今日頭條
官方微信
官方抖音
資訊頻道★北京首鋼股份有限公司 王熹
2017年,“WannaCry”勒索病毒橫空出世,席卷全球,此后六年勒索病毒猶如洪水泛濫般一發不可收拾。據相關的報告,我國某系統截獲勒索病毒樣本的數量接近百萬,受到勒索病毒感染最為嚴重的幾個行業包括工業企業、高校、醫療系統和政府機關等網站,其生產經營及教學工作的正常進行被嚴重影響。而鋼鐵行業作為關乎國家安全的關鍵基礎行業,其面臨的威脅也是越發嚴峻復雜。例如,2020年,全球最大跨國鋼鐵制造和礦業公司之一的EVRAZ北美分公司遭到了Ryuk勒索病毒攻擊,該事件造成該廠北美地區的鋼鐵生產工廠癱瘓。因此,鋼鐵行業對勒索病毒的防護刻不容緩。針對勒索病毒的攻擊途徑和特點,本文以鋼鐵行業為主體,依托工業網絡靶場,研究了勒索病毒的感染路徑與遭受勒索病毒后進行應急響應的過程。
1 勒索病毒介紹
1.1 概述
勒索病毒是一種極具破壞性與傳播性的惡意軟件,也是伴隨數字貨幣興起的一種新型病毒木馬,它通常利用非對稱和對稱加密算法組合的形式來加密文件。絕大多數勒索軟件無法通過技術手段解密,必須向黑客支付一定的贖金才能拿到對應的解密私鑰,才有可能將被加密的文件還原。因為是通過數字貨幣支付,故一般無法溯源,因此危害巨大。其傳播途徑一般為郵件傳播、漏洞傳播、介質傳播、捆綁傳播。
1.2 分類
勒索病毒種類繁多,常見的有四類,分別為文件加密類、數據竊取類、系統加密類、屏幕鎖定類。
(1)文件加密類
該類型病毒會通過多種加密算法(如RAS、AES等)對文件進行加密,只有向黑客支付過贖金才可以拿到密鑰。因此,一旦感染,文件很難恢復。
(2)數據竊取類
該類型病毒與文件加密病毒相似,都是將數據加密,并要求支付贖金,但在勒索過程中還會竊取重要數據,以公開數據的方式來威脅受害者交付贖金。
(3)系統加密類
該類型病毒會加密系統磁盤引導記錄、卷引導記錄,并同樣加密受害者數據,并要求受害者支付贖金。一旦感染,系統很難啟動。
(4)屏幕鎖定類
該類型病毒會對受害者的設備屏幕進行鎖定,通常以全屏形式呈現涵蓋勒索信息的圖像,使受害者無法登錄設備。
2 勒索病毒攻擊與應急演練環境設計
2.1 環境概述
由于鋼鐵行業生產網絡對可用性的要求十分嚴格,因此本研究不是直接在真實環境中進行演練,而是依托于工業網絡靶場,利用工業網絡靶場技術的仿真能力,真實復現鋼鐵行業工控網絡基礎環境和工藝生產場景,使演習做到“以假亂真”,讓其更有利于研究。
2.2 仿真工藝設計
鋼鐵行業的仿真工藝由燒結工藝仿真、煉鐵工藝仿真、煉鋼工藝仿真、軋鋼工藝仿真、倉庫管理仿真和物流運輸仿真構成。
各個仿真工藝的介紹如下:
(1)燒結工藝仿真
燒結工藝是指將各種粉狀含鐵原料配入適量的燃料和溶劑,并加入適量的水,經混合和造球后在燒結設備上使物料發生一系列物理化學變化,將礦粉顆粒粘結成塊的過程。
通過PLC的控制程序以及SCADA系統的監控程序對燒結系統進行控制,主要模擬二次混合造粒工藝及燒結機工藝,其中二混造粒可動態旋轉,燒結中的煤粉采用白色燈光的仿真效果進行模擬。
(2)煉鐵工藝仿真
煉鐵工藝主要模擬高爐及除塵等主要工藝。
通過PLC的控制程序以及操作員站的監控程序對煉鐵系統進行控制,通過實物模型模擬高爐本體、爐頂裝料設備、除塵、煙囪等動態效果。
(3)煉鋼工藝仿真
煉鋼工藝主要模擬轉爐、鋼包等主要工藝。
通過PLC的控制程序以及操作員站的監控程序對煉鋼系統和鋼包方向進行控制,轉爐內通過紅色燈光效果模擬轉爐生產工藝。
(4)軋鋼工藝仿真
軋鋼工藝對鋼坯進行沖壓模擬。
通過PLC的控制程序以及操作員站的監控程序對軋鋼系統和鋼坯流動方向進行控制,在轉燒結機中,使用白色燈光的仿真效果來模擬煤粉材料。
2.3 網絡拓撲設計(如圖1所示)
