勒索软件是黑客用来劫持用户资产或资源实施勒索的一种恶意程序。黑客利用勒索软件,通过加密用户数据、更改配置等方式,使用户资产或资源无法正常使用,并以此为条件要求用户支付费用以获得解密密码或者恢复系统正常运行。
近几年勒索事件频发,本篇文章以威努特某制造企业客户勒索病毒处置和加固项目为例,结合实际处置经验为大家复盘勒索病毒处理的全过程,以及事件处理之后关于如何预防的一些思考。
勒索病毒处置概述
该企业客户为某地一家钢铁生产制造企业,生产车间涵盖炼铁、炼钢、轧钢等钢铁制造流程。工控系统主要由PLC和DCS系统构成,工控机操作系统以Windows7和Windows10为主。经实地处置发现炼钢、轧钢等车间均有不同数量的工控机频繁出现蓝屏重启现象。
1
病毒现象收集
病毒潜伏攻击导致工控上位机蓝屏重启:
病毒传播伴有大量异常连接:
2
处理过程
我司工程师接到用户反馈后立即到厂区进行病毒处置:
首先前往比较严重的第一个车间,将该车间中控室工控机网线全部断开,逐个登录问题主机,查找系统日志确认重启时间和频次;然后查看主机开放端口,445端口是开放状态,进入关键目录,确认主机上存在Wanna Cry病毒样本,病毒样本如下图。
现场指导客户对该病毒进行手动处理,停止并禁用服务后,删除病毒文件。又分别走访了其他车间,情况类似。
病毒样本
3
初步结论
第一个车间约有40台主机,均存在不同程度的蓝屏现象,又走访了其他车间发现情况类似。由于现场生产业务正在进行,正在运行的主机不可断网排障,应急初步阶段结束。
随后汇总以上走访过的车间情况,确认轧钢、炼铁等车间均有部分主机蓝屏重启,部分主机更换后一段时间依然出现故障,需要针对性地制定整体安全处置和加固方案。
方案需要考虑如下因素:
确定病毒样本为wannacry,445端口开放,并且存在横向传播
系统运行多年,用户对自身网络拓扑和资产台账不清晰
全厂区工控机规模300+台,手动处置成本过高
炼铁、炼钢、轧钢车间生产网需要合理隔离各车间内部生产子网络,并且需要边处置边加固,防止处置后主机再次被感染
关键的生产主机是单机,需要做好备份和业务验证
勒索病毒处置和加固方案
1
勒索病毒根治思路
结合勒索病毒特性、攻击原理等方面分析,本次勒索病毒根除需分为资产评估、系统备份、病毒扫描、病毒处置、业务验证以及安全加固六个阶段,每个阶段的处置具有关联性,处置病毒需要全局考虑做好整体规划,并做好完善的人员和组织安排。
勒索病毒处置思路:
病毒处置阶段
2
勒索病毒处置阶段
资产评估
资产评估是进行勒索病毒处置的前置阶段,资产评估包括资产识别、网络调研评估、技术评估、风险分析等阶段。通过资产评估对资产信息、漏洞信息、路由走向等进行全方位的梳理,目的是了解系统存在的弱点和威胁,了解病毒风险的可能性和影响范围,对客户业务系统存在的弱点和威胁进行综合评价,确定最终的风险级别。
需要尤其注意资产信息的准确性,如资产的数量、资产的类别、网络情况等,若发生信息的遗漏或信息有误会带来后期病毒处置失败的严重风险。
资产识别
1. 资产识别的目的是收集和梳理清楚受病毒影响的资产详细情况,明确病毒处置的范围和目标。
资产识别的要素如下:
要素名称 | 资产评估 |
简要描述 | 采集资产信息,进行资产分类,划分资产重要级别 |
达成目标 | 采集资产信息,进行资产分类,划分资产重要级别 进一步明确评估的范围和重点 |
主要内容 | 采集资产信息,获取资产清单 进行资产分类划分 确定资产的重要级别 |
