国产欧美日韩精品a在线观看-国产欧美日韩精品一区二区三区-国产欧美日韩精品综合-国产欧美中文字幕-一区二区三区精品国产-一区二区三区精品国产欧美

1　引言

隨著信息技術(shù)的發(fā)展，計(jì)算機(jī)技術(shù)越來越多地應(yīng)用于社會(huì)生產(chǎn)生活中，與此同時(shí)惡意軟件也在不斷發(fā)展進(jìn)化。早期的惡意軟件僅僅出于個(gè)人炫耀或技術(shù)探索，互聯(lián)網(wǎng)時(shí)代“用戶流量”的巨大價(jià)值吸引惡意軟件利用劫持虛擬資產(chǎn)、流量、互聯(lián)網(wǎng)推廣作弊等手段謀取間接利益，隨著區(qū)塊鏈加密貨幣的流行，惡意軟件再一次進(jìn)化直接向受害者伸手要錢。

隨著破壞工業(yè)設(shè)施的Stuxnet、加密用戶數(shù)據(jù)進(jìn)行勒索的WannaCry等惡意軟件曝光，來自惡意軟件的威脅已經(jīng)觸及工控系統(tǒng)，對(duì)于工控系統(tǒng)的運(yùn)營(yíng)管理者，有必要了解惡意軟件，了解工控系統(tǒng)正面臨的信息安全風(fēng)險(xiǎn)。

2　惡意軟件從炫技到勒索病毒的演進(jìn)

推動(dòng)惡意軟件進(jìn)化的背后是賽博世界中利益輸送方式的進(jìn)化。在計(jì)算技術(shù)發(fā)展的早期，各種應(yīng)用普及程度有限，潛在的惡意軟件作者難以通過傳播病毒廣泛牟利，不妨假設(shè)有人試圖制造病毒擴(kuò)散，隨后在市場(chǎng)上出售針對(duì)性的殺毒工具，這種操作證據(jù)直接明顯，作者可能都猜不到發(fā)財(cái)和被捕哪件事會(huì)先發(fā)生，所以這個(gè)時(shí)代的病毒才會(huì)顯得相對(duì)“純粹”。

到了流量時(shí)代，用戶在互聯(lián)網(wǎng)上的活動(dòng)、消費(fèi)對(duì)應(yīng)著廣告和貿(mào)易等現(xiàn)實(shí)世界中有價(jià)值的資源，為了獲得更多收益，服務(wù)商開始為“流量”出價(jià)。例如經(jīng)營(yíng)電子商務(wù)的公司，為了獲取更多的客戶開始鼓勵(lì)推廣者，每拉來一位網(wǎng)絡(luò)訪客給予一定的流量分成，很快惡意軟件開始劫持網(wǎng)絡(luò)中的流量，通過植入病毒木馬、劫持HTTP、劫持DNS等方式，綁架流量從服務(wù)商處騙取收益。這種方式具備一定的隱蔽性、難以察覺并且普通人即便了解相關(guān)技術(shù)，也只能追蹤到一個(gè)推廣者ID，追查這個(gè)ID是誰已經(jīng)不是普通人的能力范圍了。萬變不離其宗，流量時(shí)代的利益輸送仍然從服務(wù)商處以現(xiàn)金方式結(jié)算，通過追查相關(guān)資金和信息還是可以找出惡意軟件作者，在公安機(jī)關(guān)、安全廠商等多方努力和相關(guān)法律法規(guī)逐漸健全的情況下流量劫持惡意軟件已經(jīng)得到控制。

如今勒索病毒已經(jīng)成為互聯(lián)網(wǎng)上逐利惡意軟件的代表，勒索病毒并不是近年來的發(fā)明，早在1989年，就有勒索病毒在運(yùn)行后將計(jì)算機(jī)C盤加密，顯示信息聲稱用戶的軟件許可過期，要求用戶向“PCCyborg”公司位于巴拿馬的郵箱寄一筆錢以解鎖系統(tǒng)。勒索病毒流行依托的其實(shí)是區(qū)塊鏈技術(shù)衍生出來的加密貨幣。在2008年金融危機(jī)后，美國(guó)實(shí)行量化寬松，全球各大央行放水，一種基于P2P網(wǎng)絡(luò)的加密貨幣開始流行，也就是比特幣。比特幣具備不依靠特定貨幣機(jī)構(gòu)發(fā)行的特性，數(shù)據(jù)從客戶端到客戶端傳輸，沒有所謂的清算中心，也就是說比特幣的傳送不受任何一個(gè)機(jī)構(gòu)的監(jiān)管，具備一定的匿名特性。只要建立網(wǎng)絡(luò)連接加密貨幣可以從世界上任何兩個(gè)地方之間傳送。具備這一特性的加密貨幣不止比特幣一種，但這一特性，極為適合勒索病毒使用。勒索病毒感染成功后迅速加密用戶數(shù)據(jù)，隱藏解密數(shù)據(jù)所必須的密鑰，然后向用戶發(fā)出通知，要求支付加密貨幣贖金。拒絕支付贖金則密鑰可能被銷毀，所有資料可能無法解密。而惡意軟件作者躲在加密貨幣后，追蹤難度可想而知，正因如此惡意軟件作者才敢對(duì)工控系統(tǒng)伸手。

