下载文档原格式
360工业主机安全防护系统产品白皮书© 2019 360企业安全集团■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明外,所有版权均属360企业安全集团所有,受到有关产权及版权法保护。
任何个人、机构未经360企业安全集团的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录| Contents一. 引言 (1)二. 工业主机安全防护系统产品介绍 (2)2.1产品概述 (2)2.2设计理念 (2)2.3产品架构 (2)2.4产品优势 (4)2.5主要功能 (5)2.6典型部署 (7)三. 客户价值 (8)3.1工业主机安全防护,减少安全隐患 (8)3.2工业资产风险分析,提高运维效率 (8)3.3自主知识产权,杜绝后门隐患 (9)四. 总结 (9)一. 引言近年来,随着工业4.0及两化深度融合战略的持续推进,以及物联网等新兴技术在工业领域的应用,工业控制系统安全也倍受政府和企业关注。
其中,工业主机是工业控制系统安全的关键环节,工业信息安全建设也需要从主机防护开始。
工业主机相对普通的IT系统主机和终端,在安全防护方面存在以下特点:1. 工业主机生命周期长,硬件资源受限在很多细分工业行业,工业主机在投运后会运行很多年,硬件资源受限,往往不能安装杀毒软件。
2. 工业主机不会随意增加应用软件工业主机投运后,安装在主机上的软件不会随意升级或增加新的软件、插件。
3. 病毒库不能定期升级杀毒软件防病毒库需要定期升级或进行在线云查杀。
而工控系统不允许在运行期间进行系统升级,也不允许在线云查杀。
在工控系统中的防病毒库如果三个月不升级,防病毒效果会大大降低。
4. 普通杀毒软件误杀关键进程目前非工控专用杀毒软件没做过与工业软件的兼容性测试,在国内外都发生过非工控专用杀毒软件误杀工业软件进程,造成工控系统运行异常的事件。
误杀进程在工业控制系统中是致命的。
5. 查毒、杀毒造成工业软件处理延时杀毒软件一般会使用本地引擎或云端病毒库对工业主机进行病毒查杀,可能会造成工业软件的处理延时。
永恒之蓝360处置方案近年来,网络攻击事件层出不穷。
其中最让人印象深刻的莫过于2017年全球著名勒索软件WannaCry病毒爆发。
它利用了NSA利用的漏洞——永恒之蓝,通过在网络中寻找可感染的计算机,加密受害人的文件并勒索赎金。
针对此次攻击事件,360公司发起了相关处置方案,并成功抵抗了攻击。
下面将从360公司的角度介绍他们是如何应对此次全球性网络攻击事件的。
永恒之蓝简介永恒之蓝是一个Windows Server消息块(SMB)漏洞的代码名,其主要影响操作系统是Windows XP、Windows 7和Windows Server 2003,可以被用于攻击未应用Microsoft修补程序安全更新的服务器或计算机。
永恒之蓝利用了Windows内核中的漏洞,可以在没有受害者干预的情况下远程攻击并获取系统权限。
漏洞会通过传输控制协议(TCP)/网络协议版本6( IPv6)连接进行攻击。
360不断研究并制定新的规则360公司不断进行永恒之蓝漏洞的研究,从其攻击数据中分析出漏洞的特征,并根据分析结果制定出针对不同类型永恒之蓝漏洞攻击的规则。
这些规则在永恒之蓝病毒最初爆发时可能并不会被所有的计算机系统所使用,但在360公司开发的防病毒软件中已经集成。
因此,这样的规则将很普遍地防止永恒之蓝病毒的攻击。
与全球防病毒行业合作360公司是全球最大的防病毒公司之一,与全球其他许多防病毒公司(如卡巴斯基、趋势微软、麦克风、McAfee等)保持良好的合作关系。
这就意味着360公司在全球范围内都在积极配合着其他防病毒公司应对永恒之蓝攻击事件,这有助于为用户提供更全面的防护、更高效的解决方案。
