长扬科技 勒索病毒冲着工业控制系统来了，威胁重重，如何应对？

勒索病毒是目前比较流行的软件病毒，它不仅在我们日常的网络中传播，也逐渐侵蚀着工业网络。但是随着工业的发展，工业病毒的传播也越来越广泛。针对来自工业的病毒，我们又该如何去防范呢？

1　引言

随着信息技术的发展，计算机技术越来越多地应用于社会生产生活中，与此同时恶意软件也在不断发展进化。早期的恶意软件仅仅出于个人炫耀或技术探索，互联网时代“用户流量”的巨大价值吸引恶意软件利用劫持虚拟资产、流量、互联网推广作弊等手段谋取间接利益，随着区块链加密货币的流行，恶意软件再一次进化直接向受害者伸手要钱。

随着破坏工业设施的Stuxnet、加密用户数据进行勒索的WannaCry等恶意软件曝光，来自恶意软件的威胁已经触及工控系统，对于工控系统的运营管理者，有必要了解恶意软件，了解工控系统正面临的信息安全风险。

2　恶意软件从炫技到勒索病毒的演进

推动恶意软件进化的背后是赛博世界中利益输送方式的进化。在计算技术发展的早期，各种应用普及程度有限，潜在的恶意软件作者难以通过传播病毒广泛牟利，不妨假设有人试图制造病毒扩散，随后在市场上出售针对性的杀毒工具，这种操作证据直接明显，作者可能都猜不到发财和被捕哪件事会先发生，所以这个时代的病毒才会显得相对“纯粹”。

到了流量时代，用户在互联网上的活动、消费对应着广告和贸易等现实世界中有价值的资源，为了获得更多收益，服务商开始为“流量”出价。例如经营电子商务的公司，为了获取更多的客户开始鼓励推广者，每拉来一位网络访客给予一定的流量分成，很快恶意软件开始劫持网络中的流量，通过植入病毒木马、劫持HTTP、劫持DNS等方式，绑架流量从服务商处骗取收益。这种方式具备一定的隐蔽性、难以察觉并且普通人即便了解相关技术，也只能追踪到一个推广者ID，追查这个ID是谁已经不是普通人的能力范围了。万变不离其宗，流量时代的利益输送仍然从服务商处以现金方式结算，通过追查相关资金和信息还是可以找出恶意软件作者，在公安机关、安全厂商等多方努力和相关法律法规逐渐健全的情况下流量劫持恶意软件已经得到控制。

如今勒索病毒已经成为互联网上逐利恶意软件的代表，勒索病毒并不是近年来的发明，早在1989年，就有勒索病毒在运行后将计算机C盘加密，显示信息声称用户的软件许可过期，要求用户向“PCCyborg”公司位于巴拿马的邮箱寄一笔钱以解锁系统。勒索病毒流行依托的其实是区块链技术衍生出来的加密货币。在2008年金融危机后，美国实行量化宽松，全球各大央行放水，一种基于P2P网络的加密货币开始流行，也就是比特币。比特币具备不依靠特定货币机构发行的特性，数据从客户端到客户端传输，没有所谓的清算中心，也就是说比特币的传送不受任何一个机构的监管，具备一定的匿名特性。只要建立网络连接加密货币可以从世界上任何两个地方之间传送。具备这一特性的加密货币不止比特币一种，但这一特性，极为适合勒索病毒使用。勒索病毒感染成功后迅速加密用户数据，隐藏解密数据所必须的密钥，然后向用户发出通知，要求支付加密货币赎金。拒绝支付赎金则密钥可能被销毁，所有资料可能无法解密。而恶意软件作者躲在加密货币后，追踪难度可想而知，正因如此恶意软件作者才敢对工控系统伸手。

3  勒索病毒如何进入工控系统

勒索病毒和其他目的的恶意软件的主要区别是目的不同，恶意软件Stuxnet的主要目的是发送恶意指令损坏设备，勒索病毒WannaCry的主要目的则是加密受害者设备上的数据，向用户索要解密赎金，但针对工控系统的恶意软件在传播方式上是相似的。

工控系统在设计之初通常并未考虑到暴露在互联网上或与互联网存在间接连接，其安全性主要来自于隔离。但随着计算机和网络技术的发展和提高效率的需求，工控系统的封闭特性正在逐渐被打破，因此存在一些安全隐患。

3.1　利用设备漏洞远程入侵

由于配置错误或者管理上的问题，可能存在一小部分工控系统设备直接暴露于互联网中，如果设备上存在漏洞，恶意软件可能通过远程利用漏洞的方式感染工控系统设备，实施勒索或其他恶意行为。

3.2　绕过工控系统外部防火墙

在一般情况下工控系统与外部网络至少存在防火墙等安全设施保护，恶意软件可能通过邮件、U盘等渠道，通过工控系统运营人员携带的设备带入内网，以绕过工控系统外部防火墙进入工控网络。

3.3　通过供应链攻击进入工控网络

将设备带入工控系统的除了运营管理人员还有相应软硬件供应商，勒索病毒也可能通过预先感染供应商设备在工控系统中安装新设备时将勒索病毒带入工控系统，再利用勒索蠕虫病毒中内置的漏洞利用代码在工控系统内网中进行横向渗透，发现并感染存在漏洞和脆弱性问题的工控系统设备。

