案例背景
作為“中國石化行業(yè)質(zhì)量標桿企業(yè)”,陜西某化工廠有力推動了國民經(jīng)濟建設、石油石化工業(yè)發(fā)展和地區(qū)經(jīng)濟社會進步,實現(xiàn)了產(chǎn)業(yè)高端化、多元化、低碳化。近日,制氫車間工業(yè)生產(chǎn)網(wǎng)絡大量工控上位機出現(xiàn)了藍屏、不斷重啟現(xiàn)象。本次項目案例介紹旨在向大家講述博智安全如何在接到應急防護服務請求后,第一時間協(xié)助客戶進行有效的應急處理,最大程度上減少事件造成的損失和消極影響。
案例分析
經(jīng)了解及分析,博智安全服務團隊斷定工業(yè)生產(chǎn)網(wǎng)絡中感染了 “永恒之藍”勒索蠕蟲變種WannaCry2.0。經(jīng)過分析,訪談,發(fā)現(xiàn)由于生產(chǎn)網(wǎng)絡未做好隔離與最小訪問控制,關(guān)鍵補丁未安裝,蠕蟲病毒通過網(wǎng)絡大肆快速傳播與感染,導致藍屏、重啟事件。
進一步分析,工業(yè)生產(chǎn)網(wǎng)絡中存在大量雙網(wǎng)卡主機,同時車間網(wǎng)絡環(huán)境無基本邏輯隔離,導致網(wǎng)絡邊界模糊。生產(chǎn)網(wǎng)與辦公室網(wǎng)絡無防護設備,直接連通,辦公室主機遭蠕蟲感染之后,便會通過網(wǎng)絡迅速傳入生產(chǎn)網(wǎng)中,從而造成車間主機的藍屏、重啟現(xiàn)象。
解決方案
本項目,博智安全服務團隊依據(jù)安全事件的分類、應急響應目標和行業(yè)特殊性,及時提供現(xiàn)場應急響應,協(xié)助客戶進行有效的應急處理,最大程度上減少事件造成的損失和消極影響,并進行事后的加固與取證工作。
由于殺毒軟件難免有誤報誤刪的現(xiàn)象,鑒于工控車間的特殊性,博智安全服務團隊對制氫車間的受感染工控機進行了手動處置,手動進行病毒檢測樣本抓取,創(chuàng)建阻止445端口數(shù)據(jù)傳播的組策略。
為防止制氫車間及其他車間免受勒索病毒或其他攻擊,博智安全服務團隊協(xié)助車間人員建立完善的工業(yè)安全防護制度和統(tǒng)一方案,確保生產(chǎn)安全、連續(xù)、穩(wěn)定。
同時,在車間部署博智工控防護相關(guān)產(chǎn)品,如:博智工控主機衛(wèi)士、博智工控入侵檢測系統(tǒng),以便勒索病毒攻擊時,可以第一時間掌握攻擊源,并阻斷攻擊,防止勒索病毒的蔓延。
總結(jié)
早在2017 年 5 月 WannaCry(永恒之藍勒索蠕蟲) 大規(guī)模爆發(fā)時,博智安全服務團隊立即全面啟動了相關(guān)應急、分析、工具研發(fā)、病毒處置、事態(tài)追蹤。經(jīng)過總結(jié)發(fā)現(xiàn)勒索軟件呈現(xiàn)以下三大明顯特點:
1、攻擊目標是經(jīng)過精心選擇的,一定是承載了核心業(yè)務系統(tǒng),客戶一旦中招須繳納贖金或者自行解密,否則業(yè)務癱瘓。企業(yè)、政府、醫(yī)療和教育機構(gòu)最易被勒索軟件攻擊。
2、XP、Windows 7、Windows Server 2008/2008 R2服務器操作系統(tǒng)最易被勒索軟件攻破。
3、弱口令、共享文件、漏洞是勒索軟件最常用的攻擊方式。
通過該項目,陜西某化工廠生產(chǎn)線得以恢復,不再繼續(xù)遭受該勒索病毒的攻擊威脅,博智安全服務團隊的專業(yè)能力得到了用戶的一致好評。
“博智非攻研究院”是一支能力突出、技術(shù)過硬、業(yè)務精通、勇于創(chuàng)新的技術(shù)隊伍,當前主要統(tǒng)籌促進公司網(wǎng)安攻防核心技術(shù)的研究,拓展公司安全技術(shù)能力的邊界,牽引公司安全產(chǎn)品的開發(fā)和競爭力提升。團隊會依據(jù)數(shù)據(jù)產(chǎn)生的威脅情報,對其中采用的各種攻防技術(shù)做深入的跟蹤和分析,并且給出專業(yè)的分析結(jié)果、提出專業(yè)建議,為用戶決策提供幫助。
聯(lián)系方式:400-100-0298轉(zhuǎn)1