实现方式 | 调查 填表式调查 《上位机资产调查表》,包含工业现场设备、工业控制设备、主机设备、通讯设备、存储及保障设备、信息、工控软件等 交流 审阅已有的针对资产的安全管理规章、制度 与高级主管、业务人员、网络管理员(系统管理员)等进行交流 |
工作条件 | 电源和网络环境,客户人员和资料配合 |
工作结果 | 资产类别、资产重要级别 |
参加人员 | 评估人员 |
2. 资产分类、区域划定
根据上述资产识别需要调研的要素,输出厂区上位机现场情况统计表,资产评估人员在实施下一步系统备份、病毒扫描和处置的操作前需要根据资产统计表格进行资产的分类,将每个资产结合资产所在的区域、所在的网络进行划定,目的是尽量缩小病毒传播和影响的范围,进行分区域、分网络实施。
网络评估
1. 对工控系统的网络结构进行全面地分析,发现现行网络结构存在的风险和安全问题。
网络评估输出物包含要素如下:
要素名称 | 网络评估 |
简要描述 | 网络结构的风险评估是针对用户的网络结构进行分析,根据客户的安全需求查找相应的安全脆弱性,最终提交详尽的报告和相应的建议 |
达成目标 | 通过网络结构的风险评估,可以知悉当前网络结构的安全脆弱性 |
主要内容 | 调查安全需求 分析网络结构 当前网络结构的安全脆弱性 可能存在的安全风险 |
实现方式 | 信息收集 调查分析 交流 现场查看 |
工作条件 | 电源和网络环境,客户人员和资料配合 |
工作结果 | 网络结构分析结果 |
参加人员 | 联合评估小组,被评估单位网络管理人员、系统管理人员 |
2. 根据步骤1的网络评估需要调研的要素,需输出该厂区车间的网络拓扑,在实施下一步系统备份,病毒扫描和处置的操作前需结合拓扑和资产识别所输出的上位机情况统计表,缩小病毒传播的范围和影响。
技术评估
技术评估主要依赖漏洞扫描工具和安全服务专家人工判断。漏洞扫描主要是根据已有的安全漏洞知识库,检测网络协议、网络服务、网络设备、应用系统等各种信息资产所存在的安全隐患和漏洞。扫描的方式可以采用漏扫工具进行网络扫描。
利用安全扫描工具扫描网络中的核心服务器及重要的网络设备,包括服务器、交换机、防火墙等,以对网络设备进行安全漏洞检测和分析,对识别出的能被入侵者利用来非法进入网络或者非法获取信息资产的漏洞或脆弱性执行记录,并提醒安全管理员,及时完善安全策略,降低安全风险。
安全服务专家根据资产评估所获取的信息资产范围,执行专业的脆弱性扫描,并整理扫描结果,形成《漏洞扫描报告》。报告对各种扫描过程中发现的系统脆弱性做出详细的说明,并阐述该脆弱性可能引发的安全隐患或者安全事件,同时提供详细的修补建议。
漏洞扫描的详细要求如下:
要素名称 | 远程漏洞扫描评估 |
简要描述 | 利用扫描工具检查整个工控系统的所有网络设备、主机、服务器、数据库、安全设备、应用系统等的漏洞情况 |
达成目标 | 发掘工控系统的安全漏洞,提出漏洞修补建议 |
主要内容 | 以工控漏洞扫描系统实施大规模的漏洞扫描 |
实现方式 | 以工控漏洞扫描系统实施大规模的漏洞扫描 |
工作条件 | 电源和网络环境,客户人员和资料配合 |
工作结果 | 工控系统漏洞列表,扫描评估结果报告 |
参加人员 | 风险评估小组,客户网络管理人员、系统管理人员、数据库管理人员 |
此步骤完成后需输出资产的《漏洞扫描报告》。
风险分析
风险分析是对资产识别、网络评估、技术评估工作完成后对资产的威胁进行系统的评估,梳理系统的风险。
