www.e4938.cn-老师你下面太紧了拔不出来,99re8这里有精品热视频免费,国产第一视频一区二区三区,青青草国产成人久久

<button id="60qo0"></button>

<strike id="60qo0"></strike>
<del id="60qo0"></del>
<fieldset id="60qo0"><menu id="60qo0"></menu></fieldset>
  • 發(fā)電廠工控信息安全故障案例及分析處理

    2018-03-15 15:07:15 大云網(wǎng)  點(diǎn)擊量: 評(píng)論 (0)
    DCS和PLC系統(tǒng)部分工控機(jī)出現(xiàn)重啟或藍(lán)屏現(xiàn)象事件分析及處理2017年8月15日,某廠發(fā)生了生產(chǎn)大區(qū)、管理大區(qū)等信息安全事件,相繼DCS和PLC系統(tǒng)部

    DCS和PLC系統(tǒng)部分工控機(jī)出現(xiàn)重啟或藍(lán)屏現(xiàn)象事件分析及處理

    2017年8月15日,某廠發(fā)生了生產(chǎn)大區(qū)、管理大區(qū)等信息安全事件,相繼DCS和PLC系統(tǒng)部分工控機(jī)出現(xiàn)重啟或藍(lán)屏現(xiàn)象。經(jīng)對(duì)全廠控制系統(tǒng)的服務(wù)器、工程師站、歷史站、接口機(jī)、操作員站進(jìn)行掃描,發(fā)現(xiàn)病毒文件tasksche.exe、mssecsvc.exe、qeriuwjhrf存在于電腦C:\Windows目錄下,且病毒程序執(zhí)行時(shí)間和8月15日晚電腦藍(lán)屏死機(jī)時(shí)間吻合。分析認(rèn)為本次事件由于病毒感染引起:

    (1)病毒行為分析

    目前該病毒分別在電廠安全I(xiàn) 區(qū)、安全I(xiàn)I 區(qū)、管理大區(qū)發(fā)現(xiàn)均有主機(jī)感染“變種勒索病毒”,文件信息如下:

    病毒文件:mssecsvc.exe 大小: 3723264 字節(jié)

    MD5:0C694193CEAC8BFB016491FFB534EB7C

    該病毒變種樣本據(jù)確認(rèn)最早在互聯(lián)網(wǎng)發(fā)現(xiàn)于2017年6月2日,感染后會(huì)釋放文件:c:\windows\mssecsvc.exe、c:\windows\qeriuwjhrf、c:\windows\tasksche.exe,開啟服務(wù)并運(yùn)行,但由于變種版本只會(huì)通過TCP:445端口感染其它主機(jī),出現(xiàn)間斷性攻擊主機(jī)藍(lán)屏死機(jī)重啟,影響生產(chǎn)控制系統(tǒng)運(yùn)行,釋放的加密程序文件tasksche.exe,經(jīng)分析為文件包壓縮異常,無法運(yùn)行加密程序,變成真正的“勒索病毒”,所以沒有導(dǎo)致更嚴(yán)重的生產(chǎn)系統(tǒng)數(shù)據(jù)加密的問題發(fā)生(包括生產(chǎn)資料、邏輯文件、SIS數(shù)據(jù)庫加強(qiáng)等)。

    (2)病毒體分析

    分別對(duì)mssecsvc.exe、tasksche.exe和qeriuwjhrf病毒文件進(jìn)行反匯編分析與測試。得到以下結(jié)論:

    mssecsvc.exe創(chuàng)建服務(wù)mssecsvc2.0,釋放病毒文件tasksche.exe和qeriuwjhrf文件并啟動(dòng)exe文件,mssecsvc2.0服務(wù)函數(shù)中執(zhí)行感染功能,執(zhí)行完畢后等待24小時(shí)退出,啟動(dòng)mssecsvc.exe,再循環(huán)向局域網(wǎng)的隨機(jī)ip發(fā)送SMB漏洞利用代碼。

    通過對(duì)其中的發(fā)送的SMB包進(jìn)行分析,此次病毒發(fā)行者正是利用了2016年盜用美國國家安全局(NSA)自主設(shè)計(jì)的Windows系統(tǒng)黑客工具Eternalblue。

