工业领域勒索攻击应对方法

威努特工控安全 2024-02-19 14:09:23  64716

分类专栏：资讯

1. 引言

自2017年“永恒之蓝”勒索病毒事件之后，勒索病毒的花样也越来越多，不同类型的变种勒索病毒层出不穷，根据近几年的应急响应数据分析，感染勒索病毒导致的应急事件在所有应急响应中占比超过五成。利用方式也多以漏洞，暴破和弱口令，空口令等方式，受害者一旦感染勒索病毒，重要文件被加密，产生的影响和损失巨大。

勒索病毒大事记

2. 勒索攻击在工业领域的攻击现状

工业企业网络环境主要由以工业控制网络为主的生产网，和以管理网络为主的企业信息网络组成，其中企业信息网络连接了互联网环境，形成网络暴露面，即有了遭受来自互联网环境中勒索攻击的风险。当前，勒索攻击技术越发成熟，针对工业企业的勒索攻击会更多。随着我国工业领域的数字化、网络化、智能化水平加速推进，即将面临的勒索病毒攻击形势也会愈发严峻。今后，勒索攻击将是工业领域信息安全的头号问题。因此构建有效的勒索攻击防御体系迫在眉睫。结合面向工业行业的勒索攻击现状分析得出，勒索攻击有4个显著特征：

（1）针对性强。目前活跃在市面上的勒索攻击病毒种类繁多且迭代变种快速。针对工业企业的勒索攻击聚焦在对企业影响较大的业务系统、数据库服务器、上位机等重要系统或设备上。随着IOT融合发展，勒索病毒感染有可能通过工业控制网络逐步蔓延至工业现场智能终端类设备。同时勒索攻击针对核心工业企业实施的有组织网络破坏或间谍行动，还会存在商业机密或核心数据泄露的风险。

勒索病毒变异较快

由于巨大的经济利益，勒索病毒呈现出高频的变种趋势，极高频率的变种使得基于病毒特征库的传统杀毒软件在应对海量新型勒索病毒时，毫无用武之地。勒索攻击形式多样，后果严重，EDR产品响应阻断机制生效的前提是勒索病毒已经产生了异常行为，响应阻断的动作一旦滞后，将造成为时已晚、不可挽回的严重损失。当前，勒索攻击已显著具备APT攻击的特点，勒索攻击普遍采用钓鱼邮件、供应链污染的方式进行传播，防火墙、IDS等传统安全解决方案，已无法有效应对勒索病毒的传播泛滥。

（2）隐蔽性强。由于勒索攻击往往是通过多种攻击途径、多种攻击手段组合实现，因此经常利用邮件、网页、系统和应用漏洞、可移动存储介质使用、智能终端利用等多种途径组合利用以提高其隐蔽性；甚至借助工业软件升级包，通过对工业企业的上游源代码进行污染发起攻击。攻击者在攻击发起时机的选择上通过长时间潜伏、在特定时间发起，以及使用免杀逃逸技术等多种方式进行隐藏。

（3）传播迅速。许多工业企业的生产运行操作系统或工业软件具有长时间不升级的情况。这些老旧系统在设计时没有考虑到大量异构设备和外部网络的接入，随着系统架构愈发开放，系统中的漏洞为不法分子提供了可乘之机。一旦入侵成功即可快速横向扩展造成工业企业内部系统的集体沦陷。

（4）多样性强。工业企业供应链分散、复杂的特点是其网络安全防护的薄弱环节之一。随着远程监控和远程操作的普及，网络攻击组织容易利用系统固有漏洞，或者使用上下游合作伙伴之间的合法远程连接或协同联动需要，发动远程攻击，绕过网络边界的防护，进入目标攻击网络，实施盗取数据、加密或删除数据库、中断生产的操作。除了利用运营管理的薄弱环节实施入侵外，勒索攻击还在设备安装过程中利用漏洞进行多系统、多应用的横向渗透和入侵攻击。

3. 工业领域应对勒索攻击的方法

随着勒索攻击技术的演变，新型攻击技术手段和攻击范围较难被完全预测。因此做好充分的预防和应对措施是非常必要的，一旦攻击发生，企业能有更多的时间做准备，减少损害发生。

勒索病毒防护“特效药”

威努特通过对市面上流行的10多种勒索病毒分析，发现勒索病毒具有极为显著的行为特点，如磁盘遍历、文件加密行为百分百出现，网络遍历、进程中止、卷影删除等行为出现频率也较高，勒索病毒整体呈现出其特有的行为模式。

勒索病毒行为具有高度趋同性，整个勒索杀伤链涉及感染&准备、遍历&加密、破坏勒索三个环节，感染准备阶段主要行为是漏洞利用、自身模块释放、进程中止和服务清除；遍历加密阶段主要行为是文件遍历、数据加密；破坏勒索阶段主要行为是删除系统备份、弹出勒索通知。

威努特主机防勒索系统从勒索病毒杀伤链入手，以检测、防护、恢复三重的技术手段来应对勒索病毒。不依赖病毒特征库，基于行为规则引擎检测勒索病毒恶意行为，结合主动防御技术实现新型勒索病毒的检测防范，具备勒索病毒的持续防范能力。

行为监测监控全局的恶意行为，勒索诱捕精准识别勒索病毒，系统保护确保系统关键资源不被破坏，进程保护确保关键业务进程稳定运行，数据保护保障核心数据资源不被篡改破坏，备份恢复实时备份系统数据，支撑遭勒索后的快速恢复。

自威努特主机防勒索系统发布以来，各类新型勒索软件，无论是LockBit、HardBit、medusa、Rhysida、Hive、Phobos等勒索软件，无一例外，均能有效防范。