及时更新补丁和安全软件最重要的避免永恒之蓝攻击的方法之一就是及时更新安装补丁和安全软件。
当微软在2017年3月发布了Windows XP、Windows 7和Windows Server 2003的安全修补程序时,360公司推动用户及时更新,减小被攻击的概率。
永恒之蓝病毒是什么入侵原理在去年,全球爆发大规模蠕虫勒索病毒入侵事件,被入侵的用户需支付高额的赎金(或比特币)才能解密文件,目前攻击已造成多处教学系统、医院系统瘫痪。
虽然早已被控制,不过一些网友还是很好奇到底是个什么病毒,能造成全球性计算机安全威胁。
什么是永恒之蓝病毒?据了解,这次事件是不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件。
这次的“永恒之蓝”勒索蠕虫,是NSA网络军火民用化的全球第一例。
一个月前,第四批NSA相关网络攻击工具及文档被Shadow Brokers组织公布,包含了涉及多个Windows系统服务(SMB、RDP、IIS)的远程命令执行工具,其中就包括“永恒之蓝”攻击程序。
恶意代码会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。
目前,“永恒之蓝”传播的勒索病毒以ONION和WNCRY两个家族为主,受害机器的磁盘文件会被篡改为相应的后缀,图片、文档、视频、压缩包等各类资料都无法正常打开,只有支付赎金才能解密恢复。
这两类勒索病毒,勒索金额分别是5个比特币和300美元,折合人民币分别为5万多元和2000多元。
安全专家还发现,ONION勒索病毒还会与挖矿机(运算生成虚拟货币)、远控木马组团传播,形成一个集合挖矿、远控、勒索多种恶意行为的木马病毒“大礼包”,专门选择高性能服务器挖矿牟利,对普通电脑则会加密文件敲诈钱财,最大化地压榨受害机器的经济价值。
没有关闭的445端口“引狼入室”据360企业安全方面5月13日早晨提供的一份公告显示,由于以前国内多次爆发利用445端口传播的蠕虫,部分运营商在主干网络上封禁了445端口,但是教育网及大量企业内网并没有此限制而且并未及时安装补丁,仍然存在大量暴露445端口且存在漏洞的电脑,导致目前蠕虫的泛滥。
61《广播电视网络》 2021年第2期 总第374期1 引言为满足当前广电业务不断融合发展的需要,虚拟化、云平台、大数据系统、IP 化播出前端和制作中心等设备和应用相继投入使用。
与此同时,网络安全面临越来越严重的挑战,大量系统和应用漏洞被发布与利用,其中以“永恒之蓝”漏洞最具代表性。
“永恒之蓝”利用Windows 操作系统SMB 服务漏洞获取系统的最高权限,对应微软公司编号MS17-010。
不法分子通过改造“永恒之蓝”制作了WannaCry 勒索病毒,该病毒利用Windows 操作系统445端口存在的漏洞进行传播,并且具有自我复制、主动传播性。
被WannaCry 勒索病毒入侵后,用户主机、服务器操作系统内的图片、文档、音频、视频、数据等都会被加密,并在桌面弹出勒索对话框,要求受害者支付比特币作为赎金,才能解密并释放被加密的数据。
时至今日,各种新型勒索病毒不断涌现,攻击目标不再限于Windows 操作系统,Linux 操作系统也未能幸免,并且新型勒索病毒对攻击目标的选择越来越精准、隐蔽性越来越强,可以长期潜伏于受害者的内部网络中,当感染的主机和服务器达到一定数量后集中暴发,有的勒索病毒甚至可以预判并删除备份数据,再加密当前运行数据,给企业和用户带来巨大的损失。
基于以上原因,我们非常有必要了解“永恒之蓝”漏洞的攻击方式,从而加固防御系统。
2 信息收集阶段使用NMAP 对局域网靶机进行扫描,发现局域网内靶机开放端口445。
使用Nessus 对靶机进行扫描,扫描结果证明靶机存在MS17-010漏洞。