风险分析的内容如下:
获取方式 | 描 述 |
访谈 | 通过和资产所有人、负责管理人员进行访谈 |
人工分析 | 根据专家经验,从资产识别、网络评估和技术评估的数据中进行分析 |
安全策略文档分析 | 安全策略文档分析 |
事件记录 | 对已有历史安全事件记录进行分析 |
此步骤完成后,需安全专家根据经验,从资产识别、网络评估和技术评估的数据中进行结果分析,做好相应资产的分类,分区域识别,将资产的重要程度,风险情况进行统计。为下一步的病毒扫描和处置提供依据和基础。
系统备份
系统备份的前置条件是步骤“资产评估”所完成的上位机情况统计表和网络拓扑,以及安全专家对技术评估和风险分析所完成对资产的脆弱性和威胁的分析结果。确定每个上位机资产的重要级别,对操作系统进行必要的系统备份,防止病毒查杀后对业务的不可恢复性的影响。
备份完成后,对备份的副本文件做有效性验证,验证无误后进行后续处理步骤。
系统备份参考操作步骤如下:
使用U盘启动,进入 PE 系统。打开 Ghost 软件,如图所示:
Ghost主页面
进入 Ghost 克隆软件以后,在左下方有一个菜单栏,依次点击 Local-Partition-To Image 选项,如图所示。其中Partition代表磁盘分区;To Image代表把分区镜像数据导出为镜像文件。
病毒扫描
病毒扫描需要借助于杀毒软件为目标主机进行病毒排查,并且需要结合安全专家手动登录主机对病毒样本和病毒的恶意进程进行人工判定。
病毒处置
如果目标主机中有病毒,在扫描结束和专家人工判定后,需要与用户进行充分沟通,由用户确认后,方可对病毒进行处理。
通常情况下,在工控系统业务软件目录下的疑似文件不做立即处理。先将疑似文件备份到其它目录系统下,然后验证业务软件的可用性,如果无法正常运行,则将文件还原;如业务软件可以正常运行,则疑似文件可做杀毒处理。
其他目录下的病毒文件没有经过验证,可能会存在病毒运行的威胁,通过卡巴杀毒软件(建议采用卡巴斯基)进行全盘杀毒处理,对于顽固性病毒可能需要寻找专杀工具处理。
业务验证
对主机的业务可用性进行验证,根据现场情况,尽量协调用户对该目标主机所需执行的所有操作全覆盖验证,确保所有业务应用都能正常运行。当正常操作情况下业务软件不可用情况下,则通过前面的系统备份文件进行系统还原,系统还原后重新进行病毒处理操作。
安全加固
在对目标主机完成病毒扫描和病毒处置后,在主机重新联网之前进行以下两种操作,否则主机很可能重新中毒,前面一系列操作步骤的操作可能会白做。
安装主机卫士
关闭高危漏洞的端口、操作系统打补丁
考虑工控系统主机打补丁很有可能对系统组件或应用所带来的影响,以及打补丁操作所带来的工作量和补丁修复工作的难度,建议直接安装主机卫士,开启主机卫士的安全基线加固、文件白名单、网络白名单以及漏洞防护功能对主机进行安全加固,避免单台主机处置完成后在重新联网后所带来病毒传播的风险。
工控主机卫士安装步骤
1. 将工控主机卫士安装U盘插入计算机,打开U盘并执行“Setup.exe”安装程序,会显示安装向导,用户可使用“选择安装目录”功能自定义安装路径,也可以使用默认路径。
安装界面
2. 待安装目录设置完成后,点击“下一步”按钮启动本产品的安装过程。本次安装产品为单机版,服务器配置信息略过,直接点击“下一步”,如下图所示:
安装界面
3. 安装完成后,重启计算机以使配置生效。
安装后提示重启界面
