董 偉，李致成，馮 志

(中國電子信息產(chǎn)業(yè)集團(tuán)有限公司第六研究所工業(yè)控制系統(tǒng)信息安全技術(shù)國家工程實(shí)驗(yàn)室，北京 102209)

0 引言

2018年某交通行業(yè)工控系統(tǒng)發(fā)生運(yùn)行故障，部分主機(jī)發(fā)生藍(lán)屏、宕機(jī)現(xiàn)象，經(jīng)防病毒軟件查殺，發(fā)現(xiàn)各終端主機(jī)存在WannaCry病毒。

1 WannaCry病毒原理

WannaCry勒索病毒可以分為蠕蟲部分和勒索病毒部分，蠕蟲部分用于傳播并釋放勒索病毒，勒索病毒部分用于加密用戶文件并索要贖金。本次發(fā)生的病毒爆發(fā)并未發(fā)生文件加密索要贖金現(xiàn)象，判斷應(yīng)該為WannaCry勒索病毒的變種。

WannaCry勒索病毒蠕蟲部分的傳播流程如下所示[1]：

(1)蠕蟲代碼在運(yùn)行后會(huì)先連接隱藏開關(guān)域名，如果該隱藏開關(guān)域名可以成功連接，則直接退出。但在業(yè)務(wù)網(wǎng)絡(luò)中沒有部署流量審計(jì)或其它類似作用的設(shè)備，所以無法對該域名請求行為進(jìn)行溯源。由于隱藏開關(guān)通常很容易被黑客修改，所以，很快就出現(xiàn)了沒有隱藏開關(guān)的病毒變種，該變種病毒會(huì)直接執(zhí)行第二步。

(2)如果隱藏開關(guān)域名無法訪問，則會(huì)安裝病毒并將其啟動(dòng)。

(3)將tasksche.exe(該程序?qū)儆诶账鞑《静糠?釋放資源到C盤WINDOWS目錄下并將其啟動(dòng)(從系統(tǒng)日志中，可以發(fā)現(xiàn)病毒母體的釋放時(shí)間)。

(4)在啟動(dòng)蠕蟲病毒后，WannaCry病毒會(huì)利用MS17-010漏洞進(jìn)行傳播。其傳播分為局域網(wǎng)傳播和公網(wǎng)傳播兩種傳播途徑。利用局域網(wǎng)進(jìn)行傳播，病毒會(huì)依據(jù)用戶的內(nèi)網(wǎng)IP，生成包含整個(gè)局域網(wǎng)的網(wǎng)段表，然后依次嘗試攻擊。

2 處理過程

病毒爆發(fā)后，系統(tǒng)工作人員直接對被感染主機(jī)進(jìn)行殺毒處理，因WannaCry的蠕蟲特性，經(jīng)過處理的主機(jī)又被未殺毒的主機(jī)所感染。系統(tǒng)應(yīng)急處理人員到位后對各個(gè)被感染主機(jī)進(jìn)行了下線隔離，對裝有Windows 7系統(tǒng)的主機(jī)安裝了Windows相關(guān)漏洞補(bǔ)丁(KB4012212、KB4012215)，在系統(tǒng)防火墻中添加了進(jìn)出TCP 445端口的安全策略，同時(shí)使用殺毒軟件以及WannaCry專殺工具對受感染主機(jī)進(jìn)行了查殺。通過殺毒軟件、WannaCry專殺工具等對裝有Windows XP的主機(jī)進(jìn)行掃描未發(fā)現(xiàn)病毒痕跡。

對部分受影響主機(jī)進(jìn)行復(fù)查及分析，在受感染主機(jī)的Windows日志中發(fā)現(xiàn)了病毒母體mssecsvc.exe運(yùn)行的日志記錄，最先發(fā)現(xiàn)病毒主機(jī)日志如圖1所示：

圖1 病毒母體日志

發(fā)生時(shí)間與日志時(shí)間吻合。

3 原因分析

該工控系統(tǒng)屬于獨(dú)立的局域網(wǎng)環(huán)境，在WannaCry病毒爆發(fā)時(shí)，與互聯(lián)網(wǎng)隔離。懷疑有工作人員調(diào)試時(shí)違規(guī)接入私人筆記本或私人U盤(可移動(dòng)存儲(chǔ)介質(zhì))等設(shè)備，將病毒引入系統(tǒng)。

