肆虐全球的勒索病毒帶來的恐慌還心有餘悸,最新惡意攻擊事件又接踵而至,這個企業必備的工業用戶勒索病毒應急響應指南,你必須Get一下!
2017年5月12日,WannaCry勒索病毒席捲全球,至少150個國家、30萬名用戶遭受攻擊,造成損失高達80億美元,中國部分Windows作業系統遭受感染,導致企業無法正常運營。調查表明,這是不法分子通過洩露的NSA黑客武器庫中「永恆之藍」攻擊程序發起的網絡攻擊事件。
2018年8月,全球知名半導體廠商臺積電感染勒索病毒,一天時間內病毒迅速擴散到位於中國臺灣北、中、南三處重要的生產基地,導致三大工廠生產線全線停擺,正在生產中的半成品晶元報廢超過1萬片,2天內直接經濟損失高達19億人民幣。
2019年3月19日,挪威海德魯公司(Norsk Hydro ASA)受到勒索病毒攻擊,隨後該公司被迫關閉了位於歐洲和美國的多家工廠,並改為使用手工生產流程運營冶煉廠。海德魯財務長Eivind Kallevik透露:「情況非常嚴峻!目前整個公司的全球網絡都處於癱瘓狀態,所有的生產以及辦公室運營都受到了影響。」
「WannaCry」勒索病毒大規模爆發以來,形勢愈演愈烈。除此之外,petya、badrabbit、Gandcrab、Globelmposter等勒索病毒已成為對政企機構和工控系統直接威脅最大的一類病毒。全球範圍內多個高校、大型企業內網、工業控制網絡和政府機構專網被攻擊,重要數據遭受嚴重破壞,生產業務系統被迫停擺。
在工業網際網路時代,黑客可能惡意攻擊工業控制系統以及可編程邏輯控制器,企業在遭遇突發病毒攻擊時,如果及時採取必要的應急措施,可阻止損失擴大,為等待專業救援爭取時間。
本手冊對工控系統常見的勒索和挖礦病毒進行了分析,主要列舉利用「永恆之藍」漏洞進行傳播且對工業網絡危害較大的勒索和挖礦病毒,詳述了如何判斷是否已感染勒索病毒,並深度結合工業網絡環境特點和工控網絡安全產品,從實操的角度介紹病毒的判斷、查殺和防禦方法。
針對常見的Satan、WannaCry、GandCrab等勒索病毒以及挖礦蠕蟲病毒WannaMine,通過染毒後系統出現的特徵判斷是否有所感染:
勒索病毒在感染成功後,計算機文件會被加密並修改桌面背景,生成勒索提示文件,指導用戶繳納贖金。當病毒成功感染,但是病毒程序運行受阻時(如殺毒軟體攔截),系統會出現藍屏現象。
特徵1:出現勒索提示文件或者修改桌面背景為勒索信息;
勒索信息提示
特徵2:大量文件被加密並修改為統一後綴,無法打開。
如:GandCrab家族的後綴為.GDCB、.GRAB、.KRAB等;Satan家族的後綴為.evopro、.dbger、.satan等。
挖礦病毒在成功感染WindowsXP及以上版本作業系統並成功運行時,系統不會出現明顯異常,當病毒運行受阻時,系統會出現藍屏重啟現象;在攻擊Windows2000時系統會直接出現藍屏重啟現象。
Windows 2000藍屏提示
特徵1:出現勒索提示文件或者修改桌面背景為勒索信息;
C:\Windows\system32\HalPluginsServices.dll
C:\Windows\System32\EnrollCertXaml.dll
C:\Windows\SpeechsTracing
C:\Windows\SpeechsTracing\Microsoft\
特徵2:出現兩個spoolsv.exe進程,出現一個非system32目錄的svchost.exe進程;
兩個spoolsv.exe進程
異常進程判斷
特徵3:打開任務管理器時CPU佔用下降,關閉後cpu佔用又升高,升高時會有一個rundll32.exe進程啟動;
特徵4:主機空閒時CPU或GPU佔用率達到100%。
在初步判斷病毒感染跡象後,為進一步確認染毒主機範圍,可以在區域匯聚交換機或網絡核心交換機部署網絡安全監測設備,如威努特工控監測與審計平臺,記錄區域網絡中的網絡會話日誌,根據病毒傳播利用的TCP445、135、139等埠,統計向目標IP遍歷該埠的主機數,可以進一步判斷病毒的感染範圍。
染毒主機IP統計完成後,定位到具體主機,通過netstat–ano命令查看TCP445埠連接,會發現網絡不停的對外發送SYN_SENT包。
TCP445埠連接
系統在受到攻擊後,內存使用率和網絡使用率會上升,通過「資源監視器」查看lsass.exe進程內存使用情況,已用物理內存會不斷升高,該進程為挖礦病毒和勒索病毒最常見的感染目標。
系統資源佔用