工控網絡層次模型從上到下共分為5個層級,依次為企業管理層、生產執行層、過程監控層、現場控制層和現場設備層。不同層級的實時性要求不同,因此工業網絡靶場當中也要根據這幾層來進行仿真。仿真根據鋼鐵行業的網絡拓撲、生產工藝、數據采集等業務進行高度模擬真實現場生產環境。另外,網絡邊界隔離分為兩部分,即公網和企業管理層由防火墻進行邏輯隔離,現場過程監控層和生產執行層通過實時數據庫或數采網關進行隔離。目前,多數企業現場信息側和生產側之間無安全設備,因此內網存在被攻擊的風險。工業網絡靶場仿真的拓撲各個區域設備組成如下:
公網區域:使用靶場環境仿真公網,攻擊者使用模擬公網IP。
安全設備區:由防火墻、蜜罐、監測等系統組成。
企業管理層:搭建財務、人事等系統。
生產執行層:搭建倉儲管理、計劃排產等系統。
過程監控層:搭建鋼鐵行業燒結工藝仿真、煉鐵工藝仿真、煉鋼工藝仿真、軋鋼工藝仿真、工程師站或操作員站。
現場控制層:搭建仿真控制器對燒結工藝仿真、煉鐵工藝仿真、煉鋼工藝仿真和軋鋼工藝仿真的控制程序。控制層數據可傳送至過程監控層操作員站或工程師站。
圖1 鋼鐵工藝仿真場景及網絡拓撲
3 勒索病毒攻擊
3.1 攻擊路徑設計
本次勒索病毒攻擊模擬的環境位于工業網絡靶場中,企業內部人員將存在web漏洞的人事辦公系統映射于外網并提供遠程辦公服務。由于企業每天會面臨數量巨大的來自外網的攻擊,會使得位于外網的攻擊者探測到人事辦公系統的任意文件上傳漏洞,進而在上傳webshell拿到主機權限后進行勒索病毒加密文件操作。
勒索病毒感染路線如圖2所示(紅色代表攻擊路線)。
圖2 勒索病毒感染路線圖
3.2 攻擊過程分析
根據勒索病毒攻擊路徑設計,攻擊分為四步,即探測目標資產、獲取資產歷史漏洞信息、獲取webshell、上傳并執行病毒程序。
首先確認目標資產的公網IP(當然,一切都是虛擬的,因為一切工作在靶場中進行,下同),經端口掃描工具掃描端口發現存在http等服務,訪問其8080端口發現資產為某鋼鐵企業人事辦公oa系統。在確認資產版本等漏洞相關信息獲取版本信息后,該版本某鋼鐵企業人事辦公oa系統存在歷史漏洞。通過手工驗證發現存在某文件過濾不足且無后臺權限,導致任意文件上傳漏洞。
上述信息收集工作完成后,開始進入攻擊環節,編寫名稱為漏洞利用腳本,驗證是否存在webshell上傳路徑,以實現一鍵上傳webshell,上傳路徑為資產公網IP的8080端口。驗證成功后,上傳webshell并使用webshell連接工具冰蝎,使主機上線。然后進入系統,執行whoami、ipconfig等命令,看是否拿到了主機的控制權限。
在獲取webshell后,最后一步,就是將勒索病毒上傳至目標主機并運行。主機在受到勒索病毒感染后顯示一些重要文件被加密,需要支付贖金才能解密。
圖3 主機系統感染勒索病毒并彈出勒索信件
4 勒索病毒應急響應
4.1 應急響應路徑設計
在遭受到攻擊后,受害者單位應立即進行應急響應步驟,通過辦公人員發現主機勒索病毒彈框通知信息安全人員,信息安全人員對被勒索主機實行網絡隔離、病毒分析、阻止擴散、殺毒、解密、加固等應急響應措施,最大程度地快速恢復正常業務,減少財產損失。
勒索病毒感染和應急響應路徑如圖4所示,紅色代表攻擊路線,藍色代表應急路線。
圖4 勒索病毒感染和應急響應路徑圖
4.2 應急響應分析
根據應急響應路徑設計,應急響應分析主要分為以下幾個部分:主機日志排查、禁用網卡、病毒分析、排查內網主機、安全設備排查、病毒查殺、文件恢復。
首先進行的工作是主機日志排查。系統感染勒索病毒后,系統界面會彈出勒索信件,此時系統內的文件已經被病毒加密無法正常訪問,要求受害者支付贖金才能解密文件并恢復訪問權限。為判斷此次攻擊事件始末以及后續處置的分析溯源,通過對主機端口連接情況進行分析和溯源,可以獲得更多關于攻擊事件的信息,并為進一步的調查和處置提供指導。其次,為了降低勒索病毒事件造成的損失并限制病毒的進一步傳播,需要禁用受攻擊主機的網卡以實現斷網處理。這將阻止病毒繼續擴散至內網中的其他主機,并防止事件對公司業務的正常運行產生更大的影響。此外,斷網處理還有助于阻斷攻擊者與受感染主機之間的連接。