經(jīng)過分析，系統(tǒng)主要存在如下幾個(gè)問題：

(1)缺少漏洞補(bǔ)丁更新機(jī)制

永恒之藍(lán)的漏洞已曝光一年有余，但所在單位依賴獨(dú)立局域網(wǎng)的環(huán)境，并未對有漏洞的主機(jī)系統(tǒng)安裝相關(guān)的安全補(bǔ)丁，且各主機(jī)系統(tǒng)的SMB服務(wù)也并未關(guān)閉，導(dǎo)致病毒進(jìn)入系統(tǒng)后迅速感染傳播。

(2)缺少必要的主機(jī)防惡意軟件系統(tǒng)

工控系統(tǒng)往往部署在獨(dú)立的局域網(wǎng)，為了保持業(yè)務(wù)軟件的穩(wěn)定性、兼容性，主機(jī)系統(tǒng)通常不會(huì)安裝主機(jī)防惡意軟件系統(tǒng)。即使已安裝，也因?yàn)槁?lián)網(wǎng)的限制而無法更新病毒庫。一旦局域網(wǎng)有主機(jī)感染了病毒，在缺乏有效防護(hù)的情況下，其他主機(jī)很快也會(huì)感染，導(dǎo)致病毒直接快速在局域網(wǎng)中傳播，輕則降低網(wǎng)絡(luò)速度，影響工作效率，造成數(shù)據(jù)丟失或者電腦無法啟動(dòng)[2]，重則會(huì)產(chǎn)生無法預(yù)期的惡劣后果，如在白天交通運(yùn)行期間爆發(fā)等。

(3)缺少限制系統(tǒng)接入的技術(shù)及管理手段

由于沒有嚴(yán)格的系統(tǒng)接入管理流程，工作人員可將私人筆記本或U盤等移動(dòng)存儲(chǔ)介質(zhì)隨意帶入現(xiàn)場并接入，缺少準(zhǔn)入手段限制未授權(quán)的設(shè)備接入，設(shè)備接入網(wǎng)絡(luò)即可生效。

(4)網(wǎng)絡(luò)安全策略防護(hù)能力不足

網(wǎng)絡(luò)中的防火墻、交換機(jī)等設(shè)備只有最基本的配置策略，缺少針對端口、應(yīng)用的訪問控制，也進(jìn)一步導(dǎo)致了病毒在系統(tǒng)中的快速蔓延。

(5)缺少網(wǎng)絡(luò)安全監(jiān)測手段，未能及時(shí)發(fā)現(xiàn)和報(bào)告網(wǎng)絡(luò)攻擊或異常行為

此次病毒感染是在工作人員因系統(tǒng)故障復(fù)查時(shí)發(fā)現(xiàn)，故無法確定系統(tǒng)最初感染病毒時(shí)間，難以做到及時(shí)響應(yīng)，導(dǎo)致感染范圍在不知情情況下進(jìn)一步擴(kuò)大。同時(shí)針對該事件的一系列殺毒等處理動(dòng)作，造成了證據(jù)文件的丟失，為溯源分析工作帶來了較大的困難。

(6)缺少必要的應(yīng)急響應(yīng)預(yù)案及演練

WannaCry具有蠕蟲特性，在病毒處理過程中，工作人員未對感染主機(jī)進(jìn)行斷網(wǎng)處理，而是分別直接進(jìn)行殺毒，結(jié)果又被未殺毒的主機(jī)重復(fù)感染，造成了反復(fù)殺毒，同時(shí)由于缺少相應(yīng)的演練，現(xiàn)場處理經(jīng)驗(yàn)與能力不足，導(dǎo)致了處置時(shí)間進(jìn)一步延長。

