案例背景

作為“中國(guó)石化行業(yè)質(zhì)量標(biāo)桿企業(yè)”，陜西某化工廠有力推動(dòng)了國(guó)民經(jīng)濟(jì)建設(shè)、石油石化工業(yè)發(fā)展和地區(qū)經(jīng)濟(jì)社會(huì)進(jìn)步，實(shí)現(xiàn)了產(chǎn)業(yè)高端化、多元化、低碳化。近日，制氫車(chē)間工業(yè)生產(chǎn)網(wǎng)絡(luò)大量工控上位機(jī)出現(xiàn)了藍(lán)屏、不斷重啟現(xiàn)象。本次項(xiàng)目案例介紹旨在向大家講述博智安全如何在接到應(yīng)急防護(hù)服務(wù)請(qǐng)求后，第一時(shí)間協(xié)助客戶進(jìn)行有效的應(yīng)急處理，最大程度上減少事件造成的損失和消極影響。

案例分析

經(jīng)了解及分析，博智安全服務(wù)團(tuán)隊(duì)斷定工業(yè)生產(chǎn)網(wǎng)絡(luò)中感染了 “永恒之藍(lán)”勒索蠕蟲(chóng)變種WannaCry2.0。經(jīng)過(guò)分析，訪談，發(fā)現(xiàn)由于生產(chǎn)網(wǎng)絡(luò)未做好隔離與最小訪問(wèn)控制，關(guān)鍵補(bǔ)丁未安裝，蠕蟲(chóng)病毒通過(guò)網(wǎng)絡(luò)大肆快速傳播與感染，導(dǎo)致藍(lán)屏、重啟事件。

進(jìn)一步分析，工業(yè)生產(chǎn)網(wǎng)絡(luò)中存在大量雙網(wǎng)卡主機(jī)，同時(shí)車(chē)間網(wǎng)絡(luò)環(huán)境無(wú)基本邏輯隔離，導(dǎo)致網(wǎng)絡(luò)邊界模糊。生產(chǎn)網(wǎng)與辦公室網(wǎng)絡(luò)無(wú)防護(hù)設(shè)備，直接連通，辦公室主機(jī)遭蠕蟲(chóng)感染之后，便會(huì)通過(guò)網(wǎng)絡(luò)迅速傳入生產(chǎn)網(wǎng)中，從而造成車(chē)間主機(jī)的藍(lán)屏、重啟現(xiàn)象。

由于殺毒軟件難免有誤報(bào)誤刪的現(xiàn)象，鑒于工控車(chē)間的特殊性，博智安全服務(wù)團(tuán)隊(duì)對(duì)制氫車(chē)間的受感染工控機(jī)進(jìn)行了手動(dòng)處置，手動(dòng)進(jìn)行病毒檢測(cè)樣本抓取，創(chuàng)建阻止445端口數(shù)據(jù)傳播的組策略。

為防止制氫車(chē)間及其他車(chē)間免受勒索病毒或其他攻擊，博智安全服務(wù)團(tuán)隊(duì)協(xié)助車(chē)間人員建立完善的工業(yè)安全防護(hù)制度和統(tǒng)一方案，確保生產(chǎn)安全、連續(xù)、穩(wěn)定。

同時(shí)，在車(chē)間部署博智工控防護(hù)相關(guān)產(chǎn)品，如：博智工控主機(jī)衛(wèi)士、博智工控入侵檢測(cè)系統(tǒng)，以便勒索病毒攻擊時(shí)，可以第一時(shí)間掌握攻擊源，并阻斷攻擊，防止勒索病毒的蔓延。

總結(jié)

早在2017 年 5 月 WannaCry（永恒之藍(lán)勒索蠕蟲(chóng)） 大規(guī)模爆發(fā)時(shí)，博智安全服務(wù)團(tuán)隊(duì)立即全面啟動(dòng)了相關(guān)應(yīng)急、分析、工具研發(fā)、病毒處置、事態(tài)追蹤。經(jīng)過(guò)總結(jié)發(fā)現(xiàn)勒索軟件呈現(xiàn)以下三大明顯特點(diǎn)：

1、攻擊目標(biāo)是經(jīng)過(guò)精心選擇的，一定是承載了核心業(yè)務(wù)系統(tǒng)，客戶一旦中招須繳納贖金或者自行解密，否則業(yè)務(wù)癱瘓。企業(yè)、政府、醫(yī)療和教育機(jī)構(gòu)最易被勒索軟件攻擊。

2、XP、Windows 7、Windows Server 2008/2008 R2服務(wù)器操作系統(tǒng)最易被勒索軟件攻破。

3、弱口令、共享文件、漏洞是勒索軟件最常用的攻擊方式。

通過(guò)該項(xiàng)目，陜西某化工廠生產(chǎn)線得以恢復(fù)，不再繼續(xù)遭受該勒索病毒的攻擊威脅，博智安全服務(wù)團(tuán)隊(duì)的專(zhuān)業(yè)能力得到了用戶的一致好評(píng)。

“博智非攻研究院”是一支能力突出、技術(shù)過(guò)硬、業(yè)務(wù)精通、勇于創(chuàng)新的技術(shù)隊(duì)伍，當(dāng)前主要統(tǒng)籌促進(jìn)公司網(wǎng)安攻防核心技術(shù)的研究，拓展公司安全技術(shù)能力的邊界，牽引公司安全產(chǎn)品的開(kāi)發(fā)和競(jìng)爭(zhēng)力提升。團(tuán)隊(duì)會(huì)依據(jù)數(shù)據(jù)產(chǎn)生的威脅情報(bào)，對(duì)其中采用的各種攻防技術(shù)做深入的跟蹤和分析，并且給出專(zhuān)業(yè)的分析結(jié)果、提出專(zhuān)業(yè)建議，為用戶決策提供幫助。

聯(lián)系方式：400-100-0298轉(zhuǎn)1