因為病毒具有擴張性,在切斷一臺電腦的連接后,需要逐一排查內網內其他主機的運行狀態,判斷是否被病毒擴散傳染。由于此次應急響應迅速,病毒并未繼續擴散,內網其他主機仍處于安全狀態。
在切斷連接防止病毒進一步擴散后,內網別的主機也沒有被感染,危險得以暫時解除,接下來就開始對病毒進行分析,根據勒索病毒加密文件的后綴和勒索信件的內容進行判斷,經過謹慎縝密地分析,確認該勒索病毒屬于WannaCry家族勒索病毒。該病毒通過網絡傳播和感染計算機,然后加密受害者的文件,并要求支付贖金以獲取解密密鑰。
圖5 勒索病毒分析
然后再使用安全設備等手段對攻擊進行溯源,安全設備在系統受到攻擊時會收集流量特征及源IP地址等信息,可以對溯源起到輔助的作用。查看安全設備日志對此次攻擊事件進行溯源分析,通過燈塔安全威脅誘捕審計系統捕獲到攻擊者畫像,系統分析此次攻擊疑似境外黑客所為。再通過對主機系統日志事件和安全設備日志事件進行對比,可以排查到攻擊者。捕獲到該攻擊IP曾嘗試通過3389端口遠程連接公網地址,因此該IP最有可能為此次攻擊事件的攻擊者。
圖6 安全設備排查攻擊者
在切斷網絡連接、對攻擊進行溯源后,接下來就是進行“善后工作”。首先要恢復系統到正常狀態,在系統中導入安全殺毒軟件的離線包,并對感染主機進行殺毒,通過對系統磁盤進行掃描檢測發現主機中病毒并將其查殺。
最后是文件恢復,雖然通過殺毒軟件查殺了系統中的勒索病毒程序,但并沒有恢復被病毒所加密的文件,因此需要導入文件恢復工具離線包來嘗試恢復這些文件。但文件恢復工具的成功率不會是百分之百,因為存在多個因素,包括病毒的加密強度、加密算法的復雜性以及文件本身的完整性,因此并不能完全依賴文件恢復工具恢復所有損失。通過對比可以發現,只有部分被加密的文件能夠成功恢復,受害主機中仍有大量文件未得到恢復。
圖7 利用文件恢復工具恢復文件
5 總結與展望
本文主要以Windows被勒索病毒攻擊作為研究對象,依托工業網絡靶場對勒索病毒的攻擊與被攻擊后的應急響應做了分析。本文的主要工作內容如下:
設計實驗環境,搭建鋼鐵行業生產網、信息網與安全設備區相結合的網絡拓撲:在信息網搭建了人事、財務等企業常用系統,在生產網中對鋼鐵行業的燒結、煉鐵、煉鋼、軋鋼四個工藝進行了仿真,在安全設備區部署了蜜罐等安全設備,最大限度地還原了鋼鐵行業企業的真實生產環境。攻擊與應急演練主打一個“真實”,真實度越高,演練效果越好。
雖然最大限度地對整個攻擊與防御的過程進行了還原,但是依然存在若干問題。例如,文件恢復只能有限度地恢復被損壞的文件,沒有辦法恢復全部的文件,因此,平時定期備份文件的習慣就顯得尤為重要。殺毒軟件的設計角度主要從安全性來考慮,可能會對一些正常業務造成影響,因此被許多人稱之為“流氓軟件”,選擇長期關閉或者直接卸載,這將人為造成網絡安全隱患。
本文只對一種勒索病毒做了攻擊與應急演練的研究,勒索病毒是一個大家族,隨著防御技術的不斷更新迭代病毒也在不斷地變異。因此,在今后的研究中可以進行進一步的探討。
作者簡介:
王 熹(1983-),女,黑龍江哈爾濱人,高級信息系統項目管理師,碩士,現就職于北京首鋼股份有限公司,研究方向為信息安全、智能制造、企業數字化轉型。
參考文獻:
[1] 崔瑩瑩, 原真, 劉健帥. 工業領域勒索攻擊事件態勢分析及應對方法探討[J]. 工業信息安全, 2022 (10) : 63 - 68.
[2] 薛丹丹, 王媛媛, 卲一瀟, 等. 勒索病毒的原理及防御措施[J]. 網絡安全技術與應用, 2023 (02) : 10 - 12.
[3] 國家工信安全發展研究中心. 2022年工業信息安全態勢報告[EB/OL]. 2023-2-14. http://www.cics-cert.org.cn/.
[4] 中國信息通信研究院. 勒索病毒安全防護手冊[EB/OL]. 2021-9. http://www.caict.ac.cn/.
摘自《自動化博覽》2023年10月刊
北京市公安局海淀分局備案號:11010802023656號