    經(jīng)過對(duì)多方求證和數(shù)據(jù)重組分析得出,明確該病毒使用ms17-010漏洞進(jìn)行了傳播,一旦某臺(tái)Windows系統(tǒng)主機(jī)中毒,相鄰的存在漏洞的網(wǎng)絡(luò)主機(jī)都會(huì)被其主動(dòng)攻擊,整個(gè)網(wǎng)絡(luò)都可能被感染該蠕蟲病毒,受害感染主機(jī)數(shù)量最終將呈幾何級(jí)的增長。其完整攻擊流程如下該病毒攻擊流程如下:

    在反匯編過程中,發(fā)現(xiàn)其主傳播文件mssecsvc.exe其中釋放出的tasksche.exe為破損文件,無法正常執(zhí)行病毒程序,故此次病毒無法完成最關(guān)鍵動(dòng)作,無法加密文件以達(dá)到勒索的目的。因此在本次安全事故中,并未造成實(shí)質(zhì)性、災(zāi)害性的破壞的安全事件。

    (3)事件調(diào)查

    影響范圍:涉及生產(chǎn)大區(qū)、管理大區(qū)。

    生產(chǎn)大區(qū)情況:攻擊除#1機(jī)組DCS、NCS、電量之外的I、II區(qū)幾乎所有的特定版本的Windows主機(jī),包括DCS、輔控、各接口機(jī)、SIS,由于各區(qū)域通過接口機(jī)感染,導(dǎo)致各接口機(jī)隔離生產(chǎn)系統(tǒng)相互交叉感染,導(dǎo)致病毒全面大爆發(fā),現(xiàn)場確認(rèn)第一次主機(jī)攻擊2017年8月15日21:20左右進(jìn)行。

    管理大區(qū)情況:目前在辦公區(qū)域員工電腦發(fā)現(xiàn)1臺(tái)主機(jī)感染“勒索病毒變種”,感染時(shí)間在2017年8月15日 23:11,與病毒樣本為生產(chǎn)區(qū)同一版本,該主機(jī)未打補(bǔ)丁及病毒庫,發(fā)現(xiàn)多個(gè)木馬病毒感染的情況;另外1臺(tái)為輸煤輔控監(jiān)控主機(jī)為2017年8月17日 14:57,同樣是未打補(bǔ)丁及未安裝病毒軟件。

    由于該“勒索病毒變種”感染自身行為特點(diǎn)、生產(chǎn)大區(qū)與管理大區(qū)存在感染同一病毒的情況,分析原因如下:

    a)直接攻擊原因分析2種:通過移動(dòng)存儲(chǔ)介質(zhì)感染和通過網(wǎng)絡(luò)感染(這種可能性比較高),后者可能又分為2種情況:

    感染病毒的主機(jī)與生產(chǎn)大區(qū)主機(jī)存在(臨時(shí))網(wǎng)絡(luò)交叉,這種情況可能性比較低(只有已配置特定雙網(wǎng)卡情況下才會(huì)發(fā)生,直連網(wǎng)絡(luò)不可達(dá),現(xiàn)場排查唯一的雙網(wǎng)卡是值長站辦公主機(jī),但是與調(diào)度三區(qū)非同時(shí)連接)。目前已排查重點(diǎn)區(qū)域:值長站辦公主機(jī)、NCS相關(guān)主機(jī),包括錄波,也有感染非勒索病毒)、輔控辦公主機(jī)(輸煤監(jiān)控有1臺(tái)感染勒索病毒);

    感染病毒的電廠內(nèi)部、工控廠家運(yùn)維筆記本,及生產(chǎn)區(qū)電腦在管理區(qū)維護(hù)后接入生產(chǎn)大區(qū)網(wǎng)絡(luò),這種情況可能性比較高。

    b)可能性高攻擊路徑原因分析2種情況:外部人員運(yùn)維筆記本同時(shí)/非同時(shí)接入生產(chǎn)大區(qū)與管理大區(qū)網(wǎng)絡(luò)并感染生產(chǎn)大區(qū)與管理大區(qū)主機(jī),或內(nèi)部人員運(yùn)維筆記本及近期維護(hù)工控系統(tǒng)主機(jī)。接入過管理大區(qū)辦公網(wǎng)的運(yùn)維筆記本又接入生產(chǎn)大區(qū),或接入過管理大區(qū)辦公網(wǎng)的維護(hù)工控系統(tǒng)主機(jī)又接入生產(chǎn)大區(qū)。