4 安全建議

針對上述問題，從技術(shù)和管理兩個(gè)層面給出如下幾點(diǎn)安全建議：

(1)技術(shù)層面

①應(yīng)密切關(guān)注CNVD、CNNVD等漏洞庫及設(shè)備廠商發(fā)布的補(bǔ)丁。當(dāng)重大漏洞及其補(bǔ)丁發(fā)布時(shí)，根據(jù)企業(yè)自身情況及變更計(jì)劃，在離線環(huán)境中對補(bǔ)丁進(jìn)行嚴(yán)格的安全評估和測試驗(yàn)證，對通過安全評估和測試驗(yàn)證的補(bǔ)丁及時(shí)升級。

②各交通節(jié)點(diǎn)之間通過交換機(jī)相連，在中心機(jī)房等有限的節(jié)點(diǎn)部署防火墻，在各交換機(jī)設(shè)備和防火墻中對TCP 445端口添加相關(guān)的端口限制。

③在各主機(jī)組策略或防火墻中添加TCP 445端口的出入規(guī)則，并關(guān)閉未使用的SMB服務(wù)。

④在防火墻和交換機(jī)上做IP/MAC綁定的方式，防止網(wǎng)絡(luò)中的非法主機(jī)接入。

⑤定期在非運(yùn)行期間進(jìn)行系統(tǒng)病毒查殺。

⑥在網(wǎng)絡(luò)中部署可對網(wǎng)絡(luò)攻擊和異常行為進(jìn)行識(shí)別、報(bào)警、記錄的網(wǎng)絡(luò)安全監(jiān)測設(shè)備，及時(shí)發(fā)現(xiàn)、報(bào)告網(wǎng)絡(luò)攻擊或異常行為，追蹤溯源。

(2)管理層面

①嚴(yán)格限制可移動(dòng)存儲(chǔ)介質(zhì)的使用，如可能，需通過技術(shù)手段限制USB接口的使用。

②制定系統(tǒng)接入管理流程，限制運(yùn)維調(diào)試人員將私人筆記本帶入現(xiàn)場和接入運(yùn)行網(wǎng)絡(luò)，并嚴(yán)格執(zhí)行。

③制定工控安全應(yīng)急響應(yīng)預(yù)案。預(yù)案應(yīng)包括應(yīng)急計(jì)劃的策略和規(guī)程、應(yīng)急計(jì)劃培訓(xùn)、應(yīng)急計(jì)劃測試與演練、應(yīng)急處理流程、監(jiān)控措施、報(bào)告流程、應(yīng)急支持資源、應(yīng)急響應(yīng)計(jì)劃等內(nèi)容，并定期組織操作、維護(hù)、管理等相關(guān)人員開展應(yīng)急響應(yīng)預(yù)案演練。

5 結(jié)論

習(xí)近平總書記在網(wǎng)絡(luò)安全和信息化工作座談會(huì)上指出，“金融、能源、電力、通信、交通等領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施是經(jīng)濟(jì)社會(huì)運(yùn)行的神經(jīng)中樞，是網(wǎng)絡(luò)安全的重中之重，也是可能遭到重點(diǎn)攻擊的目標(biāo)。物理隔離防線可被跨網(wǎng)入侵，電力調(diào)配指令可被惡意篡改，金融交易信息可被竊取，這些都是重大風(fēng)險(xiǎn)隱患。不出問題則已，一出就可能導(dǎo)致交通中斷、金融紊亂、電力癱瘓等問題，具有很大的破壞性和殺傷力。我們必須深入研究，采取有效措施，切實(shí)做好國家關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)?！盵3]

近幾年的網(wǎng)絡(luò)安全事件表明，網(wǎng)絡(luò)安全已從傳統(tǒng)的信息系統(tǒng)滲透到關(guān)鍵信息基礎(chǔ)設(shè)施當(dāng)中。作為傳統(tǒng)IT系統(tǒng)的延伸和發(fā)展,工業(yè)控制系統(tǒng)目前雖然面臨著嚴(yán)重的信息安全威脅,但是只要能夠借鑒傳統(tǒng)安全防御手段，充分考慮工業(yè)控制系統(tǒng)的工作特點(diǎn),因地制宜地采取保護(hù)措施，一定可以在新的網(wǎng)絡(luò)安全形勢下占據(jù)先機(jī)和主動(dòng)。