工业用户勒索病毒应急响应指南
肆虐全球的勒索病毒带来的恐慌还心有余悸,最新恶意攻击事件又接踵而至,这个企业必备的工业用户勒索病毒应急响应指南,你必须Get一下!
2017年5月12日,WannaCry勒索病毒席卷全球,至少150个国家、30万名用户遭受攻击,造成损失高达80亿美元,中国部分Windows操作系统遭受感染,导致企业无法正常运营。调查表明,这是不法分子通过泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件。
2018年8月,全球知名半导体厂商台积电感染勒索病毒,一天时间内病毒迅速扩散到位于中国台湾北、中、南三处重要的生产基地,导致三大工厂生产线全线停摆,正在生产中的半成品晶元报废超过1万片,2天内直接经济损失高达19亿人民币。
2019年3月19日,挪威海德鲁公司(Norsk Hydro ASA)受到勒索病毒攻击,随后该公司被迫关闭了位于欧洲和美国的多家工厂,并改为使用手工生产流程运营冶炼厂。海德鲁首席财务官Eivind Kallevik透露:“情况非常严峻!目前整个公司的全球网络都处于瘫痪状态,所有的生产以及办公室运营都受到了影响。”
“WannaCry”勒索病毒大规模爆发以来,形势愈演愈烈。除此之外,petya、badrabbit、Gandcrab、Globelmposter等勒索病毒已成为对政企机构和工控系统直接威胁最大的一类病毒。全球范围内多个高校、大型企业内网、工业控制网络和政府机构专网被攻击,重要数据遭受严重破坏,生产业务系统被迫停摆。
在工业互联网时代,黑客可能恶意攻击工业控制系统以及可编程逻辑控制器,企业在遭遇突发病毒攻击时,如果及时采取必要的应急措施,可阻止损失扩大,为等待专业救援争取时间。
本手册对工控系统常见的勒索和挖矿病毒进行了分析,主要列举利用“永恒之蓝”漏洞进行传播且对工业网络危害较大的勒索和挖矿病毒,详述了如何判断是否已感染勒索病毒,并深度结合工业网络环境特点和工控网络安全产品,从实操的角度介绍病毒的判断、查杀和防御方法。
如何进行病毒判断?
染毒迹象
针对常见的Satan、WannaCry、GandCrab等勒索病毒以及挖矿蠕虫病毒WannaMine,通过染毒后系统出现的特征判断是否有所感染:
1、勒索病毒染毒迹象
勒索病毒在感染成功后,计算机文件会被加密并修改桌面背景,生成勒索提示文件,指导用户缴纳赎金。当病毒成功感染病毒但是病毒程序运行受阻时(如杀毒软件拦截),系统会出现蓝屏现象。
特征1:出现勒索提示文件或者修改桌面背景为勒索信息;
勒索信息提示
特征2:大量文件被加密并修改为统一后缀,无法打开。
如:GandCrab家族的后缀为.GDCB、.GRAB、.KRAB等;Satan家族的后缀为.evopro、.dbger、.satan等。
2、挖矿病毒染毒迹象
挖矿病毒在成功感染WindowsXP及以上版本操作系统并成功运行时,系统不会出现明显异常,当病毒运行受阻时,系统会出现蓝屏重启现象;在攻击Windows2000时系统会直接出现蓝屏重启现象。
Windows 2000蓝屏提示
特征1:出现勒索提示文件或者修改桌面背景为勒索信息;
C:Windowssystem32HalPluginsServices.dll
C:WindowsSystem32EnrollCertXaml.dll
C:WindowsSpeechsTracing
C:WindowsSpeechsTracingMicrosoft
特征2:出现两个spoolsv.exe进程,出现一个非system32目录的svchost.exe进程;
两个spoolsv.exe进程
异常进程判断
特征3:打开任务管理器时CPU占用下降,关闭后cpu占用又升高,升高时会有一个rundll32.exe进程启动;
特征4:主机空闲时CPU或GPU占用率达到100%。
判断染毒范围
在初步判断病毒感染迹象后,为进一步确认染毒主机范围,可以在区域汇聚交换机或网络核心交换机部署网络安全监测设备,如威努特工控监测与审计平台,记录区域网络中的网络会话日志,根据病毒传播利用的TCP445、135、139等端口,统计向目标IP遍历该端口的主机数,可以进一步判断病毒的感染范围。
查看端口异常网络连接
染毒主机IP统计完成后,定位到具体主机,通过netstat–ano命令查看TCP445端口连接,会发现网络不停的对外发送SYN_SENT包。
TCP445端口连接
查看异常资源占用
系统在受到攻击后,内存使用率和网络使用率会上升,通过“资源监视器”查看lsass.exe进程内存使用情况,已用物理内存会不断升高,该进程为挖矿病毒和勒索病毒最常见的感染目标。
系统资源占用
查看异常系统进程
在任务管理器“进程”选项中,显示“命令行”列,可以看到进程对应的路径,一般路径中包含“”的都有可能是异常进程。任务管理器中svchost.exe、lsass.exe、spoolsv.exe一般都是系统主进程,对应的路径都是C:Windowssystem32目录,如果出现其他路径,有可能是异常进程。还可以参考本文第2章常见病毒分析部分提到的进程,判断是否感染病毒。
系统资源占用
查看异常系统服务
勒索病毒在攻击成功后,会注册病毒主服务,在系统服务中,查找是否有对应的服务,判断病毒是否感染成功。
WannaMine1.0服务
回溯系统日志
通过上述方法确认主机感染病毒后,可以在Windows系统日志中查看病毒感染时间,用来查找病毒入侵的源头,下图为WannaMine2.0的感染时间。
WannaMine2.0感染时间
如何进行病毒查杀?