在任務管理器「進程」選項中,顯示「命令行」列,可以看到進程對應的路徑,一般路徑中包含「\\」的都有可能是異常進程。任務管理器中svchost.exe、lsass.exe、spoolsv.exe一般都是系統主進程,對應的路徑都是C:\Windows\system32\目錄,如果出現其他路徑,有可能是異常進程。還可以參考本文第2章常見病毒分析部分提到的進程,判斷是否感染病毒。
系統資源佔用
勒索病毒在攻擊成功後,會註冊病毒主服務,在系統服務中,查找是否有對應的服務,判斷病毒是否感染成功。
WannaMine1.0服務
通過上述方法確認主機感染病毒後,可以在Windows系統日誌中查看病毒感染時間,用來查找病毒入侵的源頭,下圖為WannaMine2.0的感染時間。
WannaMine2.0感染時間
如何進行病毒查殺?病毒查殺方法,一般分為手動查殺和工具查殺。手動查殺的流程主要是,先結束病毒進程,再禁用刪除病毒服務,最後刪除病毒目錄下的所有文件,該查殺方法可控性強,但用時較長,常用於對重要伺服器等主機進行查殺。工具查殺的流程主要是,針對不同作業系統版本,先準備對應的查殺工具,配置只查找不處理病毒,對整個磁碟進行掃描查找病毒文件,根據檢查的結果,逐個人工確認病毒文件,再進行病毒清除,避免誤殺正常文件。
第一步:染毒主機隔離。禁用網卡或斷開網線,阻止病毒繼續傳播。
第二步:系統數據備份。使用Ghost軟體或硬碟對拷器備份系統盤,將業務核心重要數據拷貝到移動硬碟或集中存儲設備進行備份。
第三步:修復系統漏洞。通過查看主機中毒的現象及相關文件、服務,分析可能的病毒種類,確認對應的補丁,修復系統漏洞。
第四步:病毒查殺。運行查殺工具查找病毒文件,逐個人工確認病毒文件後進行清除,最後對照本文第2章常見病毒分析章節,手動檢查並清除殘留目錄和服務。
病毒查殺流程圖
將染毒主機的網線斷開或禁用網卡,防止病毒繼續傳播到其他主機,同時在沒有防護的情況下,避免病毒查殺後再次感染。
病毒查殺前,建議先對系統盤和重要業務數據進行備份,如使用Ghost軟體或硬碟對拷器,將業務核心重要數據備份到移動硬碟或集中存儲設備進行備份,避免殺毒過程中的誤操作造成系統異常或數據丟失。
病毒查殺前,通過CMD命令「systeminfo」查看作業系統信息,記錄被感染病毒的作業系統版本(包括系統名稱、詳細版本、32&64位等信息),便於準備對應的查殺工具和查殺方法。
使用systeminfo命令查看系統信息
在Windows平臺下,勒索病毒和挖礦病毒大多是利用「永恆之藍」漏洞進行傳播的。
針對WindowsXP、Windows server 2003以上版本的作業系統,微軟官方發布了對應的補丁,可以從根本上修復該漏洞。
對Windows2000及以下版本的作業系統,微軟不再提供支持,即沒有對應的官方補丁。Windows2000遭受「永恆之藍」漏洞攻擊後,會導致系統System進程異常,進而表現為系統不斷藍屏重啟。這裡可以結合實際工控業務對埠的應用需求,在註冊表中禁用TCP445埠,或在組策略中控制TCP445可信源IP,禁用TCP445埠服務,拒絕接收請示連接,也可以防止「永恆之藍」的攻擊。
在修復永恆之藍漏洞時,系統版本必須符合下表中SP補丁,另外在安裝補丁時,應先確認一下對工控系統業務正常運轉是否有影響。在安裝SP補丁時系統有一定可能出現藍屏及其他異常,建議提前做好系統備份。
永恆之藍漏洞補丁
ID
Windows系統版本
補丁編號
1
Windows 2000 SP4
無
2
Windows XP SP3
KB4012598
3
Windows 2003 SP2
KB4012598
4
Windows Vista SP2
KB4011981
5
Windows 7 SP1
KB4012212、KB4012215
6
Windows Server 2008 SP2
KB4011981
7
Windows Server 2008 R2 SP1
KB4012212、KB4012215
8
Windows 8.1
KB4012213、KB4012216
9
Windows Server 2012
KB4012214、KB4012217
10
Windows Server R2 2012
KB4012213、KB4012216
11
Windows 10
KB4012606、KB4013198、KB4013429
12
Windows Server 2016
KB4013429Windows2000及以下版本的作業系統由於沒有對應的官方補丁,需要手動關閉445埠,或者配置TCP可信源IP,方法詳見「指南」。
