国产在线观看911_久久国产福利免费_人妻无码精品免费在线_国产操B视频在线观看

DCS和PLC系統(tǒng)部分工控機出現(xiàn)重啟或藍(lán)屏現(xiàn)象事件分析及處理

2017年8月15日，某廠發(fā)生了生產(chǎn)大區(qū)、管理大區(qū)等信息安全事件,相繼DCS和PLC系統(tǒng)部分工控機出現(xiàn)重啟或藍(lán)屏現(xiàn)象。經(jīng)對全廠控制系統(tǒng)的服務(wù)器、工程師站、歷史站、接口機、操作員站進(jìn)行掃描，發(fā)現(xiàn)病毒文件tasksche.exe、mssecsvc.exe、qeriuwjhrf存在于電腦C:\Windows目錄下，且病毒程序執(zhí)行時間和8月15日晚電腦藍(lán)屏死機時間吻合。分析認(rèn)為本次事件由于病毒感染引起：

（1）病毒行為分析

目前該病毒分別在電廠安全I(xiàn) 區(qū)、安全I(xiàn)I 區(qū)、管理大區(qū)發(fā)現(xiàn)均有主機感染“變種勒索病毒”，文件信息如下：

病毒文件：mssecsvc.exe   大小: 3723264 字節(jié)

MD5:0C694193CEAC8BFB016491FFB534EB7C

該病毒變種樣本據(jù)確認(rèn)早在互聯(lián)網(wǎng)發(fā)現(xiàn)于2017年6月2日，感染后會釋放文件：c:\windows\mssecsvc.exe、c:\windows\qeriuwjhrf、c:\windows\tasksche.exe，開啟服務(wù)并運行，但由于變種版本只會通過TCP:445端口感染其它主機，出現(xiàn)間斷性攻擊主機藍(lán)屏死機重啟，影響生產(chǎn)控制系統(tǒng)運行，釋放的加密程序文件tasksche.exe，經(jīng)分析為文件包壓縮異常，無法運行加密程序，變成真正的“勒索病毒”，所以沒有導(dǎo)致更嚴(yán)重的生產(chǎn)系統(tǒng)數(shù)據(jù)加密的問題發(fā)生（包括生產(chǎn)資料、邏輯文件、SIS數(shù)據(jù)庫加強等）。

（2）病毒體分析

分別對mssecsvc.exe、tasksche.exe和qeriuwjhrf病毒文件進(jìn)行反匯編分析與測試。得到以下結(jié)論：

mssecsvc.exe創(chuàng)建服務(wù)mssecsvc2.0，釋放病毒文件tasksche.exe和qeriuwjhrf文件并啟動exe文件，mssecsvc2.0服務(wù)函數(shù)中執(zhí)行感染功能，執(zhí)行完畢后等待24小時退出，啟動mssecsvc.exe，再循環(huán)向局域網(wǎng)的隨機ip發(fā)送SMB漏洞利用代碼。

通過對其中的發(fā)送的SMB包進(jìn)行分析，此次病毒發(fā)行者正是利用了2016年盜用美國國家安全局（NSA）自主設(shè)計的Windows系統(tǒng)黑客工具Eternalblue。

經(jīng)過對多方求證和數(shù)據(jù)重組分析得出，明確該病毒使用ms17-010漏洞進(jìn)行了傳播，一旦某臺Windows系統(tǒng)主機中毒，相鄰的存在漏洞的網(wǎng)絡(luò)主機都會被其主動攻擊，整個網(wǎng)絡(luò)都可能被感染該蠕蟲病毒，受害感染主機數(shù)量終將呈幾何級的增長。其完整攻擊流程如下該病毒攻擊流程如下：

在反匯編過程中，發(fā)現(xiàn)其主傳播文件mssecsvc.exe其中釋放出的tasksche.exe為破損文件，無法正常執(zhí)行病毒程序，故此次病毒無法完成關(guān)鍵動作，無法加密文件以達(dá)到勒索的目的。因此在本次安全事故中，并未造成實質(zhì)性、災(zāi)害性的破壞的安全事件。

（3）事件調(diào)查

影響范圍：涉及生產(chǎn)大區(qū)、管理大區(qū)。

生產(chǎn)大區(qū)情況：攻擊除#1機組DCS、NCS、電量之外的I、II區(qū)幾乎所有的特定版本的Windows主機，包括DCS、輔控、各接口機、SIS，由于各區(qū)域通過接口機感染，導(dǎo)致各接口機隔離生產(chǎn)系統(tǒng)相互交叉感染，導(dǎo)致病毒全面大爆發(fā)，現(xiàn)場確認(rèn)次主機攻擊2017年8月15日21:20左右進(jìn)行。

管理大區(qū)情況：目前在辦公區(qū)域員工電腦發(fā)現(xiàn)1臺主機感染“勒索病毒變種”，感染時間在2017年8月15日 23:11，與病毒樣本為生產(chǎn)區(qū)同一版本，該主機未打補丁及病毒庫，發(fā)現(xiàn)多個木馬病毒感染的情況；另外1臺為輸煤輔控監(jiān)控主機為2017年8月17日 14:57，同樣是未打補丁及未安裝病毒軟件。

