān)于SMB服務(wù)的漏洞，而該服務(wù)需要通過TCP445端口進(jìn)行通信，因而禁用該端口即可完全阻止病毒利用漏洞入侵，而且該方法操作難度小，一般都可以熟練掌握。（2）通過打補(bǔ)丁對終端進(jìn)行處理：針對MS17-010漏洞，微軟雖然在病毒爆發(fā)前放出了補(bǔ)丁，但并未得到使用者足夠重視及大規(guī)模的更新。伴隨病毒大規(guī)模爆發(fā)，企業(yè)、個(gè)人計(jì)算機(jī)使用者開始重新重視并下載該補(bǔ)丁。微軟面向所有操作系統(tǒng)均配備了對應(yīng)版本的補(bǔ)丁，該方式能完全防御該病毒。（3）通過研究病毒樣本的發(fā)作機(jī)理及邏輯，防病毒工程師們發(fā)現(xiàn)該病毒存在一個(gè)類似后門的滅活開關(guān)，因?yàn)樵诟腥竞蟮絾臃?wù)之間存在一個(gè)觸發(fā)邏輯為，判斷終端能否訪問iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com，如不能訪問該域名則服務(wù)啟動，繼而開始攻擊。因而工程師可以在內(nèi)部局域網(wǎng)中建立一個(gè)域名，搭建內(nèi)部解析服務(wù)（DNSServer）建議映射關(guān)系，將該域名地址解析到局域網(wǎng)WebServer中一個(gè)合法的IP地址，使得內(nèi)部局域網(wǎng)用戶可以訪問該域名，即可實(shí)現(xiàn)對病毒的免疫。（4）在攻擊邏輯中，加密器啟動后病毒程序會判斷染毒終端中是否已經(jīng)有一個(gè)加密器程序存在，防止病毒程序重復(fù)運(yùn)行互相產(chǎn)生干擾。因而，工程師們通過創(chuàng)建一個(gè)名為MsWinZonesCacheCounterMutexA的互斥體，通過誤導(dǎo)病毒程序，就可以使病毒運(yùn)行之后自動退出，無法完成后續(xù)攻擊步驟，部分殺毒軟件即使用了該辦法。在實(shí)際情況中，工作環(huán)境為內(nèi)部局域網(wǎng)，一旦病毒在內(nèi)網(wǎng)爆發(fā)，不論是文件共享機(jī)制下染毒文件極易傳播亦或是因工作需要導(dǎo)致防火墻訪問控制的限制較少，都對病毒傳播提供了便利條件。在獲取輿情及了解到該病毒的威脅后，信息化部門立即制定應(yīng)急響應(yīng)方案，并于24小時(shí)內(nèi)完成了以下工作：（1）各部門的終端訪問控制設(shè)置為僅能訪問登錄認(rèn)證服務(wù)器（基于Linux）用于開機(jī)登錄。（2）通過聯(lián)系各部門的信息化負(fù)責(zé)人，講授如何關(guān)閉TCP445端口并實(shí)施。（3）下載補(bǔ)丁，根據(jù)服務(wù)器、計(jì)算機(jī)的操作系統(tǒng)版本進(jìn)行鋪設(shè)及安裝。在確保內(nèi)部局域網(wǎng)安全后，開放了訪問控制，并在后續(xù)工作中，團(tuán)隊(duì)自互聯(lián)網(wǎng)獲取有關(guān)該病毒的更為全面的介紹及分析，積極與國內(nèi)知名防病毒廠商的工程師進(jìn)行溝通獲得幫助，并及時(shí)對各服務(wù)器、計(jì)算機(jī)的殺毒軟件的病毒庫進(jìn)行了針對勒索病毒的更新。

