2019年2月，威努特接到某集团客户电话，其集团下属不锈钢分公司炼钢分厂生产网电炉区域、精炼炉区域、转炉区域和VOD区域内多台程控服务器、工程师站和操作员站等重要设备出现蓝屏现象，严重影响了生产业务。

图 1   现场蓝屏现象图

为了防止病毒快速扩展，威努特技术服务部工程师以最快的速度赶到现场，了解到现场情况如下：

1）中毒的区域主要集中在该厂区的生产网络的电炉、精炼炉、转炉等区域，这3个区域与生产直接相关；

2）各区域内中毒设备多以服务器为主，操作员站为辅。服务器中毒且导致蓝屏服务器数量为12台，均安装Windows 2000 server版本操作系统；操作员站多为windows xp系统。

经威努特安全攻防专家团队确认，此次中毒是多个病毒共存并通过打包的方式进行感染，该病毒组合通过方程式组织工具包进行病毒传播与扩散，主要利用Windows的“永恒之蓝”漏洞。

图 2   现场病毒种类

其中ID4 为挖矿病毒。【病毒命名中包含“Miner”一般为挖矿病毒】。

  一、攻击树分析

通过现场核查，该厂生产网与外网是物理隔离的，没有直接的通道连接互联网。通过互联网直接传播的可能性较低，同时利用威努特的监测审计平台对生产网网络流量进行建模、分析，找到异常流量的源头，根据在源头主机手动检查，初步分析病毒疑似通过U盘引入到生产内网，并逐步摸清病毒的攻击树。具体如下图所示：

图 3   病毒攻击树分析图

二、病毒攻击特点分析

利用威努特监测审计平台对网络流量进行采集，并对异常流量进行分析，如图4可以看到，有大量利用“永恒之蓝”漏洞，利用TCP 445端口进行持续性病毒传播。而现场使用的WIN 2000系统自身存在对于持续性连接的缺陷，导致现场的WIN 2000系统的服务器反复蓝屏，重启。

图 4   生产网异常流量展示图

       （注：因涉及保密，源地址和目标地址覆盖）

威努特技术服务专家在分析完病毒后，马上制定了解决方案进行处理。众所周知，处理利用“永恒之蓝”漏洞进行攻击的办法是通过更新系统的补丁，弥补漏洞。但在处理的过程中，遇到了几个难点，而这些难点都是由工业控制系统特点而引起的。

◇ 现场服务器配置低，系统老，无法承载杀毒软件升级、扫描时的资源占用负荷；

◇ 各服务器采用WIN 2000系统，微软已经停止服务，即无相对应的补丁；

◇ 现场生产环境中，业务厂家提给的手册中显示有业务需要利用共享的方式记录业务CSV文件，所以不能贸然关闭445端口。

在上述难点中，第3个难点是最不容易解决的。在咨询了厂家后，厂家也并不清楚具体使用哪个端口来进行完成记录CSV文件的功能。最终经过威努特技术服务专家和现场企业安全管理人员反复验证，最终通过关闭445端口，开启139端口，使得共享服务的通道继续保留，同时也阻止了利用“永恒之蓝”445端口进行攻击的行为。

注：①业务现场使用的DCS、PLC和组态软件因保密原因未在文章中描述；②现场处理病毒遇到的困难在多数工业生产场景中均存在，具体处理过程请咨询威努特。

  一、对于移动介质等外设管理不落地

多数工业企业采用管理手段对移动外设进行管理，但在生产业务过程中，尤其在业务运维过程中，往往为了便利而突破这层“管理手段”。缺少了技术手段去辅助管理手段落地。

二、杀毒软件的不适用

◇ 现场主要是WIN 2000系统均未安装杀毒软件，现场的反馈是无法进行安装，因为杀毒软件特别占用资源，一旦安装，很容易将服务器资源占尽，导致业务无法正常运行。

◇ 现场其他系统如WIN XP，WIN 2008系统的工程站、操作员站等虽部分安装了杀毒软件，但均未升级。现场反馈不敢升级病毒库，一旦升级病毒库，很有可能将正常业务软件误杀掉，导致业务无法正常运行。

威努特结合工业场景特点，自主研发的“拳头级”主机安全防护产品，采用白名单技术有效的解决工业现场遇到的主机安全类问题，解决用户的痛点。

图 5   主机安全产品特点

◇ Windows操作系统的高度兼容，支持windows 2000、windows 2003 R2、windows 2008（R1&R2）、windows 2012（R1&R2）、windows xp、windows 7. ；Linux 操作系统的可定制化适配，支持Redhat系列，凝思等标准内核版本。

◇ 采用白名单机制，无须升级病毒库，无须查、杀病毒动作，不占用资源，有效解决杀毒软件在工业场景下不适用的问题。

◇ 完善的外设控制机制，避免非可控移动存储机制在工业生产环境中使用，切断了外部恶意程序通过移动机制摆渡到生产业务网内的通道，通过技术有段有效的辅助管理手段落地，有效的解决了现场移动存储介质使用的难题。

除以上功能外，威努特主机安全防护产品还具备“双因子认证”“强制访问控制”“非法外联控制”“外设管控”“注册表防护”“安全日志审计”等功能。产品从合规和解决问题两个维度出发，既能符合《信息安全技术 网络安全等级保护基本要求》（等保2.0）和《工业控制系统安全防护指南》对于主机防护的要求，也能在业务生产现场切实解决用户的问题，为我国工业控制系统的发展起到积极的作用。目前威努特主机安全防护产品在工业生产场景中多次成功拦截勒索病毒。

威努特以网络安全等级保护2.0的 “一个中心，三重防护”为核心安全思想，同时将“白名单”为核心安全技术的贯穿始终，形成“符合工业场景网络安全白环境”的安全体系结构，既能满足网络安全等级保护2.0的技术基本要求，同时亦满足《中华人民共和国网络安全法》要求，最终形成“事前、事中、事后”+“可信、可管、可控”的安全防护体系。

图 6   控制系统安全体系设计

威努特技术服务团队针对工业生产场景中各类安全事件，包括网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件等提供及时、专业的安全应急响应及保障服务。通过远程或者现场专家服务，协助客户快速定位安全事件，准确溯源，第一时间抑制或者根除安全隐患，及时恢复客户业务。

同时威努特技术服务团队提供安全检查、安全渗透、风险评估、安全集成、安全培训、安全咨询等六项服务。在各项业务环节中融入威努特在工控安全领域的技术积累和安全产品，依托专业化团队为监管机构和行业用户提供国家关键信息基础设施安全监管支撑技术服务的支撑。