工控網(wǎng)首頁(yè)
>

應(yīng)用設(shè)計(jì)

>

WannaCry來(lái)襲 特征碼照妖鏡讓其現(xiàn)真身

WannaCry來(lái)襲 特征碼照妖鏡讓其現(xiàn)真身

五月十二日晚上20:00全球爆發(fā)大規(guī)模勒索軟件感染事件,目前已經(jīng)涉及150個(gè)國(guó)家20萬(wàn)個(gè)受害者,包括能源、電力、教育、醫(yī)療、交通等重點(diǎn)領(lǐng)域都在快速蔓延,西班牙電力公司Iberdrola、天然氣公司Gas natural以及電信巨頭Telefonica無(wú)一幸免;德國(guó)德勒斯頓火車(chē)站、葡萄牙電信、聯(lián)邦快遞FedEx包括俄羅斯內(nèi)政部和第二大電信巨頭Magefon等都遭到了勒索軟件的攻擊;國(guó)內(nèi)中石油北京、上海、四川、重慶等地的加油站全面斷網(wǎng),幾大高校也遭受了不同程度的攻擊,截止5月14日中國(guó)已有29372家機(jī)構(gòu)組織的數(shù)十萬(wàn)臺(tái)機(jī)器感染。

今天早上朋友圈各種文章都在討論防病毒方法,各種企業(yè)、政府預(yù)防公告,還有各種step by step防御辦法,更甚者聽(tīng)說(shuō)某些單位全部斷開(kāi)外網(wǎng)。今天早上也有很多朋友打電話咨詢(xún)?nèi)绾畏婪?,如果中毒如何處理等?nbsp;

今早的一篇來(lái)自劍指工控的文章《安全圈的殺人游戲》把本次事件的緣由把它比喻成了當(dāng)下流行的殺人游戲:

法官:NSA  警察:MicroSoft  殺手:WannaCry

法官NSA無(wú)意泄露了警察(MicroSoft)的信息(ETERNALBLUE漏洞),警察(MicroSoft)跳警(2017年3月14日微軟發(fā)布比特病毒的安全補(bǔ)丁后),殺手WannaCry得到信息反應(yīng)更快,借時(shí)間差屠殺平民。公開(kāi)的補(bǔ)丁就這樣成了屠殺的邀請(qǐng)函。

5月12日國(guó)家工業(yè)信息安全研究中心發(fā)布緊急通知要求各地工信主管部門(mén)盡快做好組織應(yīng)對(duì)和風(fēng)險(xiǎn)通報(bào)。

工業(yè)領(lǐng)域的工控機(jī)(工程師站、操作員站、歷史服務(wù)器,SCADA服務(wù)器)等大量使用Windows系統(tǒng),而且2008年以前的90%工控系統(tǒng)均采用Windows 2000 SP4和Windows XP,這兩個(gè)系統(tǒng)默認(rèn)開(kāi)放445端口,極有可能被“WannaCry”利用漏洞進(jìn)行入侵攻擊,并迅速蔓延到整個(gè)工業(yè)控制網(wǎng)絡(luò),嚴(yán)重導(dǎo)致組態(tài)軟件加密狗失效,甚至造成工業(yè)企業(yè)內(nèi)網(wǎng)癱瘓。而且一旦中招,工業(yè)企業(yè)相關(guān)敏感數(shù)據(jù)存在被鎖定、篡改和銷(xiāo)毀的風(fēng)險(xiǎn)。如果您的配方、數(shù)據(jù)庫(kù)、視頻、制圖等關(guān)鍵數(shù)據(jù)不被截取,請(qǐng)認(rèn)證閱讀本文。當(dāng)然了有的企業(yè)說(shuō)我們正常辦公必須開(kāi)放445端口,那怎么辦?本文后續(xù)段落會(huì)有不禁用445端口如何防范類(lèi)似WannaCry的攻擊。

先來(lái)看看這個(gè)所謂的勒索軟件到底是個(gè)什么妖孽?

WannaCry也被稱(chēng)為WannaCrypt0r 2.0, WannaCry使用了NSA泄露的ETERNALBLUE(永恒之藍(lán))漏洞,ETERNALBLUE利用漏洞MS17-010中的某些版本的SMB服務(wù)器協(xié)議進(jìn)行傳播,該漏洞并不是0Day漏洞, 補(bǔ)丁程序微軟已于2017年3月14日發(fā)布,但未打補(bǔ)丁的用戶(hù)有可能遭受此次攻擊。

你是否也已經(jīng)中招了?