上述系統漏洞修復完成後重新啟動作業系統,運行工控系統軟體,測試業務系統是否可以正常運行。
總結現場處理過的勒索病毒和挖礦病毒,使用查殺工具可以將攻擊組件和病毒文件刪除,病毒服務和病毒主目錄需要手動進行清除。
使用卡巴斯基(Kaspersky Lab)查殺後生成的報告使用工具查殺後,可以參考指南全文中「常見病毒分析」內容,手動刪除病毒目錄、禁用病毒服務、在CMD中執行「scdelete 服務名」命令,將病毒服務刪除。藉助工具查殺配合手動清除,基本上可以查殺大多數目前已知的勒索病毒和挖礦病毒。
病毒查殺後重新啟動作業系統,運行工控系統軟體,測試業務系統是否可正常運行。
病毒查殺後試運行工控系統出現異常時,首先備份數據(操作方式詳見指南3.2.2章節),將系統恢復到查殺前的狀態,再進行分析查殺操作。
如何加強防禦措施?針對勒索病毒和挖礦病毒等通過「永恆之藍」漏洞的攻擊,通常需要按照主機和網絡邊界兩個維度進行,就能防止病毒的入侵和傳播。
做完以上漏洞修復和病毒清理後,在工業主機上安裝採用白名單機制的主機類防護軟體,並開啟白名單防護功能,保證主機不被二次感染。
白名單機制的主機防護軟體(如威努特工控主機衛士)可通過自動掃描本地磁碟所有可執行文件(PE文件),給每個文件生成獨立數字籤名,從而生成主機白名單庫。通過識別數字籤名,阻止任何白名單庫外的程序運行,對通過網絡、U盤等傳入系統的病毒、木馬、惡意程序具有阻止運行、阻止傳播、分析識別的能力,有效攔截惡意代碼和病毒程序的入侵,最大限度保障工程師站、操作員站以及伺服器等重要設備安全穩定運行。
在此基礎上,軟體內置的「移動介質管理」功能,能夠根據需求靈活控制特定安全U盤和普通U盤的「禁用、只讀、可讀寫」權限。只有經過認證的特定USB設備才可以在特定的主機上運行,可配置禁止USB存儲設備自動執行,防止惡意程序利用漏洞自動運行。
威努特工控主機衛士界面
在工業控制網絡區域匯聚交換機或核心交換機上部署網絡流量監控設備,建立網絡流量基線,第一時間識別異常網絡流量,產生實時告警,減少病毒進一步傳播造成的損失。同時記錄網絡通信行為,為後續的病毒定位、排查、溯源過程中提供有效依據。
以威努特工控安全監測與審計系統為例,採用旁路部署模式部署在工控網絡區域匯聚交換機或核心交換機,對工業生產過程「零風險」。基於對工業控制協議的通信報文進行深度解析(DPI,Deep Packet Inspection),能夠實時檢測針對工業協議的網絡攻擊、用戶誤操作、用戶違規操作、非法設備接入以及蠕蟲、病毒等惡意軟體的傳播,同時詳實記錄一切網絡通信行為,通過監測設備的流入流出流量並設置基線值,在異常流量監控中實時查看部分或所有節點的異常流量情況,一旦有異常,即產生相應的告警。為工業控制系統的安全事故調查提供堅實的基礎。
在工業控制網絡環境的網絡區域邊界處部署工業防火牆, 通過建立可信任的數採通信及工控網絡區域間通信的模型,過濾異常非法訪問,為控制網與管理信息網的連接、控制網內部各區域的連接提供安全保障。
以威努特工業防火牆為例,通過配置安全策略,建立網絡基線,只有可信任的流量可以在網絡上傳輸。在保障工業協議安全傳輸的前提下,通過對病毒傳播流量特徵進行過濾,在網絡中限制「永恆之藍」攻擊流量的傳播。
通過威努特工業防火牆攔截445埠異常流量
通過威努特工業用戶勒索病毒應急響應指南,希望能有效幫助工業用戶全面提高工控系統的網絡安全能力以及加強對病毒攻擊的防禦能力。
點擊閱讀原文下載完整版應急響應指南。
北京威努特技術有限公司(以下簡稱」威努特」),成立於2014年,是國內專注於工控安全領域的國家高新技術企業,全球僅六家榮獲國際自動化協會安全合規學會安全認證的企業之一。
威努特以率先獨創的「白環境」整體解決方案為核心,研發了覆蓋工控網絡安全的5大類20款自主可控產品,擁有領先的核心技術及市場優勢,成功為電力、軌道交通、菸草、石油石化、市政、智能製造、冶金及軍工等國家重點行業五百餘家客戶提供了全面有效的安全保障,多次受邀為中共十九大、兩會、「一帶一路」、G20等重大活動進行網絡安保工作,廣泛參與工控安全領域的國家和行業標準制定,得到了國家多個政府部門和客戶的高度認可。
威努特始終以保護我國關鍵信息基礎設施網絡空間安全為己任,為「中國製造2025」保駕護航,為建設網絡強國添磚加瓦!
渠道合作諮詢
劉先生 18500192465 陳女士 15116964490
稿件合作 微信:Luo_xiaoran