干货丨首钢：钢铁行业勒索病毒仿真及应急演练研究

2017年，“WannaCry”勒索病毒横空出世，席卷全球，此后六年勒索病毒犹如洪水泛滥般一发不可收拾。据相关的报告，我国某系统截获勒索病毒样本的数量接近百万，受到勒索病毒感染最为严重的几个行业包括工业企业、高校、医疗系统和政府机关等网站，其生产经营及教学工作的正常进行被严重影响。而钢铁行业作为关乎国家安全的关键基础行业，其面临的威胁也是越发严峻复杂。例如，2020年，全球最大跨国钢铁制造和矿业公司之一的EVRAZ北美分公司遭到了Ryuk勒索病毒攻击，该事件造成该厂北美地区的钢铁生产工厂瘫痪。因此，钢铁行业对勒索病毒的防护刻不容缓。针对勒索病毒的攻击途径和特点，本文以钢铁行业为主体，依托工业网络靶场，研究了勒索病毒的感染路径与遭受勒索病毒后进行应急响应的过程。

勒索病毒是一种极具破坏性与传播性的恶意软件，也是伴随数字货币兴起的一种新型病毒木马，它通常利用非对称和对称加密算法组合的形式来加密文件。绝大多数勒索软件无法通过技术手段解密，必须向黑客支付一定的赎金才能拿到对应的解密私钥，才有可能将被加密的文件还原。因为是通过数字货币支付，故一般无法溯源，因此危害巨大。其传播途径一般为邮件传播、漏洞传播、介质传播、捆绑传播。

勒索病毒种类繁多，常见的有四类，分别为文件加密类、数据窃取类、系统加密类、屏幕锁定类。

由于钢铁行业生产网络对可用性的要求十分严格，因此本研究不是直接在真实环境中进行演练，而是依托于工业网络靶场，利用工业网络靶场技术的仿真能力，真实复现钢铁行业工控网络基础环境和工艺生产场景，使演习做到“以假乱真”，让其更有利于研究。

钢铁行业的仿真工艺由烧结工艺仿真、炼铁工艺仿真、炼钢工艺仿真、轧钢工艺仿真、仓库管理仿真和物流运输仿真构成。

各个仿真工艺的介绍如下：

工控网络层次模型从上到下共分为5个层级，依次为企业管理层、生产执行层、过程监控层、现场控制层和现场设备层。不同层级的实时性要求不同，因此工业网络靶场当中也要根据这几层来进行仿真。仿真根据钢铁行业的网络拓扑、生产工艺、数据采集等业务进行高度模拟真实现场生产环境。另外，网络边界隔离分为两部分，即公网和企业管理层由防火墙进行逻辑隔离，现场过程监控层和生产执行层通过实时数据库或数采网关进行隔离。目前，多数企业现场信息侧和生产侧之间无安全设备，因此内网存在被攻击的风险。工业网络靶场仿真的拓扑各个区域设备组成如下：

图1 钢铁工艺仿真场景及网络拓扑

本次勒索病毒攻击模拟的环境位于工业网络靶场中，企业内部人员将存在web漏洞的人事办公系统映射于外网并提供远程办公服务。由于企业每天会面临数量巨大的来自外网的攻击，会使得位于外网的攻击者探测到人事办公系统的任意文件上传漏洞，进而在上传web shell拿到主机权限后进行勒索病毒加密文件操作。

勒索病毒感染路线如图2所示（红色代表攻击路线）。

图2 勒索病毒感染路线图

根据勒索病毒攻击路径设计，攻击分为四步，即探测目标资产、获取资产历史漏洞信息、获取web shell、上传并执行病毒程序。

首先确认目标资产的公网IP（当然，一切都是虚拟的，因为一切工作在靶场中进行，下同），经端口扫描工具扫描端口发现存在http等服务，访问其8080端口发现资产为某钢铁企业人事办公oa系统。在确认资产版本等漏洞相关信息获取版本信息后，该版本某钢铁企业人事办公oa系统存在历史漏洞。通过手工验证发现存在某文件过滤不足且无后台权限，导致任意文件上传漏洞。

上述信息收集工作完成后，开始进入攻击环节，编写名称为漏洞利用脚本，验证是否存在webshell上传路径，以实现一键上传webshell，上传路径为资产公网IP的8080端口。验证成功后，上传webshell并使用webshell连接工具冰蝎，使主机上线。然后进入系统，执行whoami、ipconfig等命令，看是否拿到了主机的控制权限。

在获取webshell后，最后一步，就是将勒索病毒上传至目标主机并运行。主机在受到勒索病毒感染后显示一些重要文件被加密，需要支付赎金才能解密。

图3 主机系统感染勒索病毒并弹出勒索信件

在遭受到攻击后，受害者单位应立即进行应急响应步骤，通过办公人员发现主机勒索病毒弹框通知信息安全人员，信息安全人员对被勒索主机实行网络隔离、病毒分析、阻止扩散、杀毒、解密、加固等应急响应措施，最大程度地快速恢复正常业务，减少财产损失。

