WannaCry勒索蠕蟲-力控華康護(hù)航工控安全
一、受WannCry勒索軟件影響的系統(tǒng):
Windows Vista / 2008/7 /8.1 / 2012/10/16
Windows Vista
Windows 7
Windows 8 / 8.1
Windows Server 2012
Windows Server 2016
Microsoft 補(bǔ)丁信息及詳情:
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
二、Wannacry背景
WannaCry(想哭,又叫Wanna Decryptor),一種“蠕蟲式”的勒索病毒軟件,大小3.3MB,由不法分子利用此前披露的Windows SMB服務(wù)漏洞(對(duì)應(yīng)微軟漏洞公告:MS17-010)攻擊手段,向終端用戶進(jìn)行滲透傳播。該惡意軟件會(huì)掃描電腦上的TCP 445端口(Server Message Block/SMB),以類似于蠕蟲病毒的方式傳播,攻擊主機(jī)并加密主機(jī)上存儲(chǔ)的文件,然后要求以比特幣的形式支付贖金。勒索金額為300至600美元。
2017年5月14日,WannaCry 勒索病毒出現(xiàn)了變種:WannaCry 2.0,取消Kill Switch 傳播速度或更快。截止2017年5月15日,WannaCry造成至少有150個(gè)國家受到網(wǎng)絡(luò)攻擊,已經(jīng)影響到金融,能源,醫(yī)療等行業(yè),造成嚴(yán)重的危機(jī)管理問題。中國部分Windows操作系統(tǒng)用戶遭受感染,校園網(wǎng)用戶首當(dāng)其沖,受害嚴(yán)重,大量實(shí)驗(yàn)室數(shù)據(jù)和畢業(yè)設(shè)計(jì)被鎖定加密。
目前,安全業(yè)界暫未能有效破除該勒索軟件的惡意加密行為。微軟總裁兼首席法務(wù)官Brad Smith稱,美國國家安全局未披露更多的安全漏洞,給了犯罪組織可乘之機(jī),最終帶來了這一次攻擊了150個(gè)國家的勒索病毒事件。
三、Wannacry對(duì)工控安全的影響
2017年5月15日9:35分,力控華康技術(shù)部接到某兩個(gè)外省市大型企業(yè)主管工程師電話反饋信息網(wǎng)主機(jī)疑似遭到網(wǎng)絡(luò)攻擊,經(jīng)過遠(yuǎn)程分析基本確定主機(jī)受到了WannaCry攻擊而癱瘓,本地工程師趕往現(xiàn)場后確定“被勒索了”,被攻擊主機(jī)表現(xiàn)為數(shù)百種文件被加密,現(xiàn)場人員都比較緊張,主機(jī)顯示屏顯示如下畫面:
力控華康本地工程師迅速隔離了中招主機(jī),并配合對(duì)方IT人員對(duì)于網(wǎng)絡(luò)中的交換機(jī)和防火墻啟用ACL策略禁止135~138、445端口防止攻擊危害擴(kuò)散,同時(shí)啟動(dòng)對(duì)于其他主機(jī)的補(bǔ)丁升級(jí),使得事態(tài)逐漸得到緩解平息。
四、力控華康解決辦法
力控華康在之前1個(gè)月就對(duì)此種危害進(jìn)行了應(yīng)對(duì),包括:
1. 通知本地工程師與客戶檢查ISG防火墻(產(chǎn)品默認(rèn)白名單,未用到的端口全部關(guān)閉),將現(xiàn)場已部署ISG工業(yè)防火墻重新確認(rèn)禁止了135~138、445端口,對(duì)于擅自開啟的一律啟動(dòng)策略禁用;啟動(dòng)工控協(xié)議深度過濾防范非法操作;
2. 發(fā)出通知提醒用戶進(jìn)行微軟MS17-010安全補(bǔ)丁升級(jí);
3. 推薦未部署的用戶部署PSL工業(yè)網(wǎng)絡(luò)隔離網(wǎng)關(guān);
有了ISG工業(yè)防火墻對(duì)于攻擊端口的禁用,阻止了WannaCry網(wǎng)絡(luò)攻擊的通路;部署PSL工業(yè)網(wǎng)絡(luò)隔離網(wǎng)關(guān)在信息網(wǎng)與控制網(wǎng)建立了一道硬防護(hù),采用“2+1”雙主機(jī)結(jié)構(gòu),在最惡劣的情況下也難以對(duì)控制網(wǎng)進(jìn)行直接滲透攻擊。
截至發(fā)稿時(shí)間還未接到已經(jīng)安裝力控華康ISG工業(yè)防火墻和PSL工業(yè)網(wǎng)絡(luò)隔離網(wǎng)關(guān)產(chǎn)品的用戶反饋控制網(wǎng)受到WannaCry攻擊的案例,信息網(wǎng)當(dāng)中使用ISG防火墻進(jìn)行區(qū)域防護(hù)與精準(zhǔn)防護(hù)的主機(jī)和設(shè)備也沒有中招反饋,我們也將持續(xù)跟蹤,如有異常網(wǎng)絡(luò)行為力控華康安管平臺(tái)也將實(shí)時(shí)獲取并上報(bào),為提前預(yù)防風(fēng)險(xiǎn)提供分析依據(jù)。
五、總結(jié)與深思
WannaCry席卷全球,中國近3萬家機(jī)構(gòu)受到影響,本次應(yīng)急響應(yīng)也說明工控安全刻不容緩,伴隨著國家《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》的正式發(fā)布,各行業(yè)標(biāo)準(zhǔn)也緊隨制定當(dāng)中,本次WannaCry事件再一次給工控行業(yè)安全敲響警鐘。
力控華康致力于工業(yè)安全防護(hù)與研究,在工業(yè)現(xiàn)場已經(jīng)安裝了數(shù)千套PSL工業(yè)隔離防護(hù)網(wǎng)關(guān)以及ISG工業(yè)防火墻,在這場網(wǎng)絡(luò)攻擊事件中,確保用戶的DCS、PLC等控制系統(tǒng)和實(shí)時(shí)數(shù)據(jù)庫系統(tǒng)免受攻擊,有力保障了工業(yè)生產(chǎn)的正常進(jìn)行和工業(yè)控制系統(tǒng)的安全運(yùn)行。力控華康也將繼續(xù)以“專注”所以“專業(yè)”服務(wù)于工控安全。
提交
新鄭卷煙廠工業(yè)控制網(wǎng)網(wǎng)絡(luò)安全解決方案
魯西化工信息安全解決方案
WannaCry“永恒之藍(lán)“—力控華康護(hù)航工控安全之隔離篇
力控華康護(hù)航工業(yè)控制系統(tǒng)安全
力控華康中海油透平數(shù)據(jù)遠(yuǎn)傳項(xiàng)目