干货丨首钢:钢铁行业勒索病毒仿真及应急演练研究

admin 2023年11月28日14:00:45评论51 views字数 5264阅读17分32秒阅读模式

★ 北京首钢股份有限公司 王熹

摘要:近年来,工业控制系统的网络化、智能化的发展,在帮助工业企业提高生产效率和管理效率的同时,也使得工业企业的生产控制系统面临越来越多的安全威胁和挑战,其中便包含勒索病毒这一极具破坏性的攻击。而钢铁行业作为一个重要的基础行业,也越来越受到黑客们的“青睐”,如果遭到勒索病毒攻击,可能会面临生产中断、数据丢失、财务损失等严重后果。因此,为了有效应对这种潜在威胁,钢铁行业必须要对这种攻击进行研究和演练,以制定应急响应计划,确保在发生勒索病毒攻击时能够快速、有效地采取行动。


2017年,“WannaCry”勒索病毒横空出世,席卷全球,此后六年勒索病毒犹如洪水泛滥般一发不可收拾。据相关的报告,我国某系统截获勒索病毒样本的数量接近百万,受到勒索病毒感染最为严重的几个行业包括工业企业、高校、医疗系统和政府机关等网站,其生产经营及教学工作的正常进行被严重影响。而钢铁行业作为关乎国家安全的关键基础行业,其面临的威胁也是越发严峻复杂。例如,2020年,全球最大跨国钢铁制造和矿业公司之一的EVRAZ北美分公司遭到了Ryuk勒索病毒攻击,该事件造成该厂北美地区的钢铁生产工厂瘫痪。因此,钢铁行业对勒索病毒的防护刻不容缓。针对勒索病毒的攻击途径和特点,本文以钢铁行业为主体,依托工业网络靶场,研究了勒索病毒的感染路径与遭受勒索病毒后进行应急响应的过程。




  1 勒索病毒介绍  


1.1 概述


勒索病毒是一种极具破坏性与传播性的恶意软件,也是伴随数字货币兴起的一种新型病毒木马,它通常利用非对称和对称加密算法组合的形式来加密文件。绝大多数勒索软件无法通过技术手段解密,必须向黑客支付一定的赎金才能拿到对应的解密私钥,才有可能将被加密的文件还原。因为是通过数字货币支付,故一般无法溯源,因此危害巨大。其传播途径一般为邮件传播、漏洞传播、介质传播、捆绑传播。


1.2 分类


勒索病毒种类繁多,常见的有四类,分别为文件加密类、数据窃取类、系统加密类、屏幕锁定类。



(1)文件加密类

该类型病毒会通过多种加密算法(如RAS、AES等)对文件进行加密,只有向黑客支付过赎金才可以拿到密钥。因此,一旦感染,文件很难恢复。


(2)数据窃取类

该类型病毒与文件加密病毒相似,都是将数据加密,并要求支付赎金,但在勒索过程中还会窃取重要数据,以公开数据的方式来威胁受害者交付赎金。


(3)系统加密类

该类型病毒会加密系统磁盘引导记录、卷引导记录,并同样加密受害者数据,并要求受害者支付赎金。一旦感染,系统很难启动。


(4)屏幕锁定类

该类型病毒会对受害者的设备屏幕进行锁定,通常以全屏形式呈现涵盖勒索信息的图像,使受害者无法登录设备。




2 勒索病毒攻击与应急演练环境设计


2.1 环境概述


由于钢铁行业生产网络对可用性的要求十分严格,因此本研究不是直接在真实环境中进行演练,而是依托于工业网络靶场,利用工业网络靶场技术的仿真能力,真实复现钢铁行业工控网络基础环境和工艺生产场景,使演习做到“以假乱真”,让其更有利于研究。


2.2 仿真工艺设计


钢铁行业的仿真工艺由烧结工艺仿真、炼铁工艺仿真、炼钢工艺仿真、轧钢工艺仿真、仓库管理仿真和物流运输仿真构成。


各个仿真工艺的介绍如下:



(1)烧结工艺仿真

烧结工艺是指将各种粉状含铁原料配入适量的燃料和溶剂,并加入适量的水,经混合和造球后在烧结设备上使物料发生一系列物理化学变化,将矿粉颗粒粘结成块的过程。


通过PLC的控制程序以及SCADA系统的监控程序对烧结系统进行控制,主要模拟二次混合造粒工艺及烧结机工艺,其中二混造粒可动态旋转,烧结中的煤粉采用白色灯光的仿真效果进行模拟。


(2)炼铁工艺仿真

炼铁工艺主要模拟高炉及除尘等主要工艺。


通过PLC的控制程序以及操作员站的监控程序对炼铁系统进行控制,通过实物模型模拟高炉本体、炉顶装料设备、除尘、烟囱等动态效果。


(3)炼钢工艺仿真

炼钢工艺主要模拟转炉、钢包等主要工艺。


通过PLC的控制程序以及操作员站的监控程序对炼钢系统和钢包方向进行控制,转炉内通过红色灯光效果模拟转炉生产工艺。


(4)轧钢工艺仿真

轧钢工艺对钢坯进行冲压模拟。


通过PLC的控制程序以及操作员站的监控程序对轧钢系统和钢坯流动方向进行控制,在转烧结机中,使用白色灯光的仿真效果来模拟煤粉材料。


2.3 网络拓扑设计(如图1所示)


工控网络层次模型从上到下共分为5个层级,依次为企业管理层、生产执行层、过程监控层、现场控制层和现场设备层。不同层级的实时性要求不同,因此工业网络靶场当中也要根据这几层来进行仿真。仿真根据钢铁行业的网络拓扑、生产工艺、数据采集等业务进行高度模拟真实现场生产环境。另外,网络边界隔离分为两部分,即公网和企业管理层由防火墙进行逻辑隔离,现场过程监控层和生产执行层通过实时数据库或数采网关进行隔离。目前,多数企业现场信息侧和生产侧之间无安全设备,因此内网存在被攻击的风险。工业网络靶场仿真的拓扑各个区域设备组成如下:


  • 公网区域:使用靶场环境仿真公网,攻击者使用模拟公网IP。

  • 安全设备区:由防火墙、蜜罐、监测等系统组成。

  • 企业管理层:搭建财务、人事等系统。生产执行层:搭建仓储管理、计划排产等系统。 

  • 过程监控层:搭建钢铁行业烧结工艺仿真、炼铁工艺仿真、炼钢工艺仿真、轧钢工艺仿真、工程师站或操作员站。

  • 现场控制层:搭建仿真控制器对烧结工艺仿真、炼铁工艺仿真、炼钢工艺仿真和轧钢工艺仿真的控制程序。控制层数据可传送至过程监控层操作员站或工程师站。


干货丨首钢:钢铁行业勒索病毒仿真及应急演练研究

图1 钢铁工艺仿真场景及网络拓扑




  3 勒索病毒攻击  


3.1 攻击路径设计


本次勒索病毒攻击模拟的环境位于工业网络靶场中,企业内部人员将存在web漏洞的人事办公系统映射于外网并提供远程办公服务。由于企业每天会面临数量巨大的来自外网的攻击,会使得位于外网的攻击者探测到人事办公系统的任意文件上传漏洞,进而在上传web shell拿到主机权限后进行勒索病毒加密文件操作。


勒索病毒感染路线如图2所示(红色代表攻击路线)。


干货丨首钢:钢铁行业勒索病毒仿真及应急演练研究

图2 勒索病毒感染路线图


3.2 攻击过程分析


根据勒索病毒攻击路径设计,攻击分为四步,即探测目标资产、获取资产历史漏洞信息、获取web shell、上传并执行病毒程序。


首先确认目标资产的公网IP(当然,一切都是虚拟的,因为一切工作在靶场中进行,下同),经端口扫描工具扫描端口发现存在http等服务,访问其8080端口发现资产为某钢铁企业人事办公oa系统。在确认资产版本等漏洞相关信息获取版本信息后,该版本某钢铁企业人事办公oa系统存在历史漏洞。通过手工验证发现存在某文件过滤不足且无后台权限,导致任意文件上传漏洞。


