记一次工业控制系统应急服务的“12小时”
发布时间:
2019-11-29
来源:
作者:
访问量:
66
近日,某工业控制系统按计划停机检修半个月,在检修工作完成,第二天即将起机点火时突然出现部分上位控制主机频繁蓝屏并自动重启事件,疑似感染病毒。天地和兴应急响应团队在当晚接到客户电话后,立即组织了安全服务工程师赶赴客户现场,经过连续“12小时”的通宵奋战,终于修复所有问题主机,保证了客户第二天按计划正常起机。
1 · 现象
当日已有数台主机多次突然蓝屏重启,除此之外并无其他异常状况。
图1:蓝屏故障代码
2 · 排查
根据客户主机蓝屏现象、频次、故障代码,对操作系统进程、服务、日志、端口等进行分析,发现主机之间有大量445端口连接,根据端口号找到相应的进程、服务,发现服务名称非常诡异,不同的机器服务名称前半部分一样,后半部分不一样,并且重启系统后,服务名称还会变化,如:ApplicationNetBIOSService会变成ApplicationNetBIOSClient。初步判断为病毒感染。
进一步分析,可疑服务虽然名称重启后会变化,服务描述是固定的,为“Enables a common interface and object model for the $SERVER_NAME$ to access management information about system update, network protocols, devices and applications。If this service is stopped, most Kernel-based software will not function properly. If this service is disabled, any services that depend on it will fail to start.”,据此分析,所感染的是MsraMiner挖矿病毒家族,该挖矿病毒家族在今年上半年非常活跃。
该挖矿病毒变种感染主机后利用“永恒之蓝”漏洞传播,在传播成功后,母体运行释放服务模块,释放的服务模块名称随机拼凑。例如:ApplicationNetBIOSEvent.dll,创建服务:ApplicationNetBIOSEvent(不同的机器不同服务名),下放服务配置文件C:\windows\system32\ApplicationNetBIOSEvent.dll,释放“永恒之蓝”攻击工具包到C:\Windows\NetworkDistribution或C:\Windows\SpeechsTracing目录,攻击内网中的其它机器。
图2:释放的病毒文件
3 · 处理
病毒隔离,首先断开所有已感染主机的网络连接,在系统服务中找到病毒创建的服务,在服务“属性”中”可执行文件路径”打开对应的dll文件。
图3:病毒服务及对应的DLL文件
在任务管理器找到服务点击右键,转到进程。记下进程的PID。
在服务中禁用该服务,停止该服务,结束该进程(刚刚我们记下的进程),结束svchost.exe。隔离C:\Windows\NetworkDistribution下的所有文件。
病毒确认及清除,安装天地和兴主机安全防护系统(HX-HPS),对已隔离的疑似病毒文件进行病毒扫描确认,病毒扫描结果是MsraMiner挖矿病毒,并清除病毒。
图4:天地和兴HX-HPS主机防护系统检测病毒结果
病毒清除后,重新对电脑全盘进行扫描检查,未检查出恶意程序,确认病毒清除,系统恢复正常。
在此需要注意,所有已感染的主机必须断网后处理且必须在确定全网无病毒后再接入网络,因未对系统漏洞做修复,若处理完病毒后立即接入网络,仍存在再次感染病毒的风险。
依次处理所有已感染病毒的主机,并安装天地和兴主机安全防护系统进行检查确认。对未出现过蓝屏的主机也安装天地和兴主机安全防护系统进行检查,避免有未发现的病毒遗漏。