由于該“勒索病毒變種”感染自身行為特點、生產(chǎn)大區(qū)與管理大區(qū)存在感染同一病毒的情況，分析原因如下：

a）直接攻擊原因分析2種：通過移動存儲介質(zhì)感染和通過網(wǎng)絡(luò)感染（這種可能性比較高），后者可能又分為2種情況：

感染病毒的主機與生產(chǎn)大區(qū)主機存在（臨時）網(wǎng)絡(luò)交叉，這種情況可能性比較低（只有已配置特定雙網(wǎng)卡情況下才會發(fā)生，直連網(wǎng)絡(luò)不可達(dá)，現(xiàn)場排查的雙網(wǎng)卡是值長站辦公主機，但是與調(diào)度三區(qū)非同時連接）。目前已排查重點區(qū)域：值長站辦公主機、NCS相關(guān)主機，包括錄波，也有感染非勒索病毒）、輔控辦公主機（輸煤監(jiān)控有1臺感染勒索病毒）；

感染病毒的電廠內(nèi)部、工控廠家運維筆記本，及生產(chǎn)區(qū)電腦在管理區(qū)維護(hù)后接入生產(chǎn)大區(qū)網(wǎng)絡(luò)，這種情況可能性比較高。

b）可能性高攻擊路徑原因分析2種情況：外部人員運維筆記本同時/非同時接入生產(chǎn)大區(qū)與管理大區(qū)網(wǎng)絡(luò)并感染生產(chǎn)大區(qū)與管理大區(qū)主機，或內(nèi)部人員運維筆記本及近期維護(hù)工控系統(tǒng)主機。接入過管理大區(qū)辦公網(wǎng)的運維筆記本又接入生產(chǎn)大區(qū)，或接入過管理大區(qū)辦公網(wǎng)的維護(hù)工控系統(tǒng)主機又接入生產(chǎn)大區(qū)。

注：由于外網(wǎng)IPS許可過期且無日志記錄，內(nèi)網(wǎng)無入侵檢測設(shè)備，無法排除早感染源。

（4）應(yīng)急處理方式

a）切斷一切網(wǎng)絡(luò)連接；

b）停止系統(tǒng)服務(wù)里的傳播服務(wù)mssecsvc2.0，及時刪除C:\Windows\mssecsvc.exe、C:\Windows\tasksche.exe和C:\Windows\qeriuwjhrf病毒源文件；

以上動作在現(xiàn)場應(yīng)急處理時采用自制程序手動完成；

c）根據(jù)不同系統(tǒng)版本分別安裝ms17-010安全補丁程序。

d）有效性測試

按該方法對受感染的計算機進(jìn)行病毒查掃之后，通過試驗與測試發(fā)現(xiàn)，使用抓包程序抓包，并未發(fā)現(xiàn)有異常的網(wǎng)絡(luò)數(shù)據(jù)請求和流量產(chǎn)生，此現(xiàn)可以證明該方法有效可行。

（5）安全建議：

a）區(qū)域防護(hù)：各安全I(xiàn)區(qū)的系統(tǒng)應(yīng)該進(jìn)行區(qū)域之間的加強訪問控制，應(yīng)實現(xiàn)DCS機組之間、輔控等各區(qū)域之間邏輯隔離，防火墻應(yīng)該支持端口級（目前I/II防火墻需要升級，不支持自定義端口），實施后可以限制在區(qū)域范圍內(nèi)。

b）網(wǎng)絡(luò)行為審計：部署管理大區(qū)及生產(chǎn)大區(qū)各部署入侵檢測系統(tǒng)（目前包括管理大區(qū)核心交換未部署IDS；互聯(lián)網(wǎng)邊界有部署IPS但已過期），實施后快速定位網(wǎng)絡(luò)攻擊爆發(fā)的源頭。

c）邊界安全提升：加強管理區(qū)主機補丁升級、防病毒統(tǒng)一管理（部署終端安全軟件）；生產(chǎn)區(qū)邊界非操作員站（如接口機）開啟本地防火墻策略、補丁等即可以防護(hù)本次攻擊，也可以考慮安全防護(hù)軟件，實施后，管理區(qū)可以避免感染、快速定位主機爆發(fā)的源頭；生產(chǎn)區(qū)主機邊界如接口機有一定防護(hù)能力；

d）移動運維管控：加強內(nèi)部及外部人員的筆記本技術(shù)安全管控，采用網(wǎng)絡(luò)隔離設(shè)備防止網(wǎng)絡(luò)攻擊或?qū)Ｓ霉た剡\維筆記本接入。

e）主機安全提升：

加強移動介質(zhì)的管理，通過設(shè)置BIOS、注冊表參數(shù)禁用U盤或者采用安防系統(tǒng)隔離U盤，控制系統(tǒng)程序、數(shù)據(jù)備份采用光盤形式。

控制系統(tǒng)工控機禁止使用USB口或者拆除不必要的USB口，防止移動設(shè)備等通過USB口接入網(wǎng)絡(luò)內(nèi)。

檢查各控制系統(tǒng)正常運行時電腦需開啟的服務(wù)和端口，關(guān)閉不必要的服務(wù)和端口。

定期對控制系統(tǒng)主機進(jìn)行補丁升級等。