企业内网一旦爆发蠕虫病毒,不同于普通单点木马,蠕虫具备自我复制、主动扫描、内网爆破、横向批量传播特性,可在短时间内穿透整网,导致办公终端、内网服务器、业务系统、域控主机批量沦陷,出现全网卡顿、端口拥堵、业务瘫痪、文件损坏、数据泄露等重大事故。多数企业仅单台杀毒、重启机器,未做全网隔离与链路阻断,导致病毒反复交叉感染、长期清不完。极创信息提供标准化内网蠕虫扩散应急隔离方案,实现快速止损、阻断传播、彻底根治、长效防扩散。
一、内网蠕虫扩散典型特征(快速判定)
1、全网设备CPU、带宽异常飙升,内网流量拥堵、ping值抖动严重,办公与业务系统大面积卡顿;
2、多台终端、服务器同时中毒,出现批量进程异常、文件损坏、弹窗广告、恶意外联行为;
3、内网存在高频扫描、端口爆破行为,大量主机445、135、139、3389端口被持续探测;
4、病毒自动复制传播,删除单台病毒后,很快被内网其他设备再次感染,陷入反复中毒循环;
5、部分蠕虫会携带挖矿、勒索、远控模块,造成算力劫持、文件加密、内网权限沦陷。
二、紧急应急隔离:10分钟全网止损(核心步骤)
1、分段隔离内网,阻断横向传播链路
立即停止内网全通模式,按部门、网段、业务区域进行分段隔离,关闭交换机、防火墙层级的无序网段互通策略。断开已沦陷的高危网段与核心业务网段、数据库网段、域控网段的互通权限,优先保护核心资产,防止蠕虫扩散至核心业务服务器与域控主机,避免全网权限彻底失控。
2、紧急封禁蠕虫高危传播端口
在防火墙、终端安全策略中批量封禁蠕虫高频传播端口:445、135、139、3389、22等爆破与漏洞传播端口,阻断SMB漏洞传播、RDP暴力破解、SSH横向登录、RPC漏洞扩散通道,直接切断蠕虫扫描、入侵、复制的核心通路。
3、隔离沦陷主机与可疑终端
快速筛查所有异常设备,将已中毒、进程异常、流量异常、存在恶意外联的终端与服务器单独隔离,禁止其接入内网核心网络。临时断开可疑设备局域网连接,避免带病设备持续对内网发起扫描、爆破、复制传播,从终端层面切断感染源。
4、紧急冻结批量复用账号凭证
内网蠕虫大多依靠账号密码复用、域账号扩散、本地弱口令横向传播。紧急修改全网通用弱口令、统一密码,下线异常域登录会话、远程登录凭证、可疑缓存令牌,阻止蠕虫利用窃取的账号凭证批量登录内网设备。
三、全域排查溯源:定位感染源头与传播路径
1、溯源初始感染节点
通过全网流量日志、设备登录日志、异常进程日志、端口扫描日志,定位最先出现中毒行为的终端或服务器,排查源头入侵原因:外网带毒接入、U盘摆渡、邮件钓鱼、漏洞入侵、外部设备接入等。
2、还原蠕虫扩散链路
梳理病毒扫描网段、爆破记录、横向登录轨迹,明确蠕虫传播顺序、感染范围、扩散方式,区分是漏洞传播、口令传播还是介质摆渡传播,精准定位内网安全短板,避免遗漏扩散路径。
3、全网资产风险筛查
对所有内网终端、服务器、域控、打印机、内网设备做全覆盖检测,排查隐藏驻留的蠕虫程序、复制脚本、扫描工具、持久化后门,标记高危设备、可疑设备、正常设备,分级处置、精准清零。
四、分层彻底查杀:杜绝交叉感染复发
1、终端层全盘清毒
逐台查杀终端蠕虫母体、复制脚本、恶意进程、自启项与计划任务,清理系统隐藏目录恶意文件、内存驻留程序,修复被篡改的系统配置、文件关联、启动策略,恢复终端正常运行状态。
2、服务器与域控深度清理
重点排查域控服务器、文件服务器、业务服务器,清理蠕虫批量上传的恶意程序、后台隐藏服务、远程控制后门、内网扫描工具,修复域控异常权限、可疑账号与组策略篡改问题,保障内网权限体系安全。
3、清理内网传播工具与残留脚本
彻底查杀内网驻留的批量扫描器、爆破工具、文件复制脚本、内网穿透工具,删除蠕虫遗留的自愈配置、传播模块,彻底斩断病毒自我复制、跨机感染能力。
五、内网专项安全加固:构建长效隔离防护体系
1、网络边界精细化隔离加固
取消内网无差别互通,按业务分区、网段分区、权限分区做精细化隔离,配置最小互通策略,不同网段按需开放端口与访问权限,杜绝内网横向无序访问,从网络底层锁死蠕虫传播路径。
2、终端与服务器基线加固
全网关闭不必要的高危端口、共享服务、远程访问权限;统一加固系统补丁,修复SMB、RPC等蠕虫高频利用漏洞;清理多余共享目录、匿名访问权限,关闭自动播放、网络介质自动挂载功能,防止病毒自动复制传播。
3、账号权限与域环境加固
全网梳理账号权限,禁止弱口令、通用密码、空密码;加固域账号安全策略,开启登录风控、异常登录锁定、密码复杂度策略;限制内网设备互访登录权限,杜绝账号凭证被蠕虫批量利用。
4、终端准入与外设管控加固
开启内网终端准入机制,禁止陌生设备随意接入内网;严格管控U盘、移动硬盘等外部介质使用权限,禁止私自拷贝文件,杜绝介质摆渡带入病毒、引发二次全网扩散。
六、常态化监测与运维规范
搭建内网流量异常监测、端口扫描监测、批量外联告警机制,实时发现蠕虫扫描、复制、横向渗透行为;定期开展内网漏洞巡检、终端安全巡检、账号权限审计,建立内网病毒应急处置规范,提前预警、快速处置,杜绝蠕虫病毒大规模爆发扩散。
七、极创信息内网蠕虫应急服务优势
极创信息专注企业内网蠕虫病毒批量扩散应急处置,支持极速响应、分段不停机隔离、全网无死角清毒。区别于单点杀毒,我们以「全网隔离阻断+源头溯源+分层查杀+全域基线加固」为核心,彻底解决内网蠕虫交叉感染、反复扩散、批量沦陷难题,处置完成交付完整溯源报告、隔离策略方案与内网安全加固规范,帮助企业重建内网安全防护体系,杜绝蠕虫二次爆发。
