国产欧美日韩精品a在线观看-国产欧美日韩精品一区二区三区-国产欧美日韩精品综合-国产欧美中文字幕-一区二区三区精品国产-一区二区三区精品国产欧美

★北京首鋼股份有限公司 王熹

2017年，“WannaCry”勒索病毒橫空出世，席卷全球，此后六年勒索病毒猶如洪水泛濫般一發(fā)不可收拾。據(jù)相關(guān)的報(bào)告，我國(guó)某系統(tǒng)截獲勒索病毒樣本的數(shù)量接近百萬(wàn)，受到勒索病毒感染最為嚴(yán)重的幾個(gè)行業(yè)包括工業(yè)企業(yè)、高校、醫(yī)療系統(tǒng)和政府機(jī)關(guān)等網(wǎng)站，其生產(chǎn)經(jīng)營(yíng)及教學(xué)工作的正常進(jìn)行被嚴(yán)重影響。而鋼鐵行業(yè)作為關(guān)乎國(guó)家安全的關(guān)鍵基礎(chǔ)行業(yè)，其面臨的威脅也是越發(fā)嚴(yán)峻復(fù)雜。例如，2020年，全球最大跨國(guó)鋼鐵制造和礦業(yè)公司之一的EVRAZ北美分公司遭到了Ryuk勒索病毒攻擊，該事件造成該廠北美地區(qū)的鋼鐵生產(chǎn)工廠癱瘓。因此，鋼鐵行業(yè)對(duì)勒索病毒的防護(hù)刻不容緩。針對(duì)勒索病毒的攻擊途徑和特點(diǎn)，本文以鋼鐵行業(yè)為主體，依托工業(yè)網(wǎng)絡(luò)靶場(chǎng)，研究了勒索病毒的感染路徑與遭受勒索病毒后進(jìn)行應(yīng)急響應(yīng)的過(guò)程。

1　勒索病毒介紹

1.1　概述

勒索病毒是一種極具破壞性與傳播性的惡意軟件，也是伴隨數(shù)字貨幣興起的一種新型病毒木馬，它通常利用非對(duì)稱和對(duì)稱加密算法組合的形式來(lái)加密文件。絕大多數(shù)勒索軟件無(wú)法通過(guò)技術(shù)手段解密，必須向黑客支付一定的贖金才能拿到對(duì)應(yīng)的解密私鑰，才有可能將被加密的文件還原。因?yàn)槭峭ㄟ^(guò)數(shù)字貨幣支付，故一般無(wú)法溯源，因此危害巨大。其傳播途徑一般為郵件傳播、漏洞傳播、介質(zhì)傳播、捆綁傳播。

1.2　分類

勒索病毒種類繁多，常見(jiàn)的有四類，分別為文件加密類、數(shù)據(jù)竊取類、系統(tǒng)加密類、屏幕鎖定類。

（1）文件加密類

該類型病毒會(huì)通過(guò)多種加密算法（如RAS、AES等）對(duì)文件進(jìn)行加密，只有向黑客支付過(guò)贖金才可以拿到密鑰。因此，一旦感染，文件很難恢復(fù)。

（2）數(shù)據(jù)竊取類

該類型病毒與文件加密病毒相似，都是將數(shù)據(jù)加密，并要求支付贖金，但在勒索過(guò)程中還會(huì)竊取重要數(shù)據(jù)，以公開(kāi)數(shù)據(jù)的方式來(lái)威脅受害者交付贖金。

（3）系統(tǒng)加密類

該類型病毒會(huì)加密系統(tǒng)磁盤引導(dǎo)記錄、卷引導(dǎo)記錄，并同樣加密受害者數(shù)據(jù)，并要求受害者支付贖金。一旦感染，系統(tǒng)很難啟動(dòng)。