3 渗透攻击阶段首先,在Kali Linux 中启动Metasploit Framework。
其次,寻找“永恒之蓝”相关可利用模块。
执行命令“msf 6 > search ms17-010”,发现存在扫描模块“auxiliary/scanner/smb/smb_ms17_010”和攻击模块“exploit/基于“永恒之蓝”漏洞的 渗透攻击与系统安全加固姜巍 天津广播电视网络有限公司摘要:在广电网络多业务平台融合发展的大背景下,网络安全面临越来越严重的挑战。
勒索病毒永恒之蓝处理的方法勒索病毒永恒之蓝已经被攻破,具体的处理方法是怎样的呢?以下是小编acefouder为大家整理的勒索病毒永恒之蓝处理的方法,欢迎大家阅读。
勒索病毒office恢复工具下载勒索病毒处理方法5月14日,国家网络与信息安全信息通报中心紧急通报:监测发现,在全球范围内爆发的WannaCry 勒索病毒出现了变种:WannaCry 2.0,与之前版本的不同是,这个变种取消了Kill Switch,不能通过注册某个域名来关闭变种勒索病毒的传播,该变种传播速度可能会更快。
请广大网民尽快升级安装Windows操作系统相关补丁,已感染病毒机器请立即断网,避免进一步传播感染。
北京市委网信办、北京市公安局、北京市经信委联合发出《关于WannaCry勒索蠕虫出现变种及处置工作建议的通知》。
《通知》指出,有关部门监测发现,WannaCry 勒索蠕虫出现了变种:WannaCry 2.0,与之前版本的不同是,这个变种取消了所谓的Kill Switch,不能通过注册某个域名来关闭变种勒索蠕虫的传播。
该变种的传播速度可能会更快,该变种的有关处置方法与之前版本相同,建议立即进行关注和处置。
关于WannaCry 勒索蠕虫出现变种及处置工作建议的通知各有关单位:有关部门监测发现,WannaCry 勒索蠕虫出现了变种:WannaCry 2.0,与之前版本的不同是,这个变种取消了所谓的Kill Switch,不能通过注册某个域名来关闭变种勒索蠕虫的传播。
该变种的传播速度可能会更快,该变种的有关处置方法与之前版本相同,建议立即进行关注和处置。
一、请立即组织内网检测,查找所有开放445 SMB服务端口的终端和服务器,一旦发现中毒机器,立即断网处置,目前看来对硬盘格式化可清除病毒。
二、目前微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞,请尽快为电脑安装此补丁,网址为/zh-cn/library/security/MS17-010;对于XP、2003等微软已不再提供安全更新的机器,建议升级操作系统版本,或关闭受到漏洞影响的端口,可以避免遭到勒索软件等病毒的侵害。
针对“永恒之蓝”攻击应急方案(蠕虫WannaCry)2017 年05 月13 日第1章隔离网主机应急处置操作指南首先确认主机是否被感染被感染的机器屏幕会显示如下的告知付赎金的界面:如果主机已被感染:则将该主机隔离或断网(拔网线)。
若客户存在该主机备份,则启动备份恢复程序。
如果主机未被感染:则存在四种方式进行防护,均可以避免主机被感染。
针对未感染主机,方式二是属于彻底根除的手段,但耗时较长;其他方式均属于抑制手段,其中方式一效率最高。
从响应效率和质量上,360建议首先采用方式一进行抑制,再采用方式二进行根除。
