優(yōu)秀案例之360企業(yè)安全汽車制造行業(yè)“永恒之藍”病毒應(yīng)急處理和安全

優(yōu)秀案例之360企業(yè)安全汽車制造行業(yè)“永恒之藍”病毒應(yīng)急處理和安全一、案例背景工業(yè)控制系統(tǒng)(IndustrialControlSystems,ICS)通常指由計算機設(shè)備和工業(yè)生產(chǎn)控制部件組成的系統(tǒng)，主要包括五大部分：數(shù)據(jù)釆集與監(jiān)測控制系統(tǒng)(SCADA)、分布式控制系統(tǒng)(DCS)、過程控制系統(tǒng)(PCS)、可編程邏輯控制器(PLC)及現(xiàn)場總線控制系統(tǒng)(FCS)等。工業(yè)控制系統(tǒng)已經(jīng)廣泛應(yīng)用于工業(yè)、能源、交通及市政等領(lǐng)域，是我國國民經(jīng)濟、現(xiàn)代社會以及國家安全的重要基礎(chǔ)設(shè)施的核心系統(tǒng)。工業(yè)控制系統(tǒng)由于歷史上相對封閉的使用環(huán)境，大多只重視系統(tǒng)的功能實現(xiàn)，對安全的關(guān)注相對缺乏，工控安全的現(xiàn)狀處于“先天不足、后天失養(yǎng)、未來堪憂”的狀態(tài)。隨著IT/0T—體化的逐步推進，工業(yè)控制系統(tǒng)越來越多地與企業(yè)網(wǎng)和互聯(lián)網(wǎng)相連接，形成了一個開放式的網(wǎng)絡(luò)環(huán)境。工控系統(tǒng)網(wǎng)絡(luò)化發(fā)展導(dǎo)致了系統(tǒng)安全風(fēng)險和入侵威脅不斷增加，面臨的網(wǎng)絡(luò)安全問題也更加突出。由于工控網(wǎng)絡(luò)系統(tǒng)環(huán)境的特殊性，傳統(tǒng)的IT信息安全技術(shù)不能直接應(yīng)用于工業(yè)控制網(wǎng)絡(luò)的安全防護。另外，工業(yè)控制系統(tǒng)的協(xié)議和設(shè)計，在研發(fā)時即偏重于功能的實時性和可靠實現(xiàn)，對安全攻擊缺乏前期設(shè)計和有效抵御方法。工業(yè)控制系統(tǒng)由于擔心系統(tǒng)兼容性問題，通常不升級補丁，甚至有的工作站供應(yīng)商明確要求用戶不得自行升級系統(tǒng)，因此系統(tǒng)長期運行后會積累大量的安全漏洞病毒問題一直是威脅工控系統(tǒng)主機安全的一個棘手問題，從震網(wǎng)病毒到2017年末的工業(yè)破壞者，這些如幽靈般游蕩在工控系統(tǒng)網(wǎng)絡(luò)中的殺手總是伺機而動，一旦得手就會帶來巨大的危害。；再加上運維過程中缺乏科學(xué)的安全意識、管理和技術(shù)方案，這些缺陷使工控系統(tǒng)面對網(wǎng)絡(luò)安全攻擊時極其脆弱，給安全生產(chǎn)帶來極大隱患。2017年6月初，國內(nèi)某知名新能源汽車制造企業(yè)遭受病毒侵襲，生產(chǎn)制造產(chǎn)線幾臺上位機莫名出現(xiàn)頻繁藍屏死機現(xiàn)象，并迅速蔓延至整個生產(chǎn)園區(qū)內(nèi)大部分上位機，產(chǎn)線被迫停止生產(chǎn)。該企業(yè)日產(chǎn)值超百萬，停產(chǎn)直接損失嚴重，雖然信息安全部門采取了若干緊急處理措施，但收效甚微。為了盡快解決問題恢復(fù)生產(chǎn)，該企業(yè)緊急向360安全監(jiān)測與響應(yīng)中心進行了求助。二、核心問題分析工業(yè)現(xiàn)場的上位機大多老舊，服役10年以上仍在運行的主機也很常見，而工業(yè)現(xiàn)場的相對封閉性，使得補丁升級、病毒處理變成一件很復(fù)雜的事情。工業(yè)生產(chǎn)的穩(wěn)定性往往會面臨上位機脆弱性的挑戰(zhàn)，一旦感染病毒就會造成巨大影響。