汽車製造行業勒索病毒應急處理和安全解決方案檢視原始碼討論檢視歷史

來自 搜狐網 的圖片

汽車製造行業勒索病毒應急處理和安全解決方案由於工業控制系統（以下簡稱工控系統）上位機操作系統老舊且長期未升級，存在很多的安全漏洞，病毒問題一直是威脅工控系統主機安全的一個棘手問題，從震網病毒到 2017 年末的工業破壞者，這些如幽靈般遊蕩在工控系統網絡中的殺手總是伺機而動，一旦得手就會帶來巨大的危害。

國內某知名新能源汽車^[1]製造企業遭受病毒侵襲，生產製造產線幾台上位機莫名出現頻繁藍屏死機現象，並迅速蔓延至整個生產園區內大部分上位機，產線被迫停止生產。該企業日產值超百萬，停產直接損失嚴重，雖然信息安全部門採取了若干緊急處理措施，但收效甚微。為了儘快解決問題恢復生產，該企業緊急向360 安全監測與響應中心進行了求助。

典型安全問題

工業現場的上位機大多老舊，服役 10 年以上仍在運行的主機也很常見，而工業現場的相對封閉性，使得補丁升級、病毒處理變成一件很複雜的事情。工業生產的穩定性往往會面臨上位機脆弱性的挑戰，一旦感染病毒就會造成巨大影響。

該企業生產網絡與辦公網絡連通，未部署採取安全防護措施；生產製造產線上位機運行異常，重複重啟或藍屏，初步斷定為病毒入侵。

由於上位機操作系統都是老舊的 Windows XP，感染病毒之後頻繁藍屏重啟，無法在問題終端採樣進行病毒分析。在生產網絡核心交換機位置旁路部署 360 工業安全檢查評估系統對生產網絡數據流量進行檢測，該設備基於 360 行業領先的安全大數據^[2]能力生成多維度海量惡意威脅情報數據庫，對工業控制網絡進行自動化數據採集與關聯分析，識別網絡中存在的各種安全威脅。藉助工業安全檢查評估系統的強大檢測分析能力，安服人員很快判定該企業上位機感染了「永恆之藍」蠕蟲病毒（也稱為 WannaCry）。

安全解決方案

1) 應急處置

安服人員發現上位機感染 WannaCry 病毒之後，為了避免上位機中數據被加密帶來進一步的危害，緊急在生產網絡中部署一台偽裝病毒服務器，域名設定為病毒網站，並通過策略設置將生產網上位機 DNS 指向此偽裝服務器，阻止了WannaCry 病毒的後續影響。

該企業生產園區占地範圍很大，感染病毒的上位機幾乎遍布整個園區，單純依靠人力難以逐一定位問題終端。360 工業安全檢查評估工具箱在此過程中發揮了巨大作用，不僅給出了感染病毒的準確研判，而且詳細統計出所有問題終端的IP 地址和 MAC 地址，結合企業提供的資產清單，安服人員和廠方技術人員很快確定了絕大部分問題終端的具體位置。

2) 感染處理

完成定位之後，360 安服人員即刻趕往最近的問題終端，第一時間關閉了 445端口，避免病毒進一步擴散。經過與廠方生產技術工程師細緻溝通，得知以下信息：

上位機硬件配置資源有限，無法安裝殺毒軟件；

專用的生產軟件對操作系統版本有嚴格限制，無法對操作系統進行打補丁操作；

重裝系統會導致專用軟件授權失效，帶來經濟損失。

結合上述信息，安服人員只能對問題終端採取殺毒處理。為了避免殺毒過程中對上位機系統和數據造成影響，安服人員首先備份了問題終端系統及數據，然後用 360 推出的 WannaCry 病毒專殺工具進行殺毒處理，清除感染的病毒。

3) 安全加固

為了避免處理完成的上位機再次感染病毒，安服人員在上位機上部署安裝了360 工業主機防護軟件，該軟件基於輕量級「應用程序白名單」技術，能夠智能學習並自動生成工業主機操作系統及專用工業軟件正常行為模式的「白名單」防護基線，放行正常的操作系統進程及專用工業軟件，主動阻斷未知程序、木馬病毒、惡意軟件、攻擊腳本等運行，為工業主機創建乾淨安全的運行環境。

參考文獻