3　勒索病毒如何進(jìn)入工控系統(tǒng)

勒索病毒和其他目的的惡意軟件的主要區(qū)別是目的不同，惡意軟件Stuxnet的主要目的是發(fā)送惡意指令損壞設(shè)備，勒索病毒W(wǎng)annaCry的主要目的則是加密受害者設(shè)備上的數(shù)據(jù)，向用戶索要解密贖金，但針對(duì)工控系統(tǒng)的惡意軟件在傳播方式上是相似的。

工控系統(tǒng)在設(shè)計(jì)之初通常并未考慮到暴露在互聯(lián)網(wǎng)上或與互聯(lián)網(wǎng)存在間接連接，其安全性主要來自于隔離。但隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的發(fā)展和提高效率的需求，工控系統(tǒng)的封閉特性正在逐漸被打破，因此存在一些安全隱患。

3.1　利用設(shè)備漏洞遠(yuǎn)程入侵

由于配置錯(cuò)誤或者管理上的問題，可能存在一小部分工控系統(tǒng)設(shè)備直接暴露于互聯(lián)網(wǎng)中，如果設(shè)備上存在漏洞，惡意軟件可能通過遠(yuǎn)程利用漏洞的方式感染工控系統(tǒng)設(shè)備，實(shí)施勒索或其他惡意行為。

3.2　繞過工控系統(tǒng)外部防火墻

在一般情況下工控系統(tǒng)與外部網(wǎng)絡(luò)至少存在防火墻等安全設(shè)施保護(hù)，惡意軟件可能通過郵件、U盤等渠道，通過工控系統(tǒng)運(yùn)營(yíng)人員攜帶的設(shè)備帶入內(nèi)網(wǎng)，以繞過工控系統(tǒng)外部防火墻進(jìn)入工控網(wǎng)絡(luò)。

3.3　通過供應(yīng)鏈攻擊進(jìn)入工控網(wǎng)絡(luò)

將設(shè)備帶入工控系統(tǒng)的除了運(yùn)營(yíng)管理人員還有相應(yīng)軟硬件供應(yīng)商，勒索病毒也可能通過預(yù)先感染供應(yīng)商設(shè)備在工控系統(tǒng)中安裝新設(shè)備時(shí)將勒索病毒帶入工控系統(tǒng)，再利用勒索蠕蟲病毒中內(nèi)置的漏洞利用代碼在工控系統(tǒng)內(nèi)網(wǎng)中進(jìn)行橫向滲透，發(fā)現(xiàn)并感染存在漏洞和脆弱性問題的工控系統(tǒng)設(shè)備。

4　勒索病毒對(duì)工控系統(tǒng)的破壞

4.1　加密文件

在目前已經(jīng)曝光的案例中，勒索病毒主要感染W(wǎng)indows設(shè)備，將設(shè)備用戶文件進(jìn)行加密，覆蓋或破壞原始文件，并且絕大多數(shù)勒索病毒都具備蠕蟲病毒的特性，會(huì)主動(dòng)對(duì)被感染設(shè)備同網(wǎng)絡(luò)中的其他設(shè)備進(jìn)行掃描，通過內(nèi)網(wǎng)和感染設(shè)備發(fā)現(xiàn)存在漏洞和脆弱性的設(shè)備進(jìn)行擴(kuò)散。

4.2　竊取機(jī)密

在利用漏洞或其他入侵手段進(jìn)入工控系統(tǒng)后，惡意軟件可以根據(jù)其需要搭載不同的攻擊載荷，獲取密碼、控制列表、PLC程序等機(jī)密信息并加密，嘗試傳回惡意軟件作者達(dá)到勒索或其他惡意目的。

4.3　鎖定設(shè)備

勒索病毒可以利用工控系統(tǒng)設(shè)備的漏洞或弱口令等脆弱性問題，控制PLC等工控系統(tǒng)設(shè)備，修改認(rèn)證口令或利用固件驗(yàn)證繞過漏洞刷入惡意固件并禁用設(shè)備固件更新功能，獲取設(shè)備的控制權(quán)。