（4）屏幕鎖定類

該類型病毒會(huì)對(duì)受害者的設(shè)備屏幕進(jìn)行鎖定，通常以全屏形式呈現(xiàn)涵蓋勒索信息的圖像，使受害者無(wú)法登錄設(shè)備。

2　勒索病毒攻擊與應(yīng)急演練環(huán)境設(shè)計(jì)

2.1　環(huán)境概述

由于鋼鐵行業(yè)生產(chǎn)網(wǎng)絡(luò)對(duì)可用性的要求十分嚴(yán)格，因此本研究不是直接在真實(shí)環(huán)境中進(jìn)行演練，而是依托于工業(yè)網(wǎng)絡(luò)靶場(chǎng)，利用工業(yè)網(wǎng)絡(luò)靶場(chǎng)技術(shù)的仿真能力，真實(shí)復(fù)現(xiàn)鋼鐵行業(yè)工控網(wǎng)絡(luò)基礎(chǔ)環(huán)境和工藝生產(chǎn)場(chǎng)景，使演習(xí)做到“以假亂真”，讓其更有利于研究。

2.2　仿真工藝設(shè)計(jì)

鋼鐵行業(yè)的仿真工藝由燒結(jié)工藝仿真、煉鐵工藝仿真、煉鋼工藝仿真、軋鋼工藝仿真、倉(cāng)庫(kù)管理仿真和物流運(yùn)輸仿真構(gòu)成。

各個(gè)仿真工藝的介紹如下：

（1）燒結(jié)工藝仿真

燒結(jié)工藝是指將各種粉狀含鐵原料配入適量的燃料和溶劑，并加入適量的水，經(jīng)混合和造球后在燒結(jié)設(shè)備上使物料發(fā)生一系列物理化學(xué)變化，將礦粉顆粒粘結(jié)成塊的過(guò)程。

通過(guò)PLC的控制程序以及SCADA系統(tǒng)的監(jiān)控程序?qū)Y(jié)系統(tǒng)進(jìn)行控制，主要模擬二次混合造粒工藝及燒結(jié)機(jī)工藝，其中二混造?？蓜?dòng)態(tài)旋轉(zhuǎn)，燒結(jié)中的煤粉采用白色燈光的仿真效果進(jìn)行模擬。

（2）煉鐵工藝仿真

煉鐵工藝主要模擬高爐及除塵等主要工藝。

通過(guò)PLC的控制程序以及操作員站的監(jiān)控程序?qū)掕F系統(tǒng)進(jìn)行控制，通過(guò)實(shí)物模型模擬高爐本體、爐頂裝料設(shè)備、除塵、煙囪等動(dòng)態(tài)效果。

（3）煉鋼工藝仿真

煉鋼工藝主要模擬轉(zhuǎn)爐、鋼包等主要工藝。

通過(guò)PLC的控制程序以及操作員站的監(jiān)控程序?qū)掍撓到y(tǒng)和鋼包方向進(jìn)行控制，轉(zhuǎn)爐內(nèi)通過(guò)紅色燈光效果模擬轉(zhuǎn)爐生產(chǎn)工藝。

（4）軋鋼工藝仿真

軋鋼工藝對(duì)鋼坯進(jìn)行沖壓模擬。

通過(guò)PLC的控制程序以及操作員站的監(jiān)控程序?qū)堜撓到y(tǒng)和鋼坯流動(dòng)方向進(jìn)行控制，在轉(zhuǎn)燒結(jié)機(jī)中，使用白色燈光的仿真效果來(lái)模擬煤粉材料。

