实例：某大型企业用户遭受勒索蠕虫袭击纪实

本篇文章3543字，读完约9分钟

雷锋编者按。在此期间，“永恒的蓝色”校园网上的万恶事件席卷全球，每个人都感受到了来自加油站、火车站、个人电脑、公司网络和其他地方的蠕虫的力量。本文为NSFOCUS撰稿，展示了一个攻击国内大型企业用户的例子，为工业控制安全敲响了警钟。

一、现场纪实2017年5月12日20:31，NSFOCUS某分公司的技术经理接到一个大型企业用户的快速电话:“快！紧急情况。生产网络涉嫌被网络攻击！！”。当地应急小组赶到企业生产调度中心。

“哦，被敲诈了”，然后各个生产站的电话一个接一个地响了起来...

1.应急响应

生产调度中心的攻击主机主要表现为数百个文件被加密，生产网络站也出现上位机蓝屏现象。结合12日已向外界传播的“永恒蓝”校园网勒索蠕虫(wannacry)事件，初步确定了该勒索蠕虫，并立即启动应急响应:

1)将被攻击主机与网络断开隔离，并关闭核心交换生产网络的通信链路，以防止恶意软件跨域传播；

2)联系并指导各站接口负责人立即到位，减少站内人员的恐慌；

3)同时，紧急联系NSFOCUS应急中心，协调安全专家协助远程调查分析；

4)通过现场分析被攻击主机的异常进程、端口和服务，很快发现mssecsvc.exe进程通过局域网中的arp广播数据包进行主机检测，并通过共享基于端口445的smb漏洞(ms17-010)进行传播；

5)收集加密程序的样本(@ @ wanadecryptor @ @)。exe ),并将其发送至应急中心，以开始样本分析；

6)重点对怀疑受到蓝屏攻击的车站主机进行分析和调查，同时发现攻击痕迹。网络断开并重启后，系统恢复正常。初步判断，该系统的蓝屏是在攻击期间造成的，是企图敲诈，并且幸存了下来，否则将对该站的核心生产业务产生很大影响。

2.保护计划

1)由于办公网络和生产网络中有很多主机(约2400+终端)，首先，所有第3层交换机和防火墙都启用了acl策略，禁止端口135~138和445；

2)对于各站的重要业务系统，屏蔽系统445的服务端口后，进行微软ms17-010安全补丁的升级测试；

3)13日上午9: 00，随着形势逐步稳定，NSFOCUS科技应急中心完成了样本分析，发布了第一份应急预警通知；

4)结合NSFOCUS发布的威胁预警、防护建议、分析报告和防火墙一键式加固工具，协助用户制定有效的防护方案。

二、对工业控制系统安全性的深层思考1。安全意识

目前，看看中国涉及关键信息基础设施的大型生产企业，对生产网络的工业控制系统安全性的认知是，生产网络是一个封闭的孤立网络，您可以高枕无忧！

但事实是:大多数企业的生产网络和管理信息网络之间的安全隔离并不是完全的物理隔离，而生产网络中站点之间的安全域划分还不完整，不同站点之间的安全防御机制也不完善，容易导致某个生产系统受到攻击，并很快蔓延到整个生产网络。

在经历了想从管理信息网络蔓延到生产网络的上位机的事件后，我们不禁会想，这难道只是一次信息安全软件攻击吗？显然不是。非常可怕。

2.通信和载体

工业控制系统安全的关键是要突破各种网络连接。事实上，为了满足生产企业统一生产调度和监控等业务需求，在一些行业中，关键工业控制设备和管理信息网络之间仍然存在互连，这就为攻击创造了必要的条件。

这个冒名顶替者利用了windows的漏洞，与用户产生了时间差，并在近一个小时内渗透到了世界的每个角落，使得理论路径变成了一个可以被攻击的实际路径。

1)如果“中间件+蠕虫”的传播发生在车站的工业控制层，会发生什么？

？操作员站、工程师站、历史站、缓冲机等上位机的配置、历史数据库、实时数据、过程数据等核心文件加密，读写失败；

？生产业务数据加载失败，配置逻辑失控，下级控制设备失控，可能导致安全生产事故，后果不堪设想；

？在应急现场，两个站的上层设备的蓝屏已经让我们非常紧张，但幸运的是，它们没有碍事。

2)如果这种攻击是基于工业控制系统的专有蠕虫呢？

目前，已经有基于工业控制系统的蠕虫，它们通常在工业控制器之间传播，而不需要工业网络中的上位机的帮助。

？蠕虫可以利用工业控制设备的协议漏洞远程改变工业控制器的操作指令，导致工业设备失控的事故；

？结合各种下位机漏洞操作，准确引导安全事故；

？结合下位机的高级蠕虫病毒，蠕虫在控制器之间传播，进而完成大型控制设备的事故；

？与流程工业相结合，以窃取病毒，并为诸如窃取核心流程等事故做好准备。

3)仔细想想，这次攻击是否针对国家关键信息基础设施？

在这次事件中，蠕虫已经成功地渗透到每个生产站的网络中，并在内部网中迅速传播。如果特定工业控制系统的漏洞匹配，将是针对关键信息基础设施的攻击事故，也可能是另一次“地震网络事件”！