病毒查杀方法,一般分为手动查杀和工具查杀。手动查杀的流程主要是,先结束病毒进程,再禁用删除病毒服务,最后删除病毒目录下的所有文件,该查杀方法可控性强,但用时较长,常用于对重要服务器等主机进行查杀。工具查杀的流程主要是,针对不同操作系统版本,先准备对应的查杀工具,配置只查找不处理病毒,对整个磁盘进行扫描查找病毒文件,根据检查的结果,逐个人工确认病毒文件,再进行病毒清除,避免误杀正常文件。
病毒查杀流程
第一步:染毒主机隔离。禁用网卡或断开网线,阻止病毒继续传播。
第二步:系统数据备份。使用Ghost软件或硬盘对拷器备份系统盘,将业务核心重要数据拷贝到移动硬盘或集中存储设备进行备份。
第三步:修复系统漏洞。通过查看主机中毒的现象及相关文件、服务,分析可能的病毒种类,确认对应的补丁,修复系统漏洞。
第四步:病毒查杀。运行查杀工具查找病毒文件,逐个人工确认病毒文件后进行清除,最后对照本文第2章常见病毒分析章节,手动检查并清除残留目录和服务。
病毒查杀流程图
准备工作
1、染毒主机隔离
将染毒主机的网线断开或禁用网卡,防止病毒继续传播到其他主机,同时在没有防护的情况下,避免病毒查杀后再次感染。
2、数据备份
病毒查杀前,建议先对系统盘和重要业务数据进行备份,如使用Ghost软件或硬盘对拷器,将业务核心重要数据备份到移动硬盘或集中存储设备进行备份,避免杀毒过程中的误操作造成系统异常或数据丢失。
3、记录系统信息
病毒查杀前,通过CMD命令“systeminfo”查看操作系统信息,记录被感染病毒的操作系统版本(包括系统名称、详细版本、32&64位等信息),便于准备对应的查杀工具和查杀方法。
使用systeminfo命令查看系统信息
修复系统漏洞
在Windows平台下,勒索病毒和挖矿病毒大多是利用“永恒之蓝”漏洞进行传播的。
针对WindowsXP、Windows server 2003以上版本的操作系统,微软官方发布了对应的补丁,可以从根本上修复该漏洞。
对Windows2000及以下版本的操作系统,微软不再提供支持,即没有对应的官方补丁。Windows2000遭受“永恒之蓝”漏洞攻击后,会导致系统System进程异常,进而表现为系统不断蓝屏重启。这里可以结合实际工控业务对端口的应用需求,在注册表中禁用TCP445端口,或在组策略中控制TCP445可信源IP,禁用TCP445端口服务,拒绝接收请示连接,也可以防止“永恒之蓝”的攻击。
1、永恒之蓝漏洞补丁
在修复永恒之蓝漏洞时,系统版本必须符合下表中SP补丁,另外在安装补丁时,应先确认一下对工控系统业务正常运转是否有影响。在安装SP补丁时系统有一定可能出现蓝屏及其他异常,建议提前做好系统备份。
永恒之蓝漏洞补丁 | ||
ID | Windows系统版本 | 补丁编号 |
1 | Windows 2000 SP4 | 无 |
2 | Windows XP SP3 | KB4012598 |
3 | Windows 2003 SP2 | KB4012598 |
4 | Windows Vista SP2 | KB4011981 |
5 | Windows 7 SP1 | KB4012212、KB4012215 |
6 | Windows Server 2008 SP2 | KB4011981 |
7 | Windows Server 2008 R2 SP1 | KB4012212、KB4012215 |
8 | Windows 8.1 | KB4012213、KB4012216 |
9 | Windows Server 2012 | KB4012214、KB4012217 |
10 | Windows Server R2 2012 | KB4012213、KB4012216 |
11 | Windows 10 | KB4012606、KB4013198、KB4013429 |