2.3　網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)（如圖1所示）

工控網(wǎng)絡(luò)層次模型從上到下共分為5個(gè)層級(jí)，依次為企業(yè)管理層、生產(chǎn)執(zhí)行層、過(guò)程監(jiān)控層、現(xiàn)場(chǎng)控制層和現(xiàn)場(chǎng)設(shè)備層。不同層級(jí)的實(shí)時(shí)性要求不同，因此工業(yè)網(wǎng)絡(luò)靶場(chǎng)當(dāng)中也要根據(jù)這幾層來(lái)進(jìn)行仿真。仿真根據(jù)鋼鐵行業(yè)的網(wǎng)絡(luò)拓?fù)洹⑸a(chǎn)工藝、數(shù)據(jù)采集等業(yè)務(wù)進(jìn)行高度模擬真實(shí)現(xiàn)場(chǎng)生產(chǎn)環(huán)境。另外，網(wǎng)絡(luò)邊界隔離分為兩部分，即公網(wǎng)和企業(yè)管理層由防火墻進(jìn)行邏輯隔離，現(xiàn)場(chǎng)過(guò)程監(jiān)控層和生產(chǎn)執(zhí)行層通過(guò)實(shí)時(shí)數(shù)據(jù)庫(kù)或數(shù)采網(wǎng)關(guān)進(jìn)行隔離。目前，多數(shù)企業(yè)現(xiàn)場(chǎng)信息側(cè)和生產(chǎn)側(cè)之間無(wú)安全設(shè)備，因此內(nèi)網(wǎng)存在被攻擊的風(fēng)險(xiǎn)。工業(yè)網(wǎng)絡(luò)靶場(chǎng)仿真的拓?fù)涓鱾€(gè)區(qū)域設(shè)備組成如下：

公網(wǎng)區(qū)域：使用靶場(chǎng)環(huán)境仿真公網(wǎng)，攻擊者使用模擬公網(wǎng)IP。

安全設(shè)備區(qū)：由防火墻、蜜罐、監(jiān)測(cè)等系統(tǒng)組成。

企業(yè)管理層：搭建財(cái)務(wù)、人事等系統(tǒng)。

生產(chǎn)執(zhí)行層：搭建倉(cāng)儲(chǔ)管理、計(jì)劃排產(chǎn)等系統(tǒng)。

過(guò)程監(jiān)控層：搭建鋼鐵行業(yè)燒結(jié)工藝仿真、煉鐵工藝仿真、煉鋼工藝仿真、軋鋼工藝仿真、工程師站或操作員站。

現(xiàn)場(chǎng)控制層：搭建仿真控制器對(duì)燒結(jié)工藝仿真、煉鐵工藝仿真、煉鋼工藝仿真和軋鋼工藝仿真的控制程序。控制層數(shù)據(jù)可傳送至過(guò)程監(jiān)控層操作員站或工程師站。

圖1 鋼鐵工藝仿真場(chǎng)景及網(wǎng)絡(luò)拓?fù)?/p>

3　勒索病毒攻擊

3.1　攻擊路徑設(shè)計(jì)

本次勒索病毒攻擊模擬的環(huán)境位于工業(yè)網(wǎng)絡(luò)靶場(chǎng)中，企業(yè)內(nèi)部人員將存在web漏洞的人事辦公系統(tǒng)映射于外網(wǎng)并提供遠(yuǎn)程辦公服務(wù)。由于企業(yè)每天會(huì)面臨數(shù)量巨大的來(lái)自外網(wǎng)的攻擊，會(huì)使得位于外網(wǎng)的攻擊者探測(cè)到人事辦公系統(tǒng)的任意文件上傳漏洞，進(jìn)而在上傳webshell拿到主機(jī)權(quán)限后進(jìn)行勒索病毒加密文件操作。

勒索病毒感染路線如圖2所示（紅色代表攻擊路線）。

圖2 勒索病毒感染路線圖

3.2　攻擊過(guò)程分析

根據(jù)勒索病毒攻擊路徑設(shè)計(jì)，攻擊分為四步，即探測(cè)目標(biāo)資產(chǎn)、獲取資產(chǎn)歷史漏洞信息、獲取webshell、上傳并執(zhí)行病毒程序。