深入思考

近年来，对于涉及关键信息基础设施的大型生产企业，国家或行业逐渐加强了其生产网络与管理信息网络之间的安全隔离要求，如:

？对于发电和电网企业，2014年国家发改委颁布了《电力监控系统安全保护规定》，管理信息区和生产控制区必须安全隔离。生产控制区的安全区域之间应采用具有访问控制功能的防火墙或具有同等功能的设施，以实现逻辑隔离。

？对于石油石化企业来说，工业控制系统安全隔离的必要性在“十三五”规划中已有明确规定。例如，用于油田生产现场(井口、站库、管道等)生产数据实时采集和远程控制的网络。)容易受到来自外部的有线攻击。有效的安全隔离是确保安全生产的基础。

？对于烟草行业企业，行业颁布了行业标准yc/t 494-2014《烟草行业企业生产网络与管理网络互联安全规范》。烟草行业企业在规划和设计网络时，应考虑生产网络、管理网络和其他网络互联的安全隔离要求。

然而，在该工业生产网络的应急纪录片之后，整个事件应急过程得到了处理，从发布预警、样本分析、攻击路径确认、各级战略防护、终端维修加固等过程。，仍然有很深的感情:

1)工业控制系统安全迫切，生产安全和信息安全相辅相成；

2)生产网络和管理信息网络之间不存在绝对的物理隔离安全；

3)严格控制管理信息网络对生产控制系统的非法访问和滥用，如违规操作；

4)迫切需要整理各站的整体网络资产和网络拓扑信息，并在紧急情况下进行精确的指导和配合；

5)收集信息安全和生产安全检查，定期进行安全扫描和检测，防患于未然；

6)生产网络的安全审核、异常报警、数据控制、应急过程的及时阻断和事后分析；

7)提高站内现场生产人员的信息安全意识，加强相关知识的培训，提高应急事件的自我护理能力；

8)及时备份核心生产数据和系统。备份方法不限于一种备份机制。

三.NSFOCUS技术官方公告及报告在工业网络应急工作中，NSFOCUS技术先后发布了威胁预警、防护方案、一键加固工具和样本分析报告，以方便更多企业用户参考。

1)预警和临时解决方案，以应对全球网络病毒爆发的威胁

2)“无用”固件的保护和临时解决方案

3)国家自然科学基金委关于全面防范“冒名顶替”敲诈勒索的建议(续)

4)“万强软件全球爆发，交咨会深度权威分析”

5) NSFOCUS发布了“万无一失”的一键强化脚本和整体解决方案

6)《国家自然科学基金威胁情报中心发布的“万用”软件样本分析报告》

7)勒索事件应急处置手册

四、中长期安全保护建议1。定期漏洞扫描

NSFOCUS的远程安全评估系统(RSA)支持扫描ms17010的漏洞，并且可以扫描相应的windows主机的漏洞。相应的漏洞号如下:

2.NIPS+威胁分析系统的tac联动保护

3.工业安全隔离装置

工业安全隔离装置是专门为工业网络应用设计的安全隔离装置，实现生产网络和管理信息网络之间的有效隔离，并根据应用配置进行必要的数据传输。它用于解决如何安全地将生产网络接入信息网络的问题，以及控制网络中不同安全区域之间的安全保护。

吕蒙工业安全隔离装置不仅完全阻断了基于tcp/ip协议体系的攻击，而且实现了对主流工业网络协议和工业网络数据安全传输的广泛而深入的支持。典型应用领域包括过程工业dcs控制系统的网络安全保护、电力系统ied设备的网络安全保护、煤矿、制造等行业现场控制系统的网络安全保护等。

4.工业安全隔离装置

工业安全网关不仅支持商业网关的基本访问控制功能，更重要的是，它为工业协议提供了数据级的深度过滤，实现了对modbus、opc等主流工业协议和协议的细粒度检查和过滤，帮助用户屏蔽来自网络的病毒传播和黑客攻击，避免它们对控制网络的影响和对生产过程的破坏。

这篇文章由雷Feng.com、雷Feng.com、雷Feng.com(公开号:雷锋网)、雷Feng.com授权，重要的事情说了三遍。

雷锋文章版权所有。严禁擅自转载。详情请参考转载说明。

来源：搜狐微门户