第 3 页共23 页方式一:启用快速免疫工具360勒索(永恒之蓝、之石)免疫工具,免疫工具的下载地址(注内含封445端口):https://172.20.133.158:8443/svn/JLsgsj/%e5%b8%b8%e7%94%a8%e8%bd%af%e4%bb%b6/360%e 5%8b%92%e7%b4%a2(%e6%b0%b8%e6%81%92%e4%b9%8b%e8%93%9d%e3%80%81%e4%b9%8 b%e7%9f%b3)%e5%85%8d%e7%96%ab%e5%b7%a5%e5%85%b7.zip采用快速处置方式,建议使用360安全卫士的“NSA武器库免疫工具”,可一键检测修复漏洞、关闭高风险服务,包括精准检测出NSA武器库使用的漏洞是否已经修复,并提示用户安装相应的补丁。
针对XP、2003等无补丁的系统版本用户,防御工具能够帮助用户关闭存在高危风险的服务,从而对NSA黑客武器攻击的系统漏洞彻底“免疫”。
NSA武器库免疫工具下载地址:/nsa/nsatool.exe方式二:针对主机进行补丁升级请参考紧急处置工具包相关目录并安装MS17-010补丁,2008服务器版补丁下载地址:https://172.20.133.158:8443/svn/JLsgsj/%e5%b8%b8%e7%94%a8%e8%bd%af%e4%bb%b6/windo方式三:关闭445端口相关服务点击开始菜单,运行,cmd,确认。
互联网运营商如何应对永恒之蓝病毒互联网运营商如何应对永恒之蓝病毒互联网运营商如何应对永恒之蓝病毒据防毒软件公司Avast Software公布的数字,已在全球99个国家侦测到超过75000宗WanaCrypt0r 2.0(又名 WannaCry)的攻击个案,而在Kaspersky安全研究及分析团队侦测到的45000 宗攻击个案中,中国属前十位攻击分布最高的国家及地区。
被攻击对象不乏大型企业及政府机构,如英国国家卫生事务局(NHS)旗下多家医院、俄罗斯内政部,西班牙电信Telefonica也惨遭受害。
这次肆虐全球的WanaCrypt0r 2.0一如以往勒索软件的运作模式,当电脑被感染后,所有文档均被加密成名为 .WNCRY的格式,无法正常读取,且会弹出指示,勒索受害者在3天内交付价值300美元的比特币赎金,逾期加倍,若在7天内未支付则无法恢复文档。
该勒索病毒界面包括简繁中文在内的28种不同语言,明显针对全球各国用户。
更有网友戏称现在勒索病毒都有官方汉化版,有些游戏软件应该好好学学了。
有别于以往通过钓鱼邮件感染的方式,不少受害者在网上称在正常使用电脑的.情况下突然弹出勒索界面。
据了解WanaCrypt0r 2.0是通过Windows系统内名为EternalBlue(永恒之蓝)的Windows SMB远端执行程序弱点进行攻击。
去年黑客团队Shadow Brokers曾声称成功入侵美国国家安全局(NSA)旗下的秘密网络攻击组织Equation Group,并取得各种攻击工具。
其中就涉及众多尚未透露的产品漏洞,被指可用于攻击、入侵除Windows 10及Windows Server 2016以外,Windows XP 至 Windows 8 及其各自对应的服务器版本系统,其中就包括 EternalBlue(永恒之蓝)、EmeraldThread等多个漏洞。
而微软亦已于今年3月针对 Windows SMB Server的安全性更新(MS17-010),修复相关安全漏洞。
优秀案例之360企业安全汽车制造行业“永恒之蓝”病毒应急处
理和安全
一、案例背景
工业控制系统(Industrial Control Systems, ICS)通常指由计算机设备和工业生产控制部件组成的系统,主要包括五大部分:数据釆集与监测控制系统(SCADA)、分布式控制系统(DCS)、过程控制系统(PCS)、可编程逻辑控制器(PLC)及现场总线控制系统(FCS)等。
工业控制系统已经广泛应用于工业、能源、交通及市政等领域,是我国国民经济、现代社会以及国家安全的重要基础设施的核心系统。
工业控制系统由于历史上相对封闭的使用环境,大多只重视系统的功能实现,对安全的关注相对缺乏,工控安全的现状处于“先天不足、后天失养、未来堪忧”的状态。