    注:由于外網(wǎng)IPS許可過期且無日志記錄,內(nèi)網(wǎng)無入侵檢測設(shè)備,無法排除最早感染源。

    (4)應(yīng)急處理方式

    a)切斷一切網(wǎng)絡(luò)連接;

    b)停止系統(tǒng)服務(wù)里的傳播服務(wù)mssecsvc2.0,及時(shí)刪除C:\Windows\mssecsvc.exe、C:\Windows\tasksche.exe和C:\Windows\qeriuwjhrf病毒源文件;

    以上動(dòng)作在現(xiàn)場應(yīng)急處理時(shí)采用自制程序手動(dòng)完成;

    c)根據(jù)不同系統(tǒng)版本分別安裝ms17-010安全補(bǔ)丁程序。

    d)有效性測試

    按該方法對(duì)受感染的計(jì)算機(jī)進(jìn)行病毒查掃之后,通過試驗(yàn)與測試發(fā)現(xiàn),使用抓包程序抓包,并未發(fā)現(xiàn)有異常的網(wǎng)絡(luò)數(shù)據(jù)請(qǐng)求和流量產(chǎn)生,此現(xiàn)可以證明該方法有效可行。

    (5)安全建議:

    a)區(qū)域防護(hù):各安全I(xiàn)區(qū)的系統(tǒng)應(yīng)該進(jìn)行區(qū)域之間的加強(qiáng)訪問控制,應(yīng)實(shí)現(xiàn)DCS機(jī)組之間、輔控等各區(qū)域之間邏輯隔離,防火墻應(yīng)該支持端口級(jí)(目前I/II防火墻需要升級(jí),不支持自定義端口),實(shí)施后可以限制在區(qū)域范圍內(nèi)。

    b)網(wǎng)絡(luò)行為審計(jì):部署管理大區(qū)及生產(chǎn)大區(qū)各部署入侵檢測系統(tǒng)(目前包括管理大區(qū)核心交換未部署IDS;互聯(lián)網(wǎng)邊界有部署IPS但已過期),實(shí)施后快速定位網(wǎng)絡(luò)攻擊爆發(fā)的源頭。

    c)邊界安全提升:加強(qiáng)管理區(qū)主機(jī)補(bǔ)丁升級(jí)、防病毒統(tǒng)一管理(部署終端安全軟件);生產(chǎn)區(qū)邊界非操作員站(如接口機(jī))開啟本地防火墻策略、補(bǔ)丁等即可以防護(hù)本次攻擊,也可以考慮安全防護(hù)軟件,實(shí)施后,管理區(qū)可以避免感染、快速定位主機(jī)爆發(fā)的源頭;生產(chǎn)區(qū)主機(jī)邊界如接口機(jī)有一定防護(hù)能力;

    d)移動(dòng)運(yùn)維管控:加強(qiáng)內(nèi)部及外部人員的筆記本技術(shù)安全管控,采用網(wǎng)絡(luò)隔離設(shè)備防止網(wǎng)絡(luò)攻擊或?qū)S霉た剡\(yùn)維筆記本接入。

    e)主機(jī)安全提升:

    加強(qiáng)移動(dòng)介質(zhì)的管理,通過設(shè)置BIOS、注冊(cè)表參數(shù)禁用U盤或者采用安防系統(tǒng)隔離U盤,控制系統(tǒng)程序、數(shù)據(jù)備份采用光盤形式。

    控制系統(tǒng)工控機(jī)禁止使用USB口或者拆除不必要的USB口,防止移動(dòng)設(shè)備等通過USB口接入網(wǎng)絡(luò)內(nèi)。

    檢查各控制系統(tǒng)正常運(yùn)行時(shí)電腦需開啟的服務(wù)和端口,關(guān)閉不必要的服務(wù)和端口。

    定期對(duì)控制系統(tǒng)主機(jī)進(jìn)行補(bǔ)丁升級(jí)等。

    大云網(wǎng)官方微信售電那點(diǎn)事兒

    責(zé)任編輯:仁德財(cái)

    免責(zé)聲明:本文僅代表作者個(gè)人觀點(diǎn),與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí),對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾,請(qǐng)讀者僅作參考,并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。
    我要收藏
    個(gè)贊
    ?
    亚洲品质自拍视频| 久久人人爽h人人爽人人片av| 色欲色香天天天综合VVV| 日本欧美国产精品第一页久久| 国产精品成人一级黄国产黄三级看三级| 成人区人妻精品一区二区不卡| 大香中文字幕伊人久热大人妻| 国产亚洲精品观看| 亚洲午夜久久久精品电影院| GOGOGO高清在线观看中文版|