一場說走就走的“應急”行動——某石化公司遭挖礦病毒感染后的48小時
發布時間 2019-05-23“滴鈴鈴鈴~~~”啟明星辰工業互聯網事業部工程師的電話響起!
“我們兩套橫河DCS系統的操作員站、工程師站和OPC服務器的主機突然藍屏!重新啟動系統后,仍然無法恢復,尋求緊急技術援助!”
來自某石化公司儀控部的工作人員電話里的聲音異常急促……
解決客戶的網絡安全問題,就是我們的使命!
啟明星辰工業互聯網安全事業部聯合啟明星辰集團旗下辰信領創公司立即組建5人專項小組,業務、技術、產品線人員火速開啟救援行動,遠程指導客戶進行系統救援及保護現場病毒樣本數據。
5月11日凌晨1:00
救援工作爭分多秒,歷經3個小時的遠程支持后,基本確定事件原因為MsraMiner病毒感染。
遠程支持持續進行,但現場情況比較特殊,考慮到工控系統的復雜性及DCS系統的專業性,應急團隊決定乘坐當日最早航班飛往客戶現場。
5月11日早6:40
妥妥地一場說走就走的應急服務。
經過48小時的不懈努力,系統得到了修復,客戶的生產完全恢復了正常??蛻艚o應急團隊發來了真誠的感謝信,并邀請商討后期的加固措施與合作。

事件分析
根據對查看現場環境以及系統中數據分析,網絡中的主機確認為MsraMiner挖礦病毒的變種病毒感染,此挖礦病毒利用“永恒之藍”漏洞進行傳播,在傳播過程中,由于在Windows XP系統上漏洞利用失敗,導致機器藍屏。其病毒破壞原理為:
挖礦病毒MsraMine最新變種的病毒母體運行后釋放服務模塊,釋放的服務模塊名稱隨機拼湊,生成XXX.dll,服務名稱和釋放的服務dll文件名稱相同。

病毒服務名字會根據生成的dll名字命名,但是其描述一般都為Enable a commin infterace and object xxxx病毒文件,并將攻擊C:\Windows\NetworkDistribution 目錄下所有文件(攻擊的主要文件),主挖礦文件C:\Windows\system32\dllhostex.exe(或其他被注入的svchost的子進程)。
另外特選擇其中一個IP查看其全部會話,并對其連接端口進行統計,除445端口外,26931、45560端口連接量占比也相當可觀,并且該端口不屬于正常業務所需端口。隨即對該主機的本地文件與進程進行調查和分析,發現大量惡意文件。 經過分析判斷,26931、45560兩個端口分別為Webserver端口和礦池連接端口。其中Webserver提供相應組件下載,挖礦進程為“TrustedHostServices.exe”。
病毒的感染流程為:受害主機某工程師站中的病毒程序包括兩部分,分別為攻擊程序以及“挖礦”程序。其中攻擊程序會釋放出“永恒之藍”程序,同時搭建web服務器,通過啟明星辰的TSOC-NBA可以發現受害主機工程師站向受害主機操作員站以及OPC服務的445端口發起攻擊,被感染病毒的主機向受害主機的web服務器26931端口發起下載請求,
請求內容為MsraReportDataCache32.tlb,該程序會釋放出攻擊程序以及“挖礦”程序;同時,挖礦進程Trusted Host Services . exe進行挖礦,與礦池xmr.pool. minergate . com: 45560 建立連接,程序運行期間會訪問相應的domain以進行程序更新與礦池連接,在連接失敗后導致系統藍屏。
解決方案
1、應急處理:手工清除
2) 關閉445,139,135、3389等端口服務;
3) 刪除描述為Enable a commin infterace and object xxxx的服務;
4) 刪除此服務對應的動態鏈接庫文件;
5) 結束svchost.exe進程(TaskIndexer.exe或dllhostex.exe進程的父進程);
6) 結束TaskIndexer.exe或dllhostex.exe進程,并刪除其文件;
7) 刪除C:\Windows\NetworkDistribution目錄下所有文件;
8) 安裝殺毒軟件保持防御開啟,及時升級病毒庫。
手動安裝“永恒之藍”漏洞補丁請訪問以下頁面:
https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx
http://www.catalog.update.microsoft.com/search.aspx?q=kb4012212
其中WinXP,Windows Server 2003用戶請訪問:
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
部分工具:
啟明星辰的永恒之藍熱修復工具
啟明星辰PChunter惡意軟件手工檢測工具
2、工控系統專業查殺工具
工業控制系統在防病毒建設上普遍存在:設備性能普遍偏低、windows老版本操作系統居多、硬件或業務軟件在實施防病毒后不得受任何影響、防病毒軟件必須能夠有效防御病毒等問題,啟明星辰為滿足工控行業防病毒需求,研發出景云安全能力輕量化工控防護版。采用全程無驅動無hook、只掃不殺以及進程/網絡白名單等符合工控環境的機制,幫助工控企業在防御各種新型病毒和蠕蟲的攻擊的同時,能夠兼顧工控設備的穩定運行,保障用戶業務。
1) 集中管控:通過景云級聯中控平臺,提供可伸縮的跨平臺病毒防護,集中管控各級各類泛終端,滿足企業級用戶對防病毒軟件統一管理的需求。
2) 海量云查:可為用戶按需定制云知識庫,智能自運營云端病毒特征,使用戶在擁有等同于公有云的病毒查殺能力的同時,又通過私有化的方式徹底杜絕數據泄露。
3) 智能鑒毒:將機器學習和大數據方法融入到防病毒系統中,能夠為大型用戶實現自動的樣本捕獲、樣本分類、樣本特征提取、病毒庫更新流程,以便能夠快速響應互聯網層出不窮的計算機病毒。
4) 強效性能:在降低用戶終端資源消耗同時,結合人工智能和大數據技術,能使病毒查殺更迅速、更精準。能夠有效防御最流行的病毒木馬、黑客入侵和0day、APT等未知威脅,更有利于實施,更方便安裝和維護。
5) 智能自學習:通過即時取樣、歷史數據分析、多規則合并等方式建立進程/網絡白名單規則。在設定標準設備之后,景云支持自動調整規則內容以適應業務系統升級造成的白名單列表擴容等需求,幫助用戶快速建立符合自身工控環境的白名單。
3、主機加固
采用啟明星辰的“天珣內網安全風險管理與審計系統”,功能如圖:

安全無小事
向奮斗在一線的應急服務人員致敬!