感染過(guò)程:

第一步:病毒運(yùn)行后會(huì)生成啟動(dòng)項(xiàng)(注冊(cè)表里):

第二步:遍歷磁盤(pán):

\ProgramData

\Intel

\WINDOWS

\Program Files

\Program Files (x86)

\AppData\Local\Temp

\Local Settings\Temp

第三步:遍歷文件后實(shí)施加密:

遍歷磁盤(pán)文件,加密以下178種擴(kuò)展名文件。

感染W(wǎng)annaCry后,用戶(hù)的終端與受到大多數(shù)的勒索軟件侵蝕后一樣,會(huì)將各類(lèi)型數(shù)據(jù)、文檔文件加密,被加密的文件后綴名會(huì)改成.WNCRY,并索要贖金。

工業(yè)控制系統(tǒng)又如何防范WannaCry的感染呢?

首先大家不要恐慌,沒(méi)有朋友圈宣傳的這么可怕,類(lèi)似通過(guò)445共享端口進(jìn)行攻擊的案列很多,因此網(wǎng)絡(luò)運(yùn)營(yíng)商基本上針對(duì)個(gè)人和企業(yè)都關(guān)閉了445這個(gè)端口。

而教育部門(mén)(各個(gè)大學(xué))以及一些科研院所以及加油站支付系統(tǒng)為了共享方便,都是開(kāi)放445這個(gè)端口,所以這也就是為什么這么多大學(xué)和加油站都會(huì)中招的原因。

對(duì)于工業(yè)用戶(hù)最原始的方法就是斷網(wǎng)或者關(guān)閉445和139等端口,但是這種方法直接將共享文件的功能全部禁用了,并非最優(yōu)的解決方案。

特征碼——照妖鏡

WitLinc IPS rules:42329-42332、42340、41978

通俗的說(shuō)就是我們不需要關(guān)閉445和139端口,也可以把WannaCry過(guò)濾掉。

我們知道傳統(tǒng)的防火墻均采用包過(guò)濾的方法,只過(guò)濾數(shù)據(jù)流的3,4層信息,也就是五元組:源IP、源端口、協(xié)議、目的IP、目的端口;

但是Witlinc工業(yè)防火墻在傳統(tǒng)防火墻的基礎(chǔ)上內(nèi)嵌IPS,可以在傳統(tǒng)包過(guò)濾防火墻的基礎(chǔ)上再進(jìn)行7層特征碼的過(guò)濾,例如防火墻允許外網(wǎng)訪問(wèn)內(nèi)網(wǎng)Web服務(wù)器的80端口,但是Witlinc IPS可以過(guò)濾黑客發(fā)起的SQL注入數(shù)據(jù)包。針對(duì)本次事件Witlinc防火墻可以允許數(shù)據(jù)通過(guò)445端口,但是如果數(shù)據(jù)包中含有WannaCry的特征碼,那么該數(shù)據(jù)包將會(huì)被過(guò)濾掉。而且可以阻止被阻攔對(duì)象的的阻攔時(shí)間,從1秒到無(wú)限時(shí)長(zhǎng),防止特征碼有誤,而防火墻策略一般是無(wú)限時(shí)長(zhǎng)的阻攔。

Witlinc Technology WL-620F工業(yè)防火墻其他主要功能:

●?實(shí)時(shí)通訊分析和信息包記錄

●?信息包有效載荷檢測(cè)

●?協(xié)議分析和內(nèi)容查詢(xún)匹配

●?探測(cè)緩沖溢出、秘密端口掃描、CGI攻擊、SMB探測(cè)、操作系統(tǒng)侵入嘗試

●?對(duì)系統(tǒng)日志、指定文件、Unix socket或通過(guò)Samba的WinPopus 進(jìn)行實(shí)時(shí)警

信息包有效載荷探測(cè)是Witlinc Technology工業(yè)防火墻與傳統(tǒng)防火墻最明顯的區(qū)別,這就意味著很多額外種類(lèi)的敵對(duì)行為可以被探測(cè)到。

最后特別感謝劍指工控提供的《安全圈的殺人游戲》!

審核編輯(
王靜
)
投訴建議

提交

查看更多評(píng)論
其他資訊

查看更多

WL-320E-M 工業(yè)邊緣計(jì)算模塊

WL-245H工業(yè)Wi-Fi與WiSCADA助力選煤廠智能化建設(shè)

一體化工控機(jī)虛擬化管理平臺(tái) WL-980V-L2

某熱電廠輔網(wǎng)一體化改造 工業(yè)私有云方案

攜手中海匯通 打造智能未來(lái)