12 | Windows Server 2016 | KB4013429 |
2、手动关闭端口
Windows2000及以下版本的操作系统由于没有对应的官方补丁,需要手动关闭445端口,或者配置TCP可信源IP,方法详见“指南”。
3、工控系统试运行
上述系统漏洞修复完成后重新启动操作系统,运行工控系统软件,测试业务系统是否可以正常运行。
病毒查杀
1、工具查杀
总结现场处理过的勒索病毒和挖矿病毒,使用查杀工具可以将攻击组件和病毒文件删除,病毒服务和病毒主目录需要手动进行清除。
使用卡巴斯基(Kaspersky Lab)查杀后生成的报告
2、手动查杀
使用工具查杀后,可以参考指南全文中“常见病毒分析”内容,手动删除病毒目录、禁用病毒服务、在CMD中执行“scdelete 服务名”命令,将病毒服务删除。借助工具查杀配合手动清除,基本上可以查杀大多数目前已知的勒索病毒和挖矿病毒。
3、工控系统试运行
病毒查杀后重新启动操作系统,运行工控系统软件,测试业务系统是否可正常运行。
查杀过程异常处理
病毒查杀后试运行工控系统出现异常时,首先备份数据(操作方式详见指南3.2.2章节),将系统恢复到查杀前的状态,再进行分析查杀操作。
如何加强防御措施?
针对勒索病毒和挖矿病毒等通过“永恒之蓝”漏洞的攻击,通常需要按照主机和网络边界两个维度进行,就能防止病毒的入侵和传播。
主机防御
做完以上漏洞修复和病毒清理后,在工业主机上安装采用白名单机制的主机类防护软件,并开启白名单防护功能,保证主机不被二次感染。
白名单机制的主机防护软件(如威努特工控主机卫士)可通过自动扫描本地磁盘所有可执行文件(PE文件),给每个文件生成独立数字签名,从而生成主机白名单库。通过识别数字签名,阻止任何白名单库外的程序运行,对通过网络、U盘等传入系统的病毒、木马、恶意程序具有阻止运行、阻止传播、分析识别的能力,有效拦截恶意代码和病毒程序的入侵,最大限度保障工程师站、操作员站以及服务器等重要设备安全稳定运行。
在此基础上,软件内置的“移动介质管理”功能,能够根据需求灵活控制特定安全U盘和普通U盘的“禁用、只读、可读写”权限。只有经过认证的特定USB设备才可以在特定的主机上运行,可配置禁止USB存储设备自动执行,防止恶意程序利用漏洞自动运行。
威努特工控主机卫士界面
网络防御
1、网络监测审计
在工业控制网络区域汇聚交换机或核心交换机上部署网络流量监控设备,建立网络流量基线,第一时间识别异常网络流量,产生实时告警,减少病毒进一步传播造成的损失。同时记录网络通信行为,为后续的病毒定位、排查、溯源过程中提供有效依据。
以威努特工控安全监测与审计系统为例,采用旁路部署模式部署在工控网络区域汇聚交换机或核心交换机,对工业生产过程“零风险”。基于对工业控制协议的通信报文进行深度解析(DPI,Deep Packet Inspection),能够实时检测针对工业协议的网络攻击、用户误操作、用户违规操作、非法设备接入以及蠕虫、病毒等恶意软件的传播,同时详实记录一切网络通信行为,通过监测设备的流入流出流量并设置基线值,在异常流量监控中实时查看部分或所有节点的异常流量情况,一旦有异常,即产生相应的告警。为工业控制系统的安全事故调查提供坚实的基础。
2、网络边界防护
在工业控制网络环境的网络区域边界处部署工业防火墙, 通过建立可信任的数采通信及工控网络区域间通信的模型,过滤异常非法访问,为控制网与管理信息网的连接、控制网内部各区域的连接提供安全保障。
以威努特工业防火墙为例,通过配置安全策略,建立网络基线,只有可信任的流量可以在网络上传输。在保障工业协议安全传输的前提下,通过对病毒传播流量特征进行过滤,在网络中限制“永恒之蓝”攻击流量的传播。
通过威努特工业防火墙拦截445端口异常流量
通过威努特工业用户勒索病毒应急响应指南,希望能有效帮助工业用户全面提高工控系统的网络安全能力以及加强对病毒攻击的防御能力。