4. 配置工控主机卫士安全策略,主要包括开启文件白名单、开启网络白名单功能关闭高危端口,开启漏洞防护功能,进入试运行。试运行期间主要观察工控主机卫士的兼容性和稳定性,试运行结束后,转入正式运行状态,主机加固结束。
处置和加固总结
本次项目范围覆盖客户整个厂区,将现场实施工程师编为2组施工时间20天,完成整个厂区的病毒处置和加固工作,系统现在运行良好未再出现病毒复现状况。同时项目二期客户新增了防火墙、网闸、移动介质安检站、IDS等安全设备,构建了全厂区工控安全防护体系。
勒索病毒处置事件思考
1
合理划分安全区域,做好区域隔离
合理划分安全区域,在区域边界部署工业互联网防火墙,在车间生产网络与数据采集网或企业管理层网络(办公网)间部署工业网闸,对生产数据进行深层次过滤,防止非授权访问,恶意攻击等安全风险。
威努特工业互联防火墙提供多元的安全防护策略和丰富的工业协议深度解析能力:
工业互联网防火墙能力示意图
2
做好工控机外设管控
工控网络相对封闭,勒索病毒的来源除了来自厂区的不同网络就是来自工控网络的内部,而主机外设是最容易引入病毒攻击的入口,建议对移动存储外设做好全生命周期管控,用技术驱动管理真正实现外设的控制,而不是仅靠内部人员的安全意识。
移动外设管控方案采用“移动介质安检站+工控主机卫士+安全U盘”的闭环管控模式。通过移动介质安检站对各类移动存储介质进行病毒查杀,结合工控主机卫士对病毒查杀标记进行验证,无杀毒标记的介质将被阻止读取,以此保证工业生产网络免受病毒及恶意代码程序的侵扰。
威努特工业场景下移动介质全生命周期管控方案:
威努特移动介质全生命周期防护能力示意图
3
做好主机病毒防护措施
通过本次应急处置和主机加固案例分析,发现企业现场工控机虽安装了杀毒软件但杀毒软件效果不好,无法对工控机做好有效的防护。利用工控主机卫士“白名单”管理技术,对工控机进行数据采集和分析,通过其内置智能学习模块自动生成工业控制软件正常行为的白名单,如果发现不符合白名单中的程序,对此程序执行进行阻断或告警,以此避免主机网络受到已知或未知病毒攻击。或者利用基于白名单和黑名单机制的勒索病毒治理工具,一定注意防护的有效性和实用性。
威努特工控主机卫士基于白名单技术可实现对工控主机的应用、外设、系统和网络的四重锁定,结合安全管理中心和监测中心实现对于工业主机的安全加固,可有效治理勒索病毒。
工控主机卫士安全防护能力框架
威努特主机防勒索系统是专防专治勒索病毒的终端安全产品,产品深度结合操作系统内核驱动,以勒索行为监测、勒索病毒诱捕、系统资源保护、关键业务保护、核心数据保护、数据智能备份等多项创新技术,精准识别勒索软件、保护系统资源不被破坏、保护业务应用免遭中断、保护业务数据不被篡改、备份业务数据并恢复,实现事前预防、事中检测/阻断、事后恢复的勒索病毒综合防范。
产品基于检测、防护、恢复三重技术手段来应对勒索病毒、对勒索病毒Kill-Chain完整覆盖,基于七大技术机制支撑检测、防护、恢复能力落地。
主机防勒索防护能力框架
4
全面做好工控安全防护,防止木桶效应
除了必要的网络隔离、主机防护、安全监测以外需要做好全面的工控安全防护,建议搭建全厂区的安全纵深防御体系,新增网络入侵检测、日志集中审计、运维安全管控措施,并部署工业安全态势感知平台,实现厂区的整体安全态势呈现和安全预警,达到网络安全的动态防御、主动防御、整体防控的防护效果。
渠道合作咨询 田先生 15611262709
稿件合作 微信:shushu12121
?发表于:中国 北京