防勒索系统对LockBit3.0勒索软件的拦截

防勒索系统对HardBit勒索软件的拦截

防勒索系统对medusa勒索软件的拦截

防勒索系统对Rhysida勒索软件的拦截

防勒索系统对Hive勒索软件的拦截

防勒索系统对Phobos勒索软件的拦截

左右滑动查看更多

防勒索管理预防—三重强化

基于工业企业的网络系统逐步由封闭走向开放的现状，工业企业需不断完善网络安全管理能力，运维人员及管理人员要在平时就要注重安全意识的强化，加强安全基线，强化资产的安全。

（1）强化安全意识

（2）加强安全基线

（3）增强资产安全

勒索病毒应急措施

重要提醒：先断网隔离中毒主机，再进行下一步处理！！！

服务器/主机感染勒索病毒后，应急响应流程如下所示。

第一步：确认感染勒索病毒

如果服务器或主机等信息设备出现了业务系统无法访问、电脑桌面被篡改、文件后缀被篡改等特征，则说明服务器或主机很可能已感染勒索病毒。

第二步：隔离被感染的设备，保留现场

当设备或系统感染勒索病毒后，应第一时间进行隔离，一是切断攻击者对受控设备的远程控制，二是防止勒索软件在网络内横向移动，造成更大的危害。

根据感染勒索病毒的设备或系统的数量以及重要性，可采取不同的网络隔离措施：

• 隔离整个网络

如果多台设备感染了勒索病毒，应尽量在交换机级别下线整个网络，例如关闭网络交换机电源，达到同时断开网络内所有设备间通信通道的目的，防止在应急响应过程中勒索病毒横移到同网络内其他设备，造成更大的危害，直到应急响应结束并完成安全加固后再恢复网络。

• 隔离中毒设备

如果因业务要求无法完成交换机级别的网络下线，则应立即将所有感染设备断网隔离，可采取拔网线方式断网，同时断开设备连接的无线网络，禁用网卡（包括无线网卡）并拔掉设备全部外部存储设备，防止勒索病毒横移攻击其他设备系统，造成更大的危害。

• 隔离其他未感染设备

对于网络内其他未感染的设备，根据实际情况选择是否隔离。建议所有设备都应进行网络隔离，待应急响应结束，加固完成后，再接入网络。如果确实因业务需要无法断网，可以对重点端口（22、135、139、445、3389等）做访问控制，切断勒索病毒在内网横向移动的通道。

• 修改口令

为避免攻击者利用泄漏口令爆破入侵系统并植入勒索病毒，同时防止攻击者在攻击过程中利用已获取的账号口令攻击网络内其他设备，用户应立即修改设备登录口令。

隔离感染勒索病毒的设备后，应根据感染设备中文件加密完成情况采取关机或保留现场的操作。

第三步：识别勒索病毒种类

发现设备感染勒索病毒后，第一时间进行拍照或截图取证。截图应包括勒索信、被篡改的桌面、加密文件的后缀及文件修改时间，用于应急响应人员对勒索事件作出初步判断。利用空移动存储设备从感染勒索病毒的设备中拷贝出若干加密文件和勒索信文件。将相关信息上传到互联网上公开的勒索病毒识别网站，判断家族类型。

第四步：检查系统，分析入侵手段

服务器等设备感染勒索软件，可能存在用户、进程、端口等异常现象，建议对系统进行安全检查，摸清勒索软件攻击情况，其中主要包括系统异常用户检查、系统异常进程检查、系统端口连接信息检查、系统异常启动项检查四方面。同时，结合日志分析和勒索软件样本逆向分析，摸清勒索软件勒索加密、传播机制以及入侵手段。

• 系统异常用户检查

很多勒索软件会在系统中创建新的用户账号，实现对系统的持久性控制。可以利用计算机管理功能检查是否存在异常用户、陌生用户等。在命令提示符中使用 net user UserName 来查看用户 UserName的信息，如创建时间，所属组等等。

• 检查系统异常进程信息

使用系统自带的任务管理器检查是否存在异常进程，可通过查看CPU 资源占用率来判断。

• 检查系统端口连接信息

使用命令netstat-ano|find"ESTABLISHED"来检查系统已建立的链接，判断是否存在异常连接或端口。重点检查是否有陌生IP连接主机的1433、3306、3389等端口。

• 检查系统异常启动项

利用系统自带的计划任务程序，查看计划任务所执行的操作，判断是否存在异常计划任务。

第五步：风险处置与安全加固

可以通过手动或杀毒工具清除病毒，但由于很多勒索软件可能会在系统多个位置释放勒索软件样本，并通过多种方式设置自启动，手动杀毒很可能处理不完全，建议优先使用杀毒工具清除勒索软件。

分析掌握勒索软件入侵手段并恢复系统和数据后，需要对设备进行安全加固（如检查弱口令、系统漏洞、部署专业的主机防勒索软件），防止类似的网络攻击再次发生。

4. 总结

目前勒索软件已经演变成一项产业化的犯罪业务，勒索攻击已不再是个别企业面临的问题，它会对整个工业领域的系统安全产生威胁。勒索攻击产生的危害轻则导致企业内部关键信息泄露，重则可能造成重大的安全事故。威努特主机防勒索系统，深度结合操作系统内核驱动，以勒索行为监测、勒索病毒诱捕、系统资源保护、关键业务保护、核心数据保护、数据智能备份等多项创新技术，精准识别勒索软件、保护系统资源不被破坏、保护业务应用免遭中断、保护业务数据不被篡改、备份业务数据并恢复，实现事前预防、事中检测/阻断、事后恢复的勒索病毒综合防范，有效防御各种新型、变种勒索病毒，帮助工业用户避免勒索病毒所带来的巨大损失。