2018年已经过去一半，小威在对上半年工业现场安全服务的相关工作进行总结时发现：除了一如既往的忙碌，奔波在不同的工业现场外，工业现场的病毒问题依旧是不容乐观，在诸如烟草、化工、石化等行业，有如下一些现状导致了主机病毒感染事件频发。

办公网和控制网互联：为维护或信息查看方便，部分现场办公网与控制网互联且无任何安全隔离措施；或者部署的隔离设备策略配置不当，未实现安全配置最小化、精细化；

工业主机“裸奔”：部分现场工业主机没有防病毒措施，有些安装了防病毒软件，但病毒库无法做到及时更新；

工业主机操作系统漏洞封堵不及时：大部分现场工业主机持续运行多年，系统版本较老，操作系统漏洞补丁离线更新不及时，因此普遍存在操作系统层面的安全漏洞。

在现场病毒查杀过程中，接触到的病毒种类还是较多，本文不进行详细阐述，仅针对挖矿病毒和勒索病毒这两类现场高发的病毒进行分析和介绍。上述两类病毒大规模爆发不久后，相继都衍生了众多的变种，如：WannaMine2.0挖矿病毒和Satan V4勒索病毒。其中WannaMine2.0挖矿病毒具备了免杀功能，提高了隐蔽性；Satan V4勒索病毒不再对个人电脑的office文档和图片等文件进行加密，而是主要针对服务器的数据库进行攻击加密。

表1.1病毒种类

2.1 WannaMine挖矿病毒

WannaMine为新型Monero 加密挖掘蠕虫，利用与 NSA 相关的 EternalBlue （“永恒之蓝”）漏洞进行传播，能够感染从Windows 2000起的所有Windows 系统，并使受感染设备性能明显下降。

挖掘蠕虫WannaMine从2018年2月就出现在了互联网中，刚开始较为沉寂。从2018年3月起挖掘蠕虫WannaMine开始攻击搭建于Windows操作系统上的Web服务端。 

小威在某铝业公司现场发现此类病毒，通过排查发现该病毒是从一台与办公互连的服务器传播到生产网的AB环网中，对生产网的DCS系统、电场控制系统都造成了不同程度的影响，受感染的工业主机频繁出现重启或蓝屏的现象，部分生产业务出现了中断和短暂失控的局面。调查统计显示：现场35台工业主机，其中16台主机（大部分为Windows 7专业版32位操作系统）中毒并且全部开启TCP 445端口。

2.2 WannaMine2.0挖矿蠕虫

WannaMine2.0是一种最新型的WannaMine变种，该变种基于WannaMine改造，加入了一些免杀技术，传播机制与WannaCry勒索病毒一致，在局域网内，通过SMB快速横向扩散，最终造成局域网内大量主机都被感染并进行挖矿。

小威在某卷烟厂现场发现此类病毒，最终排查发现该病毒同样是从一台与办公互连的服务器传播到生产网中，并直接影响了生产网中的中控系统、制丝系统、卷包系统、物资系统和动力控制系统。同时由于现场工业主机（大部分为Windows 7专业版32位操作系统且开启TCP 445端口）未安装防病毒软件，导致受感染的主机频繁出现重启和蓝屏的现象（如图1所示），对生产业务造成了较为严重的影响。

图1 受感染工业主机蓝屏

2.3 WannaCrypt勒索病毒与Satan V4勒索病毒

WannaCrypt勒索病毒带给很多人的余悸还未消失，Satan V4勒索病毒已经接踵而至，首先小威给大家简单介绍一下Satan V4勒索病毒。

撒旦(Satan V4)病毒是一款恶意勒索程序，首次出现2017年1月份。Satan病毒的开发者通过网站允许使用者生成自己的Satan变种，并且提供CHM和带宏脚本Word文档的下载器生成脚本进行传播。主要通过RDP爆破的方式植入服务器，针对服务器的mdf、ldf、myd、myi、frm、dbf、bak、sql、rar、zip、dmp等文件进行加密，而且不断增加各种内网传播的技术，利用了永恒之蓝等多个漏洞，进一步加剧局域网内的扩散感染程度。

恶意软件在被感染用户主机上投放了多个永恒之蓝相关文件，并将相关的文件放置于被感染系统的C:\Users\All Users路径下，如图2所示。

图2 相关文件路径

通过扫描同一网段内的所有系统，sts.exe在网络内部进行传播，受SMB EternalBlue漏洞影响的系统将会执行此前投放的DLL库down64.dll。down64.dll将尝试在目标内存中加载代码，然后使用由Microsoft发布的合法certutil.exe工具来下载sts.exe，这是一种已知的远程文件复制下载技术。 随后Satan.exe创建一个名为KSession的文件，该文件位于C:\Windows\Temp\KSession目录下，并负责存储主机标识符，要求用户进行比特币付款，如图3所示。 