4.4　物理攻擊^[6]

在某些特殊場(chǎng)景下，勒索病毒可以控制PLC，執(zhí)行某些會(huì)對(duì)物理世界造成威脅的動(dòng)作，例如鎖定閥門或修改上報(bào)的參數(shù)，欺騙操作人員。研究人員已經(jīng)在模擬環(huán)境中實(shí)現(xiàn)勒索病毒控制水處理廠，關(guān)閉城市供水或增加氯濃度污染城市用水等攻擊行為。

萬幸的是，目前已公開的案例中勒索病毒對(duì)工控系統(tǒng)的威脅還停留在加密文件勒索階段，尚未造成人員傷亡或無法挽救的重大財(cái)產(chǎn)損失。據(jù)報(bào)道全球最大的芯片制造商臺(tái)積電曾因勒索病毒W(wǎng)annaCry攻擊生產(chǎn)線上的自動(dòng)物料搬運(yùn)系統(tǒng)（AMHS）造成停工，預(yù)測(cè)將對(duì)當(dāng)年第三季營(yíng)收造成3%的影響，隨后臺(tái)積電對(duì)受影響的設(shè)備進(jìn)行斷網(wǎng)處置，并表示因停工造成的產(chǎn)能影響可以彌補(bǔ)^[7]。

5　工控系統(tǒng)防御勒索病毒的解決方案

勒索病毒與其他工控環(huán)境下的惡意軟件一樣，利用工控環(huán)境中的脆弱性問題及設(shè)備漏洞實(shí)施惡意行為，在預(yù)防上與其他工控惡意軟件一致，主要體現(xiàn)在以下幾點(diǎn)：

5.1 資產(chǎn)識(shí)別與維護(hù)

對(duì)工控系統(tǒng)網(wǎng)絡(luò)中的設(shè)備進(jìn)行識(shí)別，發(fā)現(xiàn)存在安全隱患或者存在已知漏洞的設(shè)備，及時(shí)修復(fù)，對(duì)于不便停機(jī)升級(jí)的設(shè)備進(jìn)行必要的隔離保護(hù)，關(guān)閉工控系統(tǒng)網(wǎng)絡(luò)中所有非必要的通訊端口。

5.2 準(zhǔn)入控制

準(zhǔn)入控制指對(duì)網(wǎng)絡(luò)的邊界進(jìn)行保護(hù)，對(duì)接入網(wǎng)絡(luò)的終端和使用進(jìn)行合規(guī)檢查，杜絕不安全的電腦、U盤等設(shè)備未經(jīng)充分檢查接入工控系統(tǒng)。

5.3 制訂備份與恢復(fù)計(jì)劃

對(duì)于生產(chǎn)資料和系統(tǒng)進(jìn)行備份，將備份文件用單獨(dú)的設(shè)備離線儲(chǔ)存或保存到安全的環(huán)境中，并準(zhǔn)備恢復(fù)計(jì)劃。

5.4 事后追查能力

作為以防萬一的保障，確保在發(fā)生攻擊事件后有能力追查攻擊來源、造成的影響和所有設(shè)備是否已經(jīng)被完全恢復(fù)。

5.5 安全培訓(xùn)

完全依賴安全設(shè)備或管理制度均不可取。加強(qiáng)工控系統(tǒng)安全需兩者結(jié)合，工控系統(tǒng)操作人員的安全意識(shí)非常重要，應(yīng)加強(qiáng)安全培訓(xùn)，相關(guān)操作人員杜絕下載不明文件、點(diǎn)擊不明鏈接或使用未經(jīng)充分安全檢查的設(shè)備接入工控系統(tǒng)等高危操作。

6　基于損失控制的勒索病毒處置探討

在對(duì)于勒索病毒的處置中，工控系統(tǒng)與普通辦公設(shè)備不同。工控系統(tǒng)冗余量小，即便是部分設(shè)備感染勒索病毒也可能造成整個(gè)生產(chǎn)線停工甚至工控系統(tǒng)中的設(shè)備物理安全受到威脅。這種情況下時(shí)間就是金錢甚至生命，從減少損失的角度來看，確定恢復(fù)系統(tǒng)正常運(yùn)轉(zhuǎn)的代價(jià)遠(yuǎn)高于支付贖金，工控系統(tǒng)的運(yùn)營(yíng)管理者很難有其他選擇。
當(dāng)勒索事件發(fā)生后，冷靜迅速處理，判明情況。首先將被攻擊的異常設(shè)備進(jìn)行斷網(wǎng)斷電隔離，中斷內(nèi)網(wǎng)通信避免勒索病毒出現(xiàn)擴(kuò)散，隨后聯(lián)系安全廠商及有關(guān)機(jī)構(gòu)對(duì)設(shè)備中的病毒樣本進(jìn)行取樣分析，盡量了解惡意軟件意圖和已經(jīng)造成的影響，并著手修復(fù)工控系統(tǒng)及早恢復(fù)正常工作，查明勒索病毒入侵情況后，應(yīng)將染毒內(nèi)網(wǎng)中的設(shè)備進(jìn)行離線修復(fù)，避免因安裝補(bǔ)丁等修復(fù)過程中勒索病毒借機(jī)入侵。