首先確認(rèn)目標(biāo)資產(chǎn)的公網(wǎng)IP（當(dāng)然，一切都是虛擬的，因?yàn)橐磺泄ぷ髟诎袌?chǎng)中進(jìn)行，下同），經(jīng)端口掃描工具掃描端口發(fā)現(xiàn)存在http等服務(wù)，訪問(wèn)其8080端口發(fā)現(xiàn)資產(chǎn)為某鋼鐵企業(yè)人事辦公oa系統(tǒng)。在確認(rèn)資產(chǎn)版本等漏洞相關(guān)信息獲取版本信息后，該版本某鋼鐵企業(yè)人事辦公oa系統(tǒng)存在歷史漏洞。通過(guò)手工驗(yàn)證發(fā)現(xiàn)存在某文件過(guò)濾不足且無(wú)后臺(tái)權(quán)限，導(dǎo)致任意文件上傳漏洞。

上述信息收集工作完成后，開(kāi)始進(jìn)入攻擊環(huán)節(jié)，編寫名稱為漏洞利用腳本，驗(yàn)證是否存在webshell上傳路徑，以實(shí)現(xiàn)一鍵上傳webshell，上傳路徑為資產(chǎn)公網(wǎng)IP的8080端口。驗(yàn)證成功后，上傳webshell并使用webshell連接工具冰蝎，使主機(jī)上線。然后進(jìn)入系統(tǒng)，執(zhí)行whoami、ipconfig等命令，看是否拿到了主機(jī)的控制權(quán)限。

在獲取webshell后，最后一步，就是將勒索病毒上傳至目標(biāo)主機(jī)并運(yùn)行。主機(jī)在受到勒索病毒感染后顯示一些重要文件被加密，需要支付贖金才能解密。

圖3 主機(jī)系統(tǒng)感染勒索病毒并彈出勒索信件

4　勒索病毒應(yīng)急響應(yīng)

4.1　應(yīng)急響應(yīng)路徑設(shè)計(jì)

在遭受到攻擊后，受害者單位應(yīng)立即進(jìn)行應(yīng)急響應(yīng)步驟，通過(guò)辦公人員發(fā)現(xiàn)主機(jī)勒索病毒彈框通知信息安全人員，信息安全人員對(duì)被勒索主機(jī)實(shí)行網(wǎng)絡(luò)隔離、病毒分析、阻止擴(kuò)散、殺毒、解密、加固等應(yīng)急響應(yīng)措施，最大程度地快速恢復(fù)正常業(yè)務(wù)，減少財(cái)產(chǎn)損失。

勒索病毒感染和應(yīng)急響應(yīng)路徑如圖4所示，紅色代表攻擊路線，藍(lán)色代表應(yīng)急路線。

圖4 勒索病毒感染和應(yīng)急響應(yīng)路徑圖

4.2　應(yīng)急響應(yīng)分析

根據(jù)應(yīng)急響應(yīng)路徑設(shè)計(jì)，應(yīng)急響應(yīng)分析主要分為以下幾個(gè)部分：主機(jī)日志排查、禁用網(wǎng)卡、病毒分析、排查內(nèi)網(wǎng)主機(jī)、安全設(shè)備排查、病毒查殺、文件恢復(fù)。

首先進(jìn)行的工作是主機(jī)日志排查。系統(tǒng)感染勒索病毒后，系統(tǒng)界面會(huì)彈出勒索信件，此時(shí)系統(tǒng)內(nèi)的文件已經(jīng)被病毒加密無(wú)法正常訪問(wèn)，要求受害者支付贖金才能解密文件并恢復(fù)訪問(wèn)權(quán)限。為判斷此次攻擊事件始末以及后續(xù)處置的分析溯源，通過(guò)對(duì)主機(jī)端口連接情況進(jìn)行分析和溯源，可以獲得更多關(guān)于攻擊事件的信息，并為進(jìn)一步的調(diào)查和處置提供指導(dǎo)。其次，為了降低勒索病毒事件造成的損失并限制病毒的進(jìn)一步傳播，需要禁用受攻擊主機(jī)的網(wǎng)卡以實(shí)現(xiàn)斷網(wǎng)處理。這將阻止病毒繼續(xù)擴(kuò)散至內(nèi)網(wǎng)中的其他主機(jī)，并防止事件對(duì)公司業(yè)務(wù)的正常運(yùn)行產(chǎn)生更大的影響。此外，斷網(wǎng)處理還有助于阻斷攻擊者與受感染主機(jī)之間的連接。

