《工业互联网安全技术基础》课件- 27-工控常见病毒及防护

IndustrialInternetsecuritytechnologyfoundation工业互联网安全技术基础《工业互联网安全技术基础》课程组第4章工控网络安全技术工控常见病毒及防护010203工控网络病毒背景介绍工控常见病毒工业病毒防护目录2016年中国工控系统领域的安全事件呈暴涨趋势，相比于2015年增长了2,213%。平均每件安全事件对中国企业造成的损失达263万美元。一、工控网络病毒背景介绍工控安全事件大多伴随恶意程序身影在众多工控安全事件中不难看出，大多事件均伴随恶意程序的身影，这其中有面向指定目标的特种病毒，也有影响范围广泛的普通病毒一、工控网络病毒背景介绍1.Stuxnet又名“震网”是针对微软件系统以及西门子工业系统的最新病毒，目前已感染多个国家及地区的工业系统和个人用户，此病毒可通过网络传播，与以往病毒不同，其代码非常精密。曾造成伊朗核电站推迟发电的全球首个“超级工厂病毒”二、工控常见病毒1.Stuxnet又名“震网”震网病毒是有史以来最高端的“蠕虫”病毒。蠕虫是一种典型的计算机病毒，它能自我复制，并将副本通过网络传输，任何一台个人电脑只要和染毒电脑相连，就会被感染。“震网”病毒利用了微软视窗操作系统之前未被发现的4个漏洞。只要电脑操作员将被病毒感染的U盘插入USB接口，这种病毒就会在神不知鬼不觉的情况下(不会有任何其他操作要求或者提示出现)取得一些工业用电脑系统的控制权。二、工控常见病毒二、工控常见病毒2.Duqu病毒Duqu是一种复杂的木马病毒。2011年10月14日，卡巴斯基实验室提取了一个看上去与Stuxnet非常类似的病毒样本，它们创建文件都以“～DQ”作为文件名的前缀，便将这个威胁命名为“Duqu”。它的主要目的是为私密信息的盗取提供便利，主要攻击目标是伊朗工业控制系统，目的是盗窃信息，手法包括收集密码、抓取桌面截图、暗中监视用户操作、盗取各类文件等。二、工控常见病毒3.Flame病毒Flame病毒是由许多独立模块组成的非常大的攻击工具包。它能执行各种恶意行为，其中大部分与数据窃取和网络间谍有关。除此之外，它还能使用计算机扩音器来录下对话，提取应用程序细节的截屏，探测网络流量，并能与附近的蓝牙设备进行交流。当感染被反病毒程序保护的计算机时，Flame会停止进行某种行动或执行恶意代码，隐藏自身，以待下次攻击。可以通过USB存储器以及网络复制等方法入侵系统。4.Havex病毒Havex病毒通过垃圾邮件、漏洞利用工具、木马植入等方式感染SCADA系统和工控系统中使用的工业控制软件，主要攻击对象是欧洲的许多使用和开发工业应用程序和机械设备的公司，影响了水电、核电、能源在内的多个行业。这种木马有可能做到禁用水电大坝，使核电站过载，甚至可以做到按一下键盘就能关闭一个国家的电网。二、工控常见病毒5.Oldsmar供水系统险遭“投毒”事件佛罗里达州发生了一件令人震惊的工业网络安全事故——一名黑客侵入了奥兹马（Oldsmar）（人口约15000人）的水处理系统，将该市的氢氧化钠供应水平从百万分之100提高到了百万分之11100。调查发现，黑客通过远程桌面应用TeamViewer获得了对内部工业控制系统的未经授权访问，可能使用了被盗或丢失的凭证。TeamViewer允许用户远程登录系统，在COVID-19危机期间，许多组织普遍使用这种应用。黑客是通过远程访问软件TeamViewer来访问水处理厂的监控和数据采集（SCADA）控件。二、工控常见病毒6.