随着IT/OT一体化的逐步推进,工业控制系统越来越多地与企业网和互联网相连接,形成了一个开放式的网络环境。
工控系统网络化发展导致了系统安全风险和入侵威胁不断增加,面临的网络安全问题也更加突出。
由于工控网络系统环境的特殊性,传统的IT信息安全技术不能直接应用于工业控制网络的安全防护。
另外,工业控制系统的协议和设计,在研发时即偏重于功能的实时性和可靠实现,对安全攻击缺乏前期设计和有效抵御方法。
工业控制系统由于担心系统兼容性问题,通常不升级补丁,甚至有的工作站供应商明确要求用户不得自行升级系统,因此系统长期运行后会积累大量的安全漏洞病毒问题一直是威胁工控系统主机安全的一个棘手问题,从震网病毒到2017年末的工业破坏者,这些如幽灵般游荡在工控系统网络中的杀手总是伺机而动,一旦得手就会带来巨大的危害。
;再加上运维过程中缺乏科学的安全意识、管理和技术方案,这些缺陷使工控系统面对网络安全攻击时极其脆弱,给安全生产带来极大隐患。
2017年6月初,国内某知名新能源汽车制造企业遭受病毒侵袭,生产制造产线几台上位机莫名出现频繁蓝屏死机现象,并迅速蔓延至整个生产园区内大部分上位机,产线被迫停止生产。
该企业日产值超百万,停产直接损失严重,虽然信息安全部门采取了若干紧急处理措施,但收效甚微。
为了尽快解决问题恢复生产,该企业紧急向360安全监测与响应中心进行了求助。
二、核心问题分析
工业现场的上位机大多老旧,服役10年以上仍在运行的主机也很常见,而工业现场的相对封闭性,使得补丁升级、病毒处理变成一件很复杂的事情。
工业生产的稳定性往往会面临上位机脆弱性的挑战,一旦感染病毒就会造成巨大影响。
该企业生产网络与办公网络连通,未采取安全防护措施;生产制造产线上位机运行异常,重复重启或蓝屏,初步断定为病毒入侵。
由于上位机操作系统都是老旧的Windows XP,感染病毒之后频繁蓝屏重启,无法在问题终端采样进行病毒分析。
在生产网络核心交换机位置旁路部署360工业安全检查评估系统对生产网络数据流量进行检测,该设备基于360行业领先的安全大
数据能力生成多维度海量恶意威胁情报数据库,对工业控制网络进行自动化数据采集与关联分析,识别网络中存在的各种安全威胁。
借助工业安全检查评估系统的强大检测分析能力,安服人员很快判定该企业上位机感染了“永恒之蓝”蠕虫病毒(也称为WannaCry)。
“永恒之蓝”(WannaCry)在windows 7系统中出现文件加密现象,在Windows XP系统中则出现蓝屏现象。
三、对策与措施
应急处置
WannaCry病毒利用泄露的NSA黑客数字武器库中“永恒之蓝”工具发起蠕虫病毒攻击并进行勒索,病毒激活后会释放出一系列攻击文件,然后访问一个看似毫无意义的域名地址(以下简称病毒网站),若此域名可用则停止对主机加密,反之则对主机文件进行加密,此行为被称为Kill Switch。
Kill Switch是WannaCry病毒是否加密系统的一个决定性开关。
安服人员发现上位机感染WannaCry病毒之后,为了避免上位机中数据被加密带来进一步的危害,紧急在生产网络中部署一台伪装病毒服务器,域名设定为病毒网站,并通过策略设置将生产网上位机DNS指向此伪装服务器,阻止了WannaCry病毒的后续影响。
该企业生产园区占地范围很大,感染病毒的上位机几乎遍布整个园区,单纯依靠人力难以逐一定位问题终端。
360工业安全检查评估工具箱在此过程中发挥了巨大作用,不仅给出了感染病毒的准确研判,而且详细统计出所有问题终端的IP地址和MAC地址,结合企业提供的资产清单,安服人员和厂方技术人员很快确定了绝大部分问题终端的具体位置。
感染处理
完成定位之后,360安服人员即刻赶往最近的问题终端,第一时间关闭了445端口,避免病毒进一步扩散。