該企業(yè)生產(chǎn)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)連通，未采取安全防護措施；生產(chǎn)制造產(chǎn)線上位機運行異常，重復(fù)重啟或藍屏，初步斷定為病毒入侵。由于上位機操作系統(tǒng)都是老舊的WindowsXP，感染病毒之后頻繁藍屏重啟，無法在問題終端采樣進行病毒分析。在生產(chǎn)網(wǎng)絡(luò)核心交換機位置旁路部署360工業(yè)安全檢查評估系統(tǒng)對生產(chǎn)網(wǎng)絡(luò)數(shù)據(jù)流量進行檢測，該設(shè)備基于360行業(yè)領(lǐng)先的安全大數(shù)據(jù)能力生成多維度海量惡意威脅情報數(shù)據(jù)庫，對工業(yè)控制網(wǎng)絡(luò)進行自動化數(shù)據(jù)采集與關(guān)聯(lián)分析，識別網(wǎng)絡(luò)中存在的各種安全威脅。借助工業(yè)安全檢查評估系統(tǒng)的強大檢測分析能力，安服人員很快判定該企業(yè)上位機感染了“永恒之藍”蠕蟲病毒（也稱為WannaCry）?！坝篮阒{"（WannaCry）在windows7系統(tǒng)中出現(xiàn)文件加密現(xiàn)象，在WindowsXP系統(tǒng)中則出現(xiàn)藍屏現(xiàn)象。三、對策與措施應(yīng)急處置WannaCry病毒利用泄露的NSA黑客數(shù)字武器庫中“永恒之藍”工具發(fā)起蠕蟲病毒攻擊并進行勒索，病毒激活后會釋放出一系列攻擊文件，然后訪問一個看似毫無意義的域名地址（以下簡稱病毒網(wǎng)站），若此域名可用則停止對主機加密，反之則對主機文件進行加密，此行為被稱為KillSwitch。KillSwitch是WannaCry病毒是否加密系統(tǒng)的一個決定性開關(guān)。安服人員發(fā)現(xiàn)上位機感染W(wǎng)annaCry病毒之后，為了避免上位機中數(shù)據(jù)被加密帶來進一步的危害，緊急在生產(chǎn)網(wǎng)絡(luò)中部署一臺偽裝病毒服務(wù)器，域名設(shè)定為病毒網(wǎng)站，并通過策略設(shè)置將生產(chǎn)網(wǎng)上位機DNS指向此偽裝服務(wù)器，阻止了WannaCry病毒的后續(xù)影響。該企業(yè)生產(chǎn)園區(qū)占地范圍很大，感染病毒的上位機幾乎遍布整個園區(qū)，單純依靠人力難以逐一定位問題終端。360工業(yè)安全檢查評估工具箱在此過程中發(fā)揮了巨大作用，不僅給出了感染病毒的準確研判，而且詳細統(tǒng)計出所有問題終端的IP地址和MAC地址，結(jié)合企業(yè)提供的資產(chǎn)清單，安服人員和廠方技術(shù)人員很快確定了絕大部分問題終端的具體位置。感染處理完成定位之后，360安服人員即刻趕往最近的問題終端，第一時間關(guān)閉了445端口，避免病毒進一步擴散。經(jīng)過與廠方生產(chǎn)技術(shù)工程師細致溝通，得知以下信息：1、上位機硬件配置資源有限，無法安裝殺毒軟件；2、專用的生產(chǎn)軟件對操作系統(tǒng)版本有嚴格限制，無法對操作系統(tǒng)進行打補丁操作；3、重裝系統(tǒng)會導(dǎo)致專用軟件授權(quán)失效，帶來經(jīng)濟損失。結(jié)合上述信息，安服人員只能對問題終端采取殺毒處理。為了避免殺毒過程中對上位機系統(tǒng)和數(shù)據(jù)造成影響，安服人員首先備份了問題終端系統(tǒng)及數(shù)據(jù)，然后用360推出的WannaCry病毒專殺工具進行殺毒處理，清除感染的病毒?？朔刂乩щy，病毒終于順利清除，問題終端系統(tǒng)恢復(fù)正常運行，安服人員與廠方生產(chǎn)技術(shù)工程師反復(fù)確認其專用生產(chǎn)軟件運行正常，能夠正常下發(fā)數(shù)據(jù)。至此，第一臺問題終端病毒感染處理終于完成，為后續(xù)處理積累了寶貴經(jīng)驗。安全加固