近期工控病毒概览二、工控常见病毒时间事件病毒名2020钢铁制造商EVRAZ遭受勒索软件攻击，致多家工厂停产勒索软件Ryuk2020欧洲能源巨头EDP遭网络攻击，被勒索近1000万美元勒索软件2020本田汽车遭受工业型勒索软件攻击，生产受阻Ekans勒索软件2020巴西电力遭遇勒索软件，被勒索1400万美金Sodinokibi勒索软件2019世界铝冶炼厂NorskHydro宣布，其工厂遭到一种名为lockergoga的勒索病毒袭击，数条自动化生产线被迫关闭lockergoga勒索病毒2019日本制造企业Hoya感染挖矿病毒被迫停产三天负责生产控制的主机服务器被病毒入侵2019全球最大的飞机零部件供应商之一阿斯科（ASCO）关闭了在德国、加拿大和美国的工厂，以防止勒索软件在其位于比利时扎芬图姆的工厂的it系统感染勒索软件病毒后扩散未公布细节2019南非电力公司遭勒索病毒攻击导致电费无法正常缴纳无细节7.病毒原理简单分析（1）WannaCry频繁主动探测445端口二、工控常见病毒7.病毒原理简单分析（1）WannaCry频繁主动探测445端口该恶意软件会扫描电脑上的TCP445端口(ServerMessageBlock/SMB)，以类似于蠕虫病毒的方式传播，攻击主机并加密主机上存储的文件，然后要求以比特币的形式支付赎金。勒索金额为300至600美元。当用户主机系统被该勒索软件入侵后，弹出勒索对话框，提示勒索目的并向用户索要比特币。而对于用户主机上的重要文件，如：照片、图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件，都被加密的文件后缀名被统一修改为“.WNCRY”。目前，安全业界暂未能有效破除该勒索软的恶意加密行为，用户主机一旦被勒索软件渗透，只能通过重装操作系统的方式来解除勒索行为，但用户重要数据文件不能直接恢复。二、工控常见病毒7.病毒原理简单分析（2）Ryuk勒索软件原理：Ryuk勒索软件在本地网络上列举所有可能的IP地址并发送ICMPping进行探测。该恶意软件会列出本地ARP表缓存的IP地址，列出发现IP地址所有的共享资源并对内容进行加密。该变种还能够远程创建计划任务以此在主机上执行。攻击者使用Windows原生工具schtasks.exe创建计划任务。最近发现的Ryuk变种具备自我复制能力，可以将可执行文件复制到已发现的网络共享上实现样本传播。紧接着会在远程主机上创建计划任务，最后为了防止用户进行文件回复还会删除卷影副本。二、工控常见病毒1.隔离隔离感染主机，关闭所有网络连接，禁用网卡。切断传播途径，关闭潜在终端的SMB445等网络共享端口，关闭异常的外联访问。三、工业常见病毒防护2.分析与查杀查找攻击源，进行网络流量分析，定位并切断攻击源，避免更多主机持续感染利用杀毒工具查杀病毒三、工业常见病毒防护3.“白名单”软件事前病毒防治：根据工业企业生产业务建立相应的业务软件（工具）库，并对各软件完整性进行校验，保证工业企业软件分发源头的安全，防止带毒软件、带毒工具被分发到各终端系统，实现事前预防。事中病毒防治：通过白名单软件对终端系统内的可执行文件进行执行权限控制，只允许经授权、认证的程序运行，实现事中的主动防御。事后病毒防治：通过对主机系统日志、文件日志、操作日志的审计，实现对事后安全事件的调查取证与操作审计。三、工业常见病毒防护事前防治事中防治事后防治三、工业常见病毒防护4.构建“三层架构，二层防护”的安全体系工业控制系统需要进行横向分层、纵向分域、区域分等级进行安全防护，否则管理信息系统、生产执行系统、工业控制系统处于同一网络平面，层次不清，你中有我、我中有你。来自于管理信息系统入侵或病毒行为很容易对工控系统造成损害，网络风暴和拒绝式服务攻击很容易消耗系统的资源，使得正常的服务功能无法进行。三、工业常见病毒防护4.