4  勒索病毒对工控系统的破坏

4.1　加密文件

在目前已经曝光的案例中，勒索病毒主要感染Windows设备，将设备用户文件进行加密，覆盖或破坏原始文件，并且绝大多数勒索病毒都具备蠕虫病毒的特性，会主动对被感染设备同网络中的其他设备进行扫描，通过内网和感染设备发现存在漏洞和脆弱性的设备进行扩散。

4.2　窃取机密

在利用漏洞或其他入侵手段进入工控系统后，恶意软件可以根据其需要搭载不同的攻击载荷，获取密码、控制列表、PLC程序等机密信息并加密，尝试传回恶意软件作者达到勒索或其他恶意目的。

4.3　锁定设备

勒索病毒可以利用工控系统设备的漏洞或弱口令等脆弱性问题，控制PLC等工控系统设备，修改认证口令或利用固件验证绕过漏洞刷入恶意固件并禁用设备固件更新功能，获取设备的控制权。

4.4　物理攻击

在某些特殊场景下，勒索病毒可以控制PLC，执行某些会对物理世界造成威胁的动作，例如锁定阀门或修改上报的参数，欺骗操作人员。研究人员已经在模拟环境中实现勒索病毒控制水处理厂，关闭城市供水或增加氯浓度污染城市用水等攻击行为。

万幸的是，目前已公开的案例中勒索病毒对工控系统的威胁还停留在加密文件勒索阶段，尚未造成人员伤亡或无法挽救的重大财产损失。据报道全球最大的芯片制造商台积电曾因勒索病毒WannaCry攻击生产线上的自动物料搬运系统（AMHS）造成停工，预测将对当年第三季营收造成3%的影响，随后台积电对受影响的设备进行断网处置，并表示因停工造成的产能影响可以弥补。

5  工控系统防御勒索病毒的解决方案

勒索病毒与其他工控环境下的恶意软件一样，利用工控环境中的脆弱性问题及设备漏洞实施恶意行为，在预防上与其他工控恶意软件一致，主要体现在以下几点：

5.1 资产识别与维护

对工控系统网络中的设备进行识别，发现存在安全隐患或者存在已知漏洞的设备，及时修复，对于不便停机升级的设备进行必要的隔离保护，关闭工控系统网络中所有非必要的通讯端口。

5.2 准入控制

准入控制指对网络的边界进行保护，对接入网络的终端和使用进行合规检查，杜绝不安全的电脑、U盘等设备未经充分检查接入工控系统。

5.3 制订备份与恢复计划

对于生产资料和系统进行备份，将备份文件用单独的设备离线储存或保存到安全的环境中，并准备恢复计划。

5.4 事后追查能力

作为以防万一的保障，确保在发生攻击事件后有能力追查攻击来源、造成的影响和所有设备是否已经被完全恢复。

5.5 安全培训

完全依赖安全设备或管理制度均不可取。加强工控系统安全需两者结合，工控系统操作人员的安全意识非常重要，应加强安全培训，相关操作人员杜绝下载不明文件、点击不明链接或使用未经充分安全检查的设备接入工控系统等高危操作。

6  基于损失控制的勒索病毒处置探讨

在对于勒索病毒的处置中，工控系统与普通办公设备不同。工控系统冗余量小，即便是部分设备感染勒索病毒也可能造成整个生产线停工甚至工控系统中的设备物理安全受到威胁。这种情况下时间就是金钱甚至生命，从减少损失的角度来看，确定恢复系统正常运转的代价远高于支付赎金，工控系统的运营管理者很难有其他选择。

当勒索事件发生后，冷静迅速处理，判明情况。首先将被攻击的异常设备进行断网断电隔离，中断内网通信避免勒索病毒出现扩散，随后联系安全厂商及有关机构对设备中的病毒样本进行取样分析，尽量了解恶意软件意图和已经造成的影响，并着手修复工控系统及早恢复正常工作，查明勒索病毒入侵情况后，应将染毒内网中的设备进行离线修复，避免因安装补丁等修复过程中勒索病毒借机入侵。

勒索病毒的解密也存在多种可能性，首先勒索病毒的加密方式多种多样，攻击者可能掌握难以破解的密钥，这种情况下支付赎金尚有可能取回解密密钥。也存在另一种可能性，病毒已经对文件造成了不可逆的破坏，即便支付赎金也只能是增加损失。

亦有可能感染的病毒只是采用了一些在本地对文件简单加密的方法，例如对文件中的部分内容进行可逆加密，通过对勒索病毒的逆向分析可能找出文件恢复的解决方法，制作出对应的解密工具。

在分析检出的勒索病毒加密原理后，可能有找回文件的方法，在一些情况下原始文件并未被直接加密，勒索病毒可能先创建了加密后的副本再删除了原始文件，在这种情况下采用数据恢复技术有可能恢复部分原始文件，挽回损失，切记尽可能避免对已经被勒索病毒加密的设备做不必要的操作，以免原始文件被二次覆盖无法恢复。

在工控系统这一特殊环境下，对运营管理人员的要求更高于普通IT网络中的勒索病毒应急响应，当工控系统设备在勒索病毒攻击下出现异常或停摆时，其影响可能在业务逻辑中的上下游产生扩散影响，这需要工控系统的运营管理人员在预防之外对可能发生的勒索病毒爆发事件做好充分准备，并且与安全厂商及有关机构建立通畅的沟通渠道，在需要时以生命财产安全为第一要务，合理处置工控系统中的勒索病毒事件。