上述信息收集工作完成后,开始进入攻击环节,编写名称为漏洞利用脚本,验证是否存在webshell上传路径,以实现一键上传webshell,上传路径为资产公网IP的8080端口。验证成功后,上传webshell并使用webshell连接工具冰蝎,使主机上线。然后进入系统,执行whoami、ipconfig等命令,看是否拿到了主机的控制权限。


在获取webshell后,最后一步,就是将勒索病毒上传至目标主机并运行。主机在受到勒索病毒感染后显示一些重要文件被加密,需要支付赎金才能解密。


干货丨首钢:钢铁行业勒索病毒仿真及应急演练研究

图3 主机系统感染勒索病毒并弹出勒索信件




  4 勒索病毒应急响应  


4.1 应急响应路径设计


在遭受到攻击后,受害者单位应立即进行应急响应步骤,通过办公人员发现主机勒索病毒弹框通知信息安全人员,信息安全人员对被勒索主机实行网络隔离、病毒分析、阻止扩散、杀毒、解密、加固等应急响应措施,最大程度地快速恢复正常业务,减少财产损失。


勒索病毒感染和应急响应路径如图4所示,红色代表攻击路线,蓝色代表应急路线。


干货丨首钢:钢铁行业勒索病毒仿真及应急演练研究

图4 勒索病毒感染和应急响应路径图


4.2 应急响应分析


根据应急响应路径设计,应急响应分析主要分为以下几个部分:主机日志排查、禁用网卡、病毒分析、排查内网主机、安全设备排查、病毒查杀、文件恢复。


首先进行的工作是主机日志排查。系统感染勒索病毒后,系统界面会弹出勒索信件,此时系统内的文件已经被病毒加密无法正常访问,要求受害者支付赎金才能解密文件并恢复访问权限。为判断此次攻击事件始末以及后续处置的分析溯源,通过对主机端口连接情况进行分析和溯源,可以获得更多关于攻击事件的信息,并为进一步的调查和处置提供指导。其次,为了降低勒索病毒事件造成的损失并限制病毒的进一步传播,需要禁用受攻击主机的网卡以实现断网处理。这将阻止病毒继续扩散至内网中的其他主机,并防止事件对公司业务的正常运行产生更大的影响。此外,断网处理还有助于阻断攻击者与受感染主机之间的连接。


因为病毒具有扩张性,在切断一台电脑的连接后,需要逐一排查内网内其他主机的运行状态,判断是否被病毒扩散传染。由于此次应急响应迅速,病毒并未继续扩散,内网其他主机仍处于安全状态。


在切断连接防止病毒进一步扩散后,内网别的主机也没有被感染,危险得以暂时解除,接下来就开始对病毒进行分析,根据勒索病毒加密文件的后缀和勒索信件的内容进行判断,经过谨慎缜密地分析,确认该勒索病毒属于WannaCry家族勒索病毒。该病毒通过网络传播和感染计算机,然后加密受害者的文件,并要求支付赎金以获取解密密钥。


干货丨首钢:钢铁行业勒索病毒仿真及应急演练研究

图5 勒索病毒分析


然后再使用安全设备等手段对攻击进行溯源,安全设备在系统受到攻击时会收集流量特征及源IP地址等信息,可以对溯源起到辅助的作用。查看安全设备日志对此次攻击事件进行溯源分析,通过灯塔安全威胁诱捕审计系统捕获到攻击者画像,系统分析此次攻击疑似境外黑客所为。再通过对主机系统日志事件和安全设备日志事件进行对比,可以排查到攻击者。捕获到该攻击IP曾尝试通过3389端口远程连接公网地址,因此该IP最有可能为此次攻击事件的攻击者。


干货丨首钢:钢铁行业勒索病毒仿真及应急演练研究

图6 安全设备排查攻击者


在切断网络连接、对攻击进行溯源后,接下来就是进行“善后工作”。首先要恢复系统到正常状态,在系统中导入安全杀毒软件的离线包,并对感染主机进行杀毒,通过对系统磁盘进行扫描检测发现主机中病毒并将其查杀。