為了避免處理完成的上位機再次感染病毒，安服人員在上位機上部署安裝了360工業(yè)主機防護軟件，該軟件基于輕量級“應(yīng)用程序白名單”技術(shù)，能夠智能學(xué)習(xí)并自動生成工業(yè)主機操作系統(tǒng)及專用工業(yè)軟件正常行為模式的“白名單”防護基線，放行正常的操作系統(tǒng)進程及專用工業(yè)軟件，主動阻斷未知程序、木馬病毒、惡意軟件、攻擊腳本等運行，為工業(yè)主機創(chuàng)建干凈安全的運行環(huán)境。生產(chǎn)網(wǎng)炸帝'1產(chǎn)沢I生產(chǎn)網(wǎng)炸帝'1產(chǎn)沢I問題處理及安全防護示意圖同時，為了避免U盤混用帶來的病毒串擾風(fēng)險，安服人員利用360工業(yè)主機防護軟件對U盤使用進行合法性注冊和讀寫控制策略配置，僅允許生產(chǎn)技術(shù)工程師專用的U盤識別和使用。此外，為了限制Windows網(wǎng)絡(luò)共享協(xié)議相關(guān)端口開放帶來的風(fēng)險，安服人員通過ACL策略配置關(guān)閉了TCP端口135、139、445和UDP端口137、138，并利用360安全衛(wèi)士的“NSA武器庫免疫工具”關(guān)閉存在高危風(fēng)險的服務(wù)，從而對NSA黑客武器攻擊的系統(tǒng)漏洞徹底“免疫”。經(jīng)過以上病毒清除和安全加固手段，不僅解決了感染W(wǎng)annaCry病毒帶來的藍屏重啟問題，而且極大的提升了上位機的主動防御能力，實現(xiàn)了上位機從啟動、加載到持續(xù)運行過程全生命周期的安全保障。經(jīng)過此次事件，該企業(yè)對工業(yè)控制系統(tǒng)安全性更加重視，決定采取360整體工控安全防護措施，逐步建設(shè)形成覆蓋汽車制造產(chǎn)線全鏈條的立體化工控安全技術(shù)防護方案。三、案例特色及應(yīng)用價值360工業(yè)安全檢查評估工具箱和工業(yè)主機防護軟件是解決工業(yè)主機脆弱性問題的一劑良藥。360工業(yè)安全檢查評估工具基于360領(lǐng)先的威脅情報大數(shù)據(jù)能力快速識別威脅和資產(chǎn)。工控設(shè)備資產(chǎn)發(fā)現(xiàn)是對工業(yè)控制系統(tǒng)中的工業(yè)控制器、工控系統(tǒng)、操作系統(tǒng)、工業(yè)控制組態(tài)軟件、數(shù)據(jù)庫軟件、工業(yè)以太網(wǎng)設(shè)備、工控安全設(shè)備等進行資產(chǎn)發(fā)現(xiàn)，通過網(wǎng)卡采取工控流量，進行解析，基于流量中特征字段和指紋庫進行資產(chǎn)識別。該工具內(nèi)置了流量檢測引擎在解析流量的同時進行威脅情報的IOC快速比對,能在極短的時間內(nèi)發(fā)現(xiàn)流量中的攻擊行為，此外根據(jù)威脅情報告警提供的信息結(jié)合云端威脅情報中心進行二次分析，發(fā)現(xiàn)其他關(guān)聯(lián)的攻擊。360工業(yè)安全檢查評估工具在2018年中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會獲評全球十大“黑科技”獎。360工業(yè)主機防護系統(tǒng)具有完全自主的知識產(chǎn)權(quán)，能夠幫助關(guān)系國計民生的大型工控企業(yè)對工控網(wǎng)絡(luò)工作站、服務(wù)器進行安全防護和安全加固，杜絕安全后門隱患,響應(yīng)國家信息安全國產(chǎn)化政策及號召。該防護系統(tǒng)使用先進白名單防護技術(shù)，能夠有效抵御病毒、木馬、惡意軟件、零日攻擊、高級持久威脅APT）攻擊對工控網(wǎng)絡(luò)工作站、服務(wù)器的攻擊與破壞行為，真正幫助企業(yè)