经过一晚上的努力,终于将所有主机检查处理完成。
4 · 加固
由于该控制系统网络为独立内部网络,未连接互联网,且此病毒仅在本网络内发现,初步怀疑病毒感染是由于在检修期间接入了感染病毒的U盘等外部存储或手动执行了捆绑病毒的程序所致,并通过MS17-010漏洞在网络内传播,进而感染其他主机。
因该控制系统马上进入运行阶段,没有足够时间验证系统补丁的可靠性,只能在下次检修时进行漏洞修复工作,在未安装系统补丁修复漏洞的情况下,通过天地和兴主机安全防护系统对主机进行安全防护,具体措施包括:
(1) 开启程序白名单防护功能,仅允许目前系统内的程序运行,白名单以外的程序禁止运行。
(2) 开启外设管理功能,禁用USB、光驱等外部设备接入系统。
(3) 启用程序控制功能,自动检测运行程序的安全性,发现恶意程序告警提示。
(4) 启用关键白名单程序保护功能,拒绝对受保护程序的修改、移动、删除等操作。
(5) 开启主机安全防护程序双因子认证功能,通过口令和UKEY双重保护,避免主机安全防护系统被恶意退出或卸载。
通过以上加固措施,可有效防止在系统运行期间通过外设感染病毒、避免主机上运行病毒等恶性程序文件,确保上位主机安全运行。
5 · 扩展
无独有偶,近期,我们的技术工程师在另一客户现场做技术服务时,也发现了工控系统上位主机感染此类病毒并通过永恒之蓝病毒传播,病毒所呈现的特征:Win.Exploit.EternalBlue-6320312-0及Win.Exploit.EQGRP-6322722-0,病毒检测结果如下:
图5:天地和兴HX-HPS主机防护系统检测病毒结果
病毒的处理方式也类似,确认感染病毒的主机,断网隔离,手动清除,全网主机安装HX-HPS安全防护系统检查确认,开启安全防护措施。并且,在病毒处理完成后,收到了客户的感谢信。
作为专业的工控系统网络安全服务提供商,为客户解决网络安全问题,是我们义不容辞的责任,通过近期的事件也可以看到,部分工控系统的安全加固及安全防护措施仍然薄弱,极易感染病毒、木马等恶意程序,甚至会影响工控系统的正常运行,对工控系统的安全防护仍然任重而道远!
6 · 总结
工业控制系统因直接控制生产工艺流程,其重要性不言而喻,工业控制系统的安全不仅仅是网络系统的安全,更是生产业务的安全,对工业控制系统的安全防护应当作为企业网络安全防护中第一要务。随着生产企业双网融合、数字化转型的推进,工业控制系统越来越向网络化、智能化方向发展,伴随而来的网络安全风险也随之增加,对工业控制系统网络的安全加固和安全防护措施显得更为重要,可以考虑从以下方面加强对工业控制系统的安全防护:
(1) 通过风险评估、等级测评等手段了解工控网络的实际安全防护能力、安全风险,并针对性地修复安全隐患、加强安全防护能力。
(2) 在网络边界处部署入侵检测和病毒检测类产品检查流经网络边界的流量是否存在安全风险。
(3) 在网络边界处部署防火墙或隔离装置类产品控制不同区域间的网络访问。
(4) 在网络内部署安全审计类产品检查网络内部是否存在非正常访问以及时发现安全风险。
(5) 在网络内部署日志审计类产品对网络和主机的日志进行统一收集分析以及时发现网络和主机存在安全风险。
(6) 在主机上部署基于白名单的主机安全防护系统,通过白名单机制构建安全运行白环境,通过程序运行监测、外设管理、关键程序保护等功能强化系统安全性。
(7) 通过主机安全防护系统对主机进行基线检查,针对配置脆弱项进行手动加固或通过主机安全防护系统自动加固,修复系统配置脆弱性。
(8) 通过安装系统补丁的方式修复系统漏洞,在补丁安装前应经过充分测试,保证可靠性。
(9) 通过部署统一安全监管或态式感知类产品对全网安全事件进行统一收集分析,实时了解全网安全态势,掌控全局安全形式,及时发现脆弱项并研判处理。
天地和兴应急响应团队
2019.11
工业,病毒,安全,主机,系统,防护,服务,网络,天地和兴
下一条:
相关资讯
