【警惕】 MsraMiner挖礦病毒感染多個重要行業 啟明星辰推出工控網絡安全加固方案
發布時間 2019-03-203月上旬,接到用戶的電話,其OPC服務器、操作站、工程師站出現反復重啟、工作不正常狀態,經過對部分服務器修復后針對日志分析,發現這些服務器、操作站、工程師站被感染了MsraMiner挖礦病毒,后經專業查殺軟件,也證實了確實是該病毒。

MsraMiner挖礦病毒傳播過程分析
經過溯源分析,MsraMiner病毒,利用永恒之藍漏洞來感染,通過 SMB 445 端口傳播,從而致使被感染的計算機、服務器、操作站、工程師站等CPU占用過高不能正常工作,導致DCS系統癱瘓。病毒突破邊界防御后,蠕蟲式傳播:樣本自帶 Web Server提供自身惡意代碼下載。樣本擴散主要靠失陷主機之間的 Web Server 或 Socket 傳輸,同時提供了 C&C 端獲取樣本作為后備機制。
由此可以分析,符合以下特征的機構將更容易遭到攻擊者的侵害:Windows服務器、終端未部署或未及時更新安全加固和殺毒軟件。
MsraMiner挖礦病毒傳播途徑
● OA企業網服務器被感染的可能途徑
1) 企業級的Internet防火墻被攻擊,穿透企業防火墻傳入內網;
2) 外部U盤被感染后傳入內網;
3) 通過郵件攜帶病毒或惡意郵件被傳入;
4) 外部文件感染或內置被傳入。
● OA網傳入生產控制網途徑
1) 辦公網通過MES隔離設備,如工業防火墻,由于開放了445端口被傳入;
2) 外設,如U盤或者移動硬盤被感染后被帶入;
3) 人為私自外聯、私自采用無線熱點傳入。
緊急解決方案
針對本次攻擊事件,建議的緊急解決方案如下:
1) 對于已被病毒感染的服務器、操作站等盡快下線隔離,并聯系專業技術服務機構進行日志及樣本分析;
2) 在企業級防火墻、OA、MES以及生產控制網等網絡邊界工業防火墻上全局關閉445端口或445端口只對特定IP開放;
3) 開啟Windows防火墻,盡量關閉3389、445、139、135等不用的高危端口;
4) 每臺服務器設置唯一口令,且復雜度要求采用大小寫字母、數字、特殊符號混合的組合結構,口令位數足夠長(15位、兩種組合以上)。
工控網絡安全整改加固參考方法
1、主機安全加固措施
● 對辦公網等服務器、終端防護
1) 所有服務器、終端應強行實施復雜密碼策略,杜絕弱口令;
2) 杜絕使用通用密碼管理所有機器;
3) 安裝殺毒軟件、終端安全管理軟件并及時更新病毒庫;
4) 及時安裝漏洞補??;
5) 開啟Windows防火墻,盡量關閉3389、445、139、135等不用的高危端口;
6) 服務器開啟關鍵日志收集功能,為安全事件的追蹤溯源提供基礎。
● 對生產控制網等服務器、終端、操作站、工程師站防護
1) 所有OPC服務器、操作站、工程師站、終端強行實施復雜密碼策略,杜絕弱口令,且杜絕使用通用密碼管理所有機器;
2) 在重要的服務器、操作站、工程師站上安裝進過安全驗證以及可用性驗證的終端安全防護與殺毒軟件、終端安全管理軟件并及時更新必要的病毒庫(必要時需經過DCS廠家認可的病毒庫);
3) 安裝經過測試驗證,必要時需經過DCS廠家認可的重要漏洞補??;
4) 開啟Windows防火墻,盡量關閉3389、445、139、135等不用的高危端口;
5) 服務器開啟關鍵日志收集功能,為安全事件的追蹤溯源提供基礎。
2、全方位的安全防護策略
工控網絡安全是一項系統工程,需要多方協同參與,在整個工控系統生命周期中持續實施、不斷改進。實現對工控網絡安全實現全方位的防護策略:
1. 建立健全的工控安全生產責任制,不斷完善企業工控安全管理制度、加強企業人員管理、供應鏈管理及系統運維管理;
2.認真研究和討論IEC 62443 標準和《工業控制系統信息安全防護指南》,檢查企業的工控系統,對工廠整體的運行情況進行評估,發現可能存在的隱含漏洞,和工控網絡安全團隊一起討論信息安全策略和解決方案;
3. 從工控系統全生命周期做好安全防護。由于工業生產各業務環節及相關系統之間的連接越來越緊密,工業控制系統在設計、選型、建設、測試、運行、檢修、廢棄各階段均需要做好防護工作,防護措施應當貫穿工控系統整個生命周期;
4. 從系統與設備安全、網絡安全、主機安全和數據安全方面建立綜合防護能力。傳統的圍堵查殺被動式防護已經不能應對日益嚴峻的安全形勢,要在工控系統與設備、工業網絡、工業主機、工業數據各核心要素上都建立主動防護能力,大幅提高黑客攻擊工控系統的難度。
啟明星辰的專有工具
景云個人版
http://www.v-secure.cn/?v=ktools
景云個人版升級包下載
http://www.v-secure.cn/?v=upgrade