图3 Satan V4支付信息

小威在两个现场都发现此类病毒，现场排查发现该病毒主要集中在办公网的数据库服务器区域，受感染的服务器数据库都无法正常启动，相关业务被迫停用。

受到病毒感染的部分服务器影响如下：

 OPC服务器：OPC数据项目文件被恶意删除；

 数据库服务器：数据库锁定不能使用；

 视频联动服务器：视频联动异常；

 质检服务器：分解、焙烧工序APC优化控制失效；

 点巡检服务器：无法上传巡检数据；

 设备管理服务器：设备管理系统崩溃；

 MES服务器：系统报表数据异常，没有数据，不能自动生成。

3.1 病毒防御：

 隔离感染主机，关闭所有网络连接，禁用网卡。

 切断传播途径，关闭潜在终端的SMB 445等网络共享端口，关闭异常的外联访问。开启系统防火墙-点击高级设置-入站规则-新建一条阻止TCP 445端口接入的规则，如图4所示：

 图4：Windows防火墙关闭TCP 445端口

 关闭共享服务，在CMD命令行输入services.msc打开服务管理界面-禁用Server服务，如图5所示：

图5：关闭共享服务

 使用U盘启动PE，对系统盘进行备份；

 修补漏洞，为内网所有主机打上“永恒之蓝”漏洞补丁（补丁地址：https://technet.microsoft.com/zh-cn/library/security/ms17-010）。

 安装威努特工控主机卫士(白名单思想的主机防护软件)，对系统文件和应用文件创建白名单库，拦截所有白名单以外的恶意程序。

3.2 病毒查杀：

 查找攻击源，通过威努特工控安全审计与监测系统（小威自主研发的工业网络审计利器）进行网络流量分析，定位并切断攻击源，避免更多主机持续感染；

 专杀工具查杀病毒（网上较多，不再赘述）；

 手动查杀病毒。

通过分析上述病毒的技术特点、攻击对象、传播方式、危害性和影响范围等方面来看，网络上出现的任何病毒，都可能对工业现场带来意想不到的破坏。与此同时，现在有些病毒是专门针对工业控制系统而开发，其针对性更明显，破坏性更强。不难推算，工业控制系统的安全将会是一场持久战，工业现场需要从办公网到生产网、从外网边界到各区域边界、从网络防御到终端防御、从系统防御到文件防御都逐渐纳入防护方案设计，逐步加强工业网络的安全防御能力。

小威以工控行业典型安全防护方案为例(图6)进行分析，要对网络边界，各区域边界和终端系统进行安全防护，工控安全“白环境”的防御体系可以有效的抵御病毒或网络的攻击，实现对网络中各业务系统的安全防护，同时方案在设计上满足等级保护等相关政策需求。

 图6 工控安全防护方案示例

工控主机卫士是操作员站、工程师站等工业现场主机进行安全加固的软件产品，该产品不同于传统防病毒软件的“黑名单”思想，采用与其相反的轻量级“白名单”机制，可以有效阻止工控恶意程序或代码在工控主机上的感染、执行和扩散。

工业防火墙是针对工业控制网络进行边界防护的专用防火墙产品，用于保护工业控制系统网络免受各类来自办公网或其它内、外部区域的攻击威胁。运用“白名单+智能学习”技术，建立工业网络通信“白环境”，阻止任何来自安全区域内、外的非授权访问，有效抑制病毒、木马在工业控制网络中的传播和扩散。

工控安全监测与审计系统采用旁路部署模式，对工业生产过程“零风险”，能够实时监测针对工业协议的网络攻击、用户误操作、用户违规操作、非法设备接入等行为,以及蠕虫、木马等恶意软件的传播，同时详实记录指令级的工业控制协议通信。

入侵检测系统作为防火墙的补充，是防火墙之后的第二道安全闸门，可实时检测内部和外部攻击，在入侵攻击对网络或系统造成危害前，及时发现并进行报警，并提供攻击信息的详细描述，以便取证分析。

统一安全管理平台是对工业网络中的安全产品及安全事件进行统一管理的软硬件一体化产品。通过对控制网络中的边界隔离、网络监测、主机防护等安全产品进行集中管理，实现对全网中各安全设备、系统及主机的统一配置、全面监控、实时告警、流量分析等，降低运维成本、提高事件响应效率。

关于工业现场病毒防范方面的更多内容，请参考小威前期的微信文章：

实战经验|工业控制系统病毒防范探讨

国内唯一现场成功拦截Wannacry勒索病毒的厂商--威努特