构建“三层架构，二层防护”的安全体系三层架构一般工业企业的信息系统，可以划分为管理层、制造执行层、工业控制层。在管理信层与制造执行系统层之间，主要进行身份鉴别、访问控制、检测审计、链路冗余、内容检测等安全防护;在制造执行系统层和工业控制系统层之间，主要避免管理层直接对工业控制层的访问，保证制造执行层对工业控制层的操作唯一性。工控系统三层架构如下图所示:三、工业常见病毒防护4.构建“三层架构，二层防护”的安全体系二层防护1、管理层与MES层之间的安全防护管理层与MES层之间的安全防护主要是为了避免管理信息系统域和MES（制造执行）域之间数据交换面临的各种威胁，具体表现为:避免非授权访问和滥用（如业务操作人员越权操作其他业务系统);对操作失误、篡改数据，抵赖行为的可控制、可追溯;避免终端违规操作;及时发现非法入侵行为;过滤恶意代码（病毒蠕虫)。也就是说，管理层与MES层之间的安全防护，保证只有可信、合规的终端和服务器才可以在两个区域之间进行安全的数据交换，同时，数据交换整个过程接受监控、审计。三、工业常见病毒防护三、工业常见病毒防护4.构建“三层架构，二层防护”的安全体系二层防护2、MES层与工业控制层之间的安全防护通过在MES层和生产控制层部署工业防火墙，可以阻止来自企业信息层的病毒传播;阻挡来自企业信息层的非法入侵;管控oPC客户端与服务器的通讯，实现以下目标:区域隔离及通信管控:通过工业防火墙过滤MES层与生产控制层两个区域网络间的通信，那么网络故障会被控制在最初发生的区域内，而不会影响到其它部分。实时报警:任何非法的访问，通过管理平台产生实时报警信息，从而使故障问题会在原始发生区域被迅速的发现和解决。三、工业常见病毒防护三、工业常见病毒防护5.工业网络入侵检测技术基于工业互联网的新环境中，工业控制系统面向更多的数据流，工业网络入侵检测技术主要是针对工业控制系统的各个关键节点开展一定的数据收集、整理和反馈，进而从数据中提取出反映工业控制系统行为的相关数据特征，在掌握设计识别技术和检测算法技术的基础上，对关键节点数据进行识别，以此来发现工业控制系统环境可能存在的入侵行为。三、工业常见病毒防护6.漏洞扫描与漏洞挖掘技术常规来看，漏洞扫描技术主要是基于完整的工业控制系统及工业控制网络安全漏洞数据库，根据高频漏洞扫描引擎和检测规则等自动进行匹配，以扫描出企业所用工业控制系统内部关键设备、关键软件和关键硬件等是否存在已知漏洞的方法。漏洞挖掘技术则可进一步分为静态分析漏洞挖掘方法和动态分析漏洞挖掘方法两大类，静态分析漏洞挖掘方法在工业控制系统程序非运行状态下对漏洞进行检测和对比扫描，强化对静态代码审计、逆向分析和补丁等的对比研究，动态分析漏洞挖掘技术则是在系统软件运行的情况下，对工业控制系统进行程序格式、黑盒子测试等针对性的漏洞扫描，以此发现工业控制系统可能存在的信息安全隐患，保障工业控制信息系统运行的安全性。7.安装被利用漏洞的系统补丁安装微软提供的下列补丁文件:●RPC远程执行漏洞(MS08-067)●快捷方式文件解析漏洞(MS10-046)●打印机后台程序服务漏洞(MS10-061)●内核模式驱动程序漏洞(MS10-073)●任务计划程序程序漏洞(MS10-092)三、工业病毒防护三、工业病毒防护“震网”病毒防护实例1.使用相关专业杀毒工具手工清除Stuxnet蠕虫，手工清除的步骤为:

（1）使用Atool管理工具，结束系统中的父进程不是winlogon.exe的所有Isass.exe进程;

（2）强行删除下列衍生文件:%System32%ldrivers\mrxcls.sys%System32%\drivers\mrxnet.sys%Windir%infloem7A.P