因?yàn)椴《揪哂袛U(kuò)張性，在切斷一臺(tái)電腦的連接后，需要逐一排查內(nèi)網(wǎng)內(nèi)其他主機(jī)的運(yùn)行狀態(tài)，判斷是否被病毒擴(kuò)散傳染。由于此次應(yīng)急響應(yīng)迅速，病毒并未繼續(xù)擴(kuò)散，內(nèi)網(wǎng)其他主機(jī)仍處于安全狀態(tài)。

在切斷連接防止病毒進(jìn)一步擴(kuò)散后，內(nèi)網(wǎng)別的主機(jī)也沒(méi)有被感染，危險(xiǎn)得以暫時(shí)解除，接下來(lái)就開(kāi)始對(duì)病毒進(jìn)行分析，根據(jù)勒索病毒加密文件的后綴和勒索信件的內(nèi)容進(jìn)行判斷，經(jīng)過(guò)謹(jǐn)慎縝密地分析，確認(rèn)該勒索病毒屬于WannaCry家族勒索病毒。該病毒通過(guò)網(wǎng)絡(luò)傳播和感染計(jì)算機(jī)，然后加密受害者的文件，并要求支付贖金以獲取解密密鑰。

圖5 勒索病毒分析

然后再使用安全設(shè)備等手段對(duì)攻擊進(jìn)行溯源，安全設(shè)備在系統(tǒng)受到攻擊時(shí)會(huì)收集流量特征及源IP地址等信息，可以對(duì)溯源起到輔助的作用。查看安全設(shè)備日志對(duì)此次攻擊事件進(jìn)行溯源分析，通過(guò)燈塔安全威脅誘捕審計(jì)系統(tǒng)捕獲到攻擊者畫(huà)像，系統(tǒng)分析此次攻擊疑似境外黑客所為。再通過(guò)對(duì)主機(jī)系統(tǒng)日志事件和安全設(shè)備日志事件進(jìn)行對(duì)比，可以排查到攻擊者。捕獲到該攻擊IP曾嘗試通過(guò)3389端口遠(yuǎn)程連接公網(wǎng)地址，因此該IP最有可能為此次攻擊事件的攻擊者。

圖6 安全設(shè)備排查攻擊者

在切斷網(wǎng)絡(luò)連接、對(duì)攻擊進(jìn)行溯源后，接下來(lái)就是進(jìn)行“善后工作”。首先要恢復(fù)系統(tǒng)到正常狀態(tài)，在系統(tǒng)中導(dǎo)入安全殺毒軟件的離線包，并對(duì)感染主機(jī)進(jìn)行殺毒，通過(guò)對(duì)系統(tǒng)磁盤進(jìn)行掃描檢測(cè)發(fā)現(xiàn)主機(jī)中病毒并將其查殺。

最后是文件恢復(fù)，雖然通過(guò)殺毒軟件查殺了系統(tǒng)中的勒索病毒程序，但并沒(méi)有恢復(fù)被病毒所加密的文件，因此需要導(dǎo)入文件恢復(fù)工具離線包來(lái)嘗試恢復(fù)這些文件。但文件恢復(fù)工具的成功率不會(huì)是百分之百，因?yàn)榇嬖诙鄠€(gè)因素，包括病毒的加密強(qiáng)度、加密算法的復(fù)雜性以及文件本身的完整性，因此并不能完全依賴文件恢復(fù)工具恢復(fù)所有損失。通過(guò)對(duì)比可以發(fā)現(xiàn)，只有部分被加密的文件能夠成功恢復(fù)，受害主機(jī)中仍有大量文件未得到恢復(fù)。