勒索病毒感染和应急响应路径如图4所示，红色代表攻击路线，蓝色代表应急路线。

图4 勒索病毒感染和应急响应路径图

根据应急响应路径设计，应急响应分析主要分为以下几个部分：主机日志排查、禁用网卡、病毒分析、排查内网主机、安全设备排查、病毒查杀、文件恢复。

首先进行的工作是主机日志排查。系统感染勒索病毒后，系统界面会弹出勒索信件，此时系统内的文件已经被病毒加密无法正常访问，要求受害者支付赎金才能解密文件并恢复访问权限。为判断此次攻击事件始末以及后续处置的分析溯源，通过对主机端口连接情况进行分析和溯源，可以获得更多关于攻击事件的信息，并为进一步的调查和处置提供指导。其次，为了降低勒索病毒事件造成的损失并限制病毒的进一步传播，需要禁用受攻击主机的网卡以实现断网处理。这将阻止病毒继续扩散至内网中的其他主机，并防止事件对公司业务的正常运行产生更大的影响。此外，断网处理还有助于阻断攻击者与受感染主机之间的连接。

因为病毒具有扩张性，在切断一台电脑的连接后，需要逐一排查内网内其他主机的运行状态，判断是否被病毒扩散传染。由于此次应急响应迅速，病毒并未继续扩散，内网其他主机仍处于安全状态。

在切断连接防止病毒进一步扩散后，内网别的主机也没有被感染，危险得以暂时解除，接下来就开始对病毒进行分析，根据勒索病毒加密文件的后缀和勒索信件的内容进行判断，经过谨慎缜密地分析，确认该勒索病毒属于WannaCry家族勒索病毒。该病毒通过网络传播和感染计算机，然后加密受害者的文件，并要求支付赎金以获取解密密钥。

图5 勒索病毒分析

然后再使用安全设备等手段对攻击进行溯源，安全设备在系统受到攻击时会收集流量特征及源IP地址等信息，可以对溯源起到辅助的作用。查看安全设备日志对此次攻击事件进行溯源分析，通过灯塔安全威胁诱捕审计系统捕获到攻击者画像，系统分析此次攻击疑似境外黑客所为。再通过对主机系统日志事件和安全设备日志事件进行对比，可以排查到攻击者。捕获到该攻击IP曾尝试通过3389端口远程连接公网地址，因此该IP最有可能为此次攻击事件的攻击者。

图6 安全设备排查攻击者

在切断网络连接、对攻击进行溯源后，接下来就是进行“善后工作”。首先要恢复系统到正常状态，在系统中导入安全杀毒软件的离线包，并对感染主机进行杀毒，通过对系统磁盘进行扫描检测发现主机中病毒并将其查杀。

最后是文件恢复，虽然通过杀毒软件查杀了系统中的勒索病毒程序，但并没有恢复被病毒所加密的文件，因此需要导入文件恢复工具离线包来尝试恢复这些文件。但文件恢复工具的成功率不会是百分之百，因为存在多个因素，包括病毒的加密强度、加密算法的复杂性以及文件本身的完整性，因此并不能完全依赖文件恢复工具恢复所有损失。通过对比可以发现，只有部分被加密的文件能够成功恢复，受害主机中仍有大量文件未得到恢复。

图7 利用文件恢复工具恢复文件

本文主要以Windows被勒索病毒攻击作为研究对象，依托工业网络靶场对勒索病毒的攻击与被攻击后的应急响应做了分析。本文的主要工作内容如下：

设计实验环境，搭建钢铁行业生产网、信息网与安全设备区相结合的网络拓扑：在信息网搭建了人事、财务等企业常用系统，在生产网中对钢铁行业的烧结、炼铁、炼钢、轧钢四个工艺进行了仿真，在安全设备区部署了蜜罐等安全设备，最大限度地还原了钢铁行业企业的真实生产环境。攻击与应急演练主打一个“真实”，真实度越高，演练效果越好。

虽然最大限度地对整个攻击与防御的过程进行了还原，但是依然存在若干问题。例如，文件恢复只能有限度地恢复被损坏的文件，没有办法恢复全部的文件，因此，平时定期备份文件的习惯就显得尤为重要。杀毒软件的设计角度主要从安全性来考虑，可能会对一些正常业务造成影响，因此被许多人称之为“流氓软件”，选择长期关闭或者直接卸载，这将人为造成网络安全隐患。

本文只对一种勒索病毒做了攻击与应急演练的研究，勒索病毒是一个大家族，随着防御技术的不断更新迭代病毒也在不断地变异。因此，在今后的研究中可以进行进一步的探讨。

参考文献略。

 end 

如需合作或咨询，请联系工业安全产业联盟小秘书微信号：ICSISIA20140417

往期荐读