勒索病毒的解密也存在多種可能性，首先勒索病毒的加密方式多種多樣，攻擊者可能掌握難以破解的密鑰，這種情況下支付贖金尚有可能取回解密密鑰。也存在另一種可能性，病毒已經(jīng)對(duì)文件造成了不可逆的破壞，即便支付贖金也只能是增加損失。

亦有可能感染的病毒只是采用了一些在本地對(duì)文件簡(jiǎn)單加密的方法，例如對(duì)文件中的部分內(nèi)容進(jìn)行可逆加密，通過對(duì)勒索病毒的逆向分析可能找出文件恢復(fù)的解決方法，制作出對(duì)應(yīng)的解密工具^[8]。

在分析檢出的勒索病毒加密原理后，可能有找回文件的方法，在一些情況下原始文件并未被直接加密，勒索病毒可能先創(chuàng)建了加密后的副本再刪除了原始文件，在這種情況下采用數(shù)據(jù)恢復(fù)技術(shù)有可能恢復(fù)部分原始文件，挽回?fù)p失，切記盡可能避免對(duì)已經(jīng)被勒索病毒加密的設(shè)備做不必要的操作，以免原始文件被二次覆蓋無法恢復(fù)。
在工控系統(tǒng)這一特殊環(huán)境下，對(duì)運(yùn)營(yíng)管理人員的要求更高于普通IT網(wǎng)絡(luò)中的勒索病毒應(yīng)急響應(yīng)，當(dāng)工控系統(tǒng)設(shè)備在勒索病毒攻擊下出現(xiàn)異?；蛲[時(shí)，其影響可能在業(yè)務(wù)邏輯中的上下游產(chǎn)生擴(kuò)散影響，這需要工控系統(tǒng)的運(yùn)營(yíng)管理人員在預(yù)防之外對(duì)可能發(fā)生的勒索病毒爆發(fā)事件做好充分準(zhǔn)備，并且與安全廠商及有關(guān)機(jī)構(gòu)建立通暢的溝通渠道，在需要時(shí)以生命財(cái)產(chǎn)安全為第一要?jiǎng)?wù)，合理處置工控系統(tǒng)中的勒索病毒事件。

作者簡(jiǎn)介

周　晟（1984-），男，上海人，高級(jí)工程師，本科，現(xiàn)就職于長(zhǎng)揚(yáng)科技（北京）有限公司，從事工業(yè)安全研究研究8年，參與過大量工業(yè)安全及網(wǎng)絡(luò)安全項(xiàng)目（航天八院網(wǎng)絡(luò)安全項(xiàng)目、長(zhǎng)安汽車工控安全項(xiàng)目、上海水務(wù)局工控安全項(xiàng)目、武漢經(jīng)信委工控安全檢查等），有深厚的工業(yè)安全和網(wǎng)絡(luò)安全功底，編寫過多本關(guān)于工業(yè)安全和網(wǎng)絡(luò)安全的培訓(xùn)教材（武漢經(jīng)信委工控安全培訓(xùn)教材、內(nèi)蒙經(jīng)信委工控安全宣講教材、航天八院網(wǎng)絡(luò)安全管理及培訓(xùn)教材等）。

參考文獻(xiàn)：

[1] Georgia Tech. Out of Control: Ransomware for Industrial Control Systems[DB/OL].

http://www.rh.gatech.edu/news/587359/simulated-ransomware-attack-shows-vulnerability-industrial-controls, 2017 - 02 - 13.

[2] 臺(tái)灣積體電路制造股份有限公司. 臺(tái)積公司公布電腦病毒感染事件影響[EB/OL]. http://www.tsmc.com/tsmcdotcom/PRListingNewsAction.do?action=det ail&newsid=THHIANTHTH&language=C, 2018 - 08 - 05.

[3] Benjamin Delpy.Github項(xiàng)目wanakiwi [DB/OL]. https://github.com/gentilkiwi/wanakiwi, 2017 - 06 - 12.

摘自《工業(yè)控制系統(tǒng)信息安全?？ǖ谖遢嫞?/span>