圖7 利用文件恢復(fù)工具恢復(fù)文件

5　總結(jié)與展望

本文主要以Windows被勒索病毒攻擊作為研究對(duì)象，依托工業(yè)網(wǎng)絡(luò)靶場(chǎng)對(duì)勒索病毒的攻擊與被攻擊后的應(yīng)急響應(yīng)做了分析。本文的主要工作內(nèi)容如下：

設(shè)計(jì)實(shí)驗(yàn)環(huán)境，搭建鋼鐵行業(yè)生產(chǎn)網(wǎng)、信息網(wǎng)與安全設(shè)備區(qū)相結(jié)合的網(wǎng)絡(luò)拓?fù)洌涸谛畔⒕W(wǎng)搭建了人事、財(cái)務(wù)等企業(yè)常用系統(tǒng)，在生產(chǎn)網(wǎng)中對(duì)鋼鐵行業(yè)的燒結(jié)、煉鐵、煉鋼、軋鋼四個(gè)工藝進(jìn)行了仿真，在安全設(shè)備區(qū)部署了蜜罐等安全設(shè)備，最大限度地還原了鋼鐵行業(yè)企業(yè)的真實(shí)生產(chǎn)環(huán)境。攻擊與應(yīng)急演練主打一個(gè)“真實(shí)”，真實(shí)度越高，演練效果越好。

雖然最大限度地對(duì)整個(gè)攻擊與防御的過(guò)程進(jìn)行了還原，但是依然存在若干問(wèn)題。例如，文件恢復(fù)只能有限度地恢復(fù)被損壞的文件，沒(méi)有辦法恢復(fù)全部的文件，因此，平時(shí)定期備份文件的習(xí)慣就顯得尤為重要。殺毒軟件的設(shè)計(jì)角度主要從安全性來(lái)考慮，可能會(huì)對(duì)一些正常業(yè)務(wù)造成影響，因此被許多人稱之為“流氓軟件”，選擇長(zhǎng)期關(guān)閉或者直接卸載，這將人為造成網(wǎng)絡(luò)安全隱患。

本文只對(duì)一種勒索病毒做了攻擊與應(yīng)急演練的研究，勒索病毒是一個(gè)大家族，隨著防御技術(shù)的不斷更新迭代病毒也在不斷地變異。因此，在今后的研究中可以進(jìn)行進(jìn)一步的探討。

作者簡(jiǎn)介：

王　熹（1983-），女，黑龍江哈爾濱人，高級(jí)信息系統(tǒng)項(xiàng)目管理師，碩士，現(xiàn)就職于北京首鋼股份有限公司，研究方向?yàn)樾畔踩⒅悄苤圃?、企業(yè)數(shù)字化轉(zhuǎn)型。

參考文獻(xiàn)：

[1] 崔瑩瑩, 原真, 劉健帥. 工業(yè)領(lǐng)域勒索攻擊事件態(tài)勢(shì)分析及應(yīng)對(duì)方法探討[J]. 工業(yè)信息安全, 2022 (10) : 63 - 68.

[2] 薛丹丹, 王媛媛, 卲一瀟, 等. 勒索病毒的原理及防御措施[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用, 2023 (02) : 10 - 12.

[3] 國(guó)家工信安全發(fā)展研究中心. 2022年工業(yè)信息安全態(tài)勢(shì)報(bào)告[EB/OL]. 2023-2-14. http://www.cics-cert.org.cn/.

[4] 中國(guó)信息通信研究院. 勒索病毒安全防護(hù)手冊(cè)[EB/OL]. 2021-9. http://www.caict.ac.cn/.

摘自《自動(dòng)化博覽》2023年10月刊