经过与厂方生产技术工程师细致沟通,得知以下信息:
1、上位机硬件配置资源有限,无法安装杀毒软件;
2、专用的生产软件对操作系统版本有严格限制,无法对操作系统进行打补丁操作;
3、重装系统会导致专用软件授权失效,带来经济损失。
结合上述信息,安服人员只能对问题终端采取杀毒处理。
为了避免杀毒过程中对上位机系统和数据造成影响,安服人员首先备份了问题终端系统及数据,然后用360推出的WannaCry病毒专杀工具进行杀毒处理,清除感染的病毒。
克服重重困难,病毒终于顺利清除,问题终端系统恢复正常运行,安服人员与厂方生产技术工程师反复确认其专用生产软件运行正常,能够正常下发数据。
至此,第一台问题终端病毒感染处理终于完成,为后续处理积累了宝贵经验。
安全加固
为了避免处理完成的上位机再次感染病毒,安服人员在上位机上部署安装了360工业主机防护软件,该软件基于轻量级“应用程序白名单”技术,能够智能学习并自动生成工业主机操作系统及专用工业软件正常行为模式的“白名单”防护基线,放行正常的操作系统进程及专用工业软件,主动阻断未知程序、木马病毒、恶意软件、攻击脚本等运行,为工业主机创建干净安全的运行环境。
问题处理及安全防护示意图
同时,为了避免U盘混用带来的病毒串扰风险,安服人员利用360工业主机防护软件对U盘使用进行合法性注册和读写控制策略配置,仅允许生产技术工程师专用的U盘识别和使用。
此外,为了限制Windows 网络共享协议相关端口开放带来的风险,安服人员通过ACL策略配置关闭了TCP 端口135、139、445和UDP 端口137、138,并利用360 安全卫士的“NSA 武器库免疫工具”关闭存在高危风险的服务,从而对NSA 黑客武器攻击的系统漏洞彻底“免疫”。
经过以上病毒清除和安全加固手段,不仅解决了感染WannaCry病毒带来的蓝屏重启问题,而且极大的提升了上位机的主动防御能力,实现了上位机从启动、加载到持续运行过程全生命周期的安全保障。
经过此次事件,该企业对工业控制系统安全性更加重视,决定采取360整体工控安全防护措施,逐步建设形成覆盖汽车制造产线全链条的立体化工控安全技术防护方案。
三、案例特色及应用价值
360工业安全检查评估工具箱和工业主机防护软件是解决工业主机脆弱性问题的一剂良药。
360工业安全检查评估工具基于360领先的威胁情报大数据能力快速识别威胁和资产。
工控设备资产发现是对工业控制系统中的工业控制器、工控系统、操作系统、工业控制组态软件、数据库软件、工业以太网设备、工控安全设备等进行资产发现,通过网卡采取工控流量,进行解析,基于流量中特征字段和指纹库进行资产识别。
该工具内置了流量检测引擎在解析流量的同时进行威胁情报的IOC快速比对,能在极短的时间内发现流量中的攻击行为,此外根据威胁情报告警提供的信息结合云端威胁情报中心进行二次分析,发现其他关联的攻击。
360工业安全检查评估工具在2018年中国国际大数据产业博览会获评全球十大“黑科技”奖。
360工业主机防护系统具有完全自主的知识产权,能够帮助关系国计民生的大型工控企业对工控网络工作站、服务器进行安全防护和安全加固,杜绝安全后门隐患,响应国家信息安全国产化政策及号召。
该防护系统使用先进白名单防护技术,能够有效抵御病毒、木马、恶意软件、零日攻击、高级持久威胁(APT)攻击对工控网络工作站、服务器的攻击与破坏行为,真正帮助企业发现工控网络攻击,解决安全问题,使企业的安全投入物有所值。
同时,工业主机防护系统能够有效检测到操作员针对工作站、服务器的违规、异常操作并加以阻止,进而避免工控系统的意外停车事故。
同时,基于白名单技术的解决方案无需对工控网络结构进行改造,避免频繁升级工控系统,减少系统维护停车时间。
该方案能够适用于大部分工业控制系统,是一套成熟可靠的安全解决方案。