5內(nèi)部局域網(wǎng)病毒的防范與應(yīng)對

震網(wǎng)病毒及Wannacry勒索病毒分別代表了兩種內(nèi)部局域網(wǎng)中病毒爆發(fā)的途徑：據(jù)置信度較高的報(bào)道稱，震網(wǎng)病毒是歐美間諜進(jìn)入伊朗核電站，經(jīng)由介質(zhì)（U盤）直接連接內(nèi)網(wǎng)終端將病毒導(dǎo)入，自內(nèi)部發(fā)作；而Wannacry病毒經(jīng)由互聯(lián)網(wǎng)傳播，病毒攻擊邏輯使得每個(gè)被感染終端均成為新的攻擊發(fā)起者，向若干隨機(jī)IP發(fā)送數(shù)據(jù)包，并最終侵入防范措施不得當(dāng)?shù)膬?nèi)部局域網(wǎng)。這兩種入侵途徑互為補(bǔ)充及衍生，即介質(zhì)自內(nèi)感染后病毒通過文件的導(dǎo)出會影響到互聯(lián)網(wǎng)；介質(zhì)中病毒也存在隨文件自外網(wǎng)導(dǎo)入內(nèi)網(wǎng)的可能。從病毒的防范角度出發(fā)，需要做到：（1）嚴(yán)格控制文件的中轉(zhuǎn)導(dǎo)入，設(shè)置多重病毒查殺過程。（2）可通過物理封堵或軟件管控禁止內(nèi)部局域網(wǎng)中的服務(wù)器、計(jì)算機(jī)能夠直接讀寫介質(zhì)。（3）加強(qiáng)計(jì)算機(jī)使用者的防病毒意識，在高危病毒發(fā)作期間減少不必要的文件傳遞，一旦出現(xiàn)感染情況應(yīng)當(dāng)立即報(bào)備信息化責(zé)任部門進(jìn)行處理，條件允許則立即作脫網(wǎng)處理。（4）提高使用者防范計(jì)算機(jī)病毒的意識。從病毒的應(yīng)對角度開展應(yīng)急工作，需要做到：（1）“化整為零”，將內(nèi)部局域網(wǎng)以設(shè)備為個(gè)體進(jìn)行拆分，除特殊情況外避免設(shè)備之間存在通信可能。（2）完成內(nèi)部局域網(wǎng)設(shè)備加固前，不建議進(jìn)行文件的中轉(zhuǎn)導(dǎo)入。（3）通過研究病毒的發(fā)作機(jī)理及攻擊邏輯，制定有效的防范措施。（4）對疑似或已經(jīng)染毒的設(shè)備立即進(jìn)行物理隔離，并調(diào)查該設(shè)備近期文件傳遞情況，將與之產(chǎn)生過通信的設(shè)備進(jìn)行排查。如能定位染毒文件則追溯染毒文件來源并跟進(jìn)處理。（5）與防病毒廠商積極溝通，獲取解決辦法及病毒庫的及時(shí)升級。依靠嚴(yán)格的管控機(jī)制及物理隔離，使內(nèi)部局域網(wǎng)工作環(huán)境中的設(shè)備不暴露于互聯(lián)網(wǎng)環(huán)境下；通過運(yùn)用有效的防病毒軟件對網(wǎng)絡(luò)定期進(jìn)行檢查及隱患消除；建立完善的應(yīng)急響應(yīng)預(yù)案，于突發(fā)狀況中快速反應(yīng)，保障網(wǎng)絡(luò)安全?？墒沟脙?nèi)部局域網(wǎng)在應(yīng)對各類計(jì)算機(jī)病毒的威脅中成為更安全、更可靠、更值得信賴的工作環(huán)境。

參考文獻(xiàn)

[1]饒躍東,熊瑜.基于“震網(wǎng)”病毒的物理隔離網(wǎng)絡(luò)的風(fēng)險(xiǎn)控制措施[J].廣西科學(xué)院學(xué)報(bào),2012,(1):38-40.

[2]藺聰,黑霞麗.蠕蟲病毒的特點(diǎn)、原理及應(yīng)對方法[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2008,(5):30-31.

作者:張莫 孟凡 吳曉菲 單位:上海機(jī)電工程研究所