最后是文件恢复,虽然通过杀毒软件查杀了系统中的勒索病毒程序,但并没有恢复被病毒所加密的文件,因此需要导入文件恢复工具离线包来尝试恢复这些文件。但文件恢复工具的成功率不会是百分之百,因为存在多个因素,包括病毒的加密强度、加密算法的复杂性以及文件本身的完整性,因此并不能完全依赖文件恢复工具恢复所有损失。通过对比可以发现,只有部分被加密的文件能够成功恢复,受害主机中仍有大量文件未得到恢复。


干货丨首钢:钢铁行业勒索病毒仿真及应急演练研究

图7 利用文件恢复工具恢复文件




  5 总结与展望  


本文主要以Windows被勒索病毒攻击作为研究对象,依托工业网络靶场对勒索病毒的攻击与被攻击后的应急响应做了分析。本文的主要工作内容如下:


设计实验环境,搭建钢铁行业生产网、信息网与安全设备区相结合的网络拓扑:在信息网搭建了人事、财务等企业常用系统,在生产网中对钢铁行业的烧结、炼铁、炼钢、轧钢四个工艺进行了仿真,在安全设备区部署了蜜罐等安全设备,最大限度地还原了钢铁行业企业的真实生产环境。攻击与应急演练主打一个“真实”,真实度越高,演练效果越好。


虽然最大限度地对整个攻击与防御的过程进行了还原,但是依然存在若干问题。例如,文件恢复只能有限度地恢复被损坏的文件,没有办法恢复全部的文件,因此,平时定期备份文件的习惯就显得尤为重要。杀毒软件的设计角度主要从安全性来考虑,可能会对一些正常业务造成影响,因此被许多人称之为“流氓软件”,选择长期关闭或者直接卸载,这将人为造成网络安全隐患。


本文只对一种勒索病毒做了攻击与应急演练的研究,勒索病毒是一个大家族,随着防御技术的不断更新迭代病毒也在不断地变异。因此,在今后的研究中可以进行进一步的探讨。


参考文献略。


作者简介:

王 熹(1983-),女,黑龙江哈尔滨人,高级信息系统项目管理师,硕士,现就职于北京首钢股份有限公司,研究方向为信息安全、智能制造、企业数字化转型。

 end 


来源 | 控制网

责任编辑 | 赫敏


声明:本文由工业安全产业联盟微信公众平台(微信号:ICSISIA)转发,如有版权问题,请联系删除。


干货丨首钢:钢铁行业勒索病毒仿真及应急演练研究

如需合作或咨询,请联系工业安全产业联盟小秘书微信号:ICSISIA20140417


往期荐读


荐读 | 工业嵌入式控制系统可信计算技术应用研究
重磅 | 《自动化博览》2023年第一期暨《工业控制系统信息安全专刊(第九辑)》上线
解决方案 | 长输供热工程工控安全防护解决方案
关注 | 两会话安全:网络安全提案速览
荐读 | 工业互联网渗透测试技术研究
解决方案 | 精细化工产业互联网安全体系建设方案
荐读 | 智能制造装备安全方案
观点 | CCF计算机安全专委会发布2023年网络安全十大发展趋势
荐读 | 智能制造背景下我国工业网络安全的新挑战
报告 | 《中国网络安全产业研究报告》发布:多方利好驱动网络安全产业高质量发展
荐读 | 基于改进预处理PCA算法的代码混淆分析


干货丨首钢:钢铁行业勒索病毒仿真及应急演练研究
干货丨首钢:钢铁行业勒索病毒仿真及应急演练研究
干货丨首钢:钢铁行业勒索病毒仿真及应急演练研究
干货丨首钢:钢铁行业勒索病毒仿真及应急演练研究

原文始发于微信公众号(工业安全产业联盟):干货丨首钢:钢铁行业勒索病毒仿真及应急演练研究

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年11月28日14:00:45
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   干货丨首钢:钢铁行业勒索病毒仿真及应急演练研究https://cn-sec.com/archives/2244924.html

发表评论

匿名网友 填写信息