勒索病毒是目前比較流行的軟件病毒，它不僅在我們?nèi)粘５木W(wǎng)絡(luò)中傳播，也逐漸侵蝕著工業(yè)網(wǎng)絡(luò)。但是隨著工業(yè)的發(fā)展，工業(yè)病毒的傳播也越來越廣泛。針對來自工業(yè)的病毒，我們又該如何去防范呢？

1　引言

隨著信息技術(shù)的發(fā)展，計算機技術(shù)越來越多地應(yīng)用于社會生產(chǎn)生活中，與此同時惡意軟件也在不斷發(fā)展進化。早期的惡意軟件僅僅出于個人炫耀或技術(shù)探索，互聯(lián)網(wǎng)時代“用戶流量”的巨大價值吸引惡意軟件利用劫持虛擬資產(chǎn)、流量、互聯(lián)網(wǎng)推廣作弊等手段謀取間接利益，隨著區(qū)塊鏈加密貨幣的流行，惡意軟件再一次進化直接向受害者伸手要錢。

隨著破壞工業(yè)設(shè)施的Stuxnet、加密用戶數(shù)據(jù)進行勒索的WannaCry等惡意軟件曝光，來自惡意軟件的威脅已經(jīng)觸及工控系統(tǒng)，對于工控系統(tǒng)的運營管理者，有必要了解惡意軟件，了解工控系統(tǒng)正面臨的信息安全風(fēng)險。

2　惡意軟件從炫技到勒索病毒的演進

推動惡意軟件進化的背后是賽博世界中利益輸送方式的進化。在計算技術(shù)發(fā)展的早期，各種應(yīng)用普及程度有限，潛在的惡意軟件作者難以通過傳播病毒廣泛牟利，不妨假設(shè)有人試圖制造病毒擴散，隨后在市場上出售針對性的殺毒工具，這種操作證據(jù)直接明顯，作者可能都猜不到發(fā)財和被捕哪件事會先發(fā)生，所以這個時代的病毒才會顯得相對“純粹”。

到了流量時代，用戶在互聯(lián)網(wǎng)上的活動、消費對應(yīng)著廣告和貿(mào)易等現(xiàn)實世界中有價值的資源，為了獲得更多收益，服務(wù)商開始為“流量”出價。例如經(jīng)營電子商務(wù)的公司，為了獲取更多的客戶開始鼓勵推廣者，每拉來一位網(wǎng)絡(luò)訪客給予一定的流量分成，很快惡意軟件開始劫持網(wǎng)絡(luò)中的流量，通過植入病毒木馬、劫持HTTP、劫持DNS等方式，綁架流量從服務(wù)商處騙取收益。這種方式具備一定的隱蔽性、難以察覺并且普通人即便了解相關(guān)技術(shù)，也只能追蹤到一個推廣者ID，追查這個ID是誰已經(jīng)不是普通人的能力范圍了。萬變不離其宗，流量時代的利益輸送仍然從服務(wù)商處以現(xiàn)金方式結(jié)算，通過追查相關(guān)資金和信息還是可以找出惡意軟件作者，在公安機關(guān)、安全廠商等多方努力和相關(guān)法律法規(guī)逐漸健全的情況下流量劫持惡意軟件已經(jīng)得到控制。

如今勒索病毒已經(jīng)成為互聯(lián)網(wǎng)上逐利惡意軟件的代表，勒索病毒并不是近年來的發(fā)明，早在1989年，就有勒索病毒在運行后將計算機C盤加密，顯示信息聲稱用戶的軟件許可過期，要求用戶向“PCCyborg”公司位于巴拿馬的郵箱寄一筆錢以解鎖系統(tǒng)。勒索病毒流行依托的其實是區(qū)塊鏈技術(shù)衍生出來的加密貨幣。在2008年金融危機后，美國實行量化寬松，全球各大央行放水，一種基于P2P網(wǎng)絡(luò)的加密貨幣開始流行，也就是比特幣。比特幣具備不依靠特定貨幣機構(gòu)發(fā)行的特性，數(shù)據(jù)從客戶端到客戶端傳輸，沒有所謂的清算中心，也就是說比特幣的傳送不受任何一個機構(gòu)的監(jiān)管，具備一定的匿名特性。只要建立網(wǎng)絡(luò)連接加密貨幣可以從世界上任何兩個地方之間傳送。具備這一特性的加密貨幣不止比特幣一種，但這一特性，極為適合勒索病毒使用。勒索病毒感染成功后迅速加密用戶數(shù)據(jù)，隱藏解密數(shù)據(jù)所必須的密鑰，然后向用戶發(fā)出通知，要求支付加密貨幣贖金。拒絕支付贖金則密鑰可能被銷毀，所有資料可能無法解密。而惡意軟件作者躲在加密貨幣后，追蹤難度可想而知，正因如此惡意軟件作者才敢對工控系統(tǒng)伸手。

3  勒索病毒如何進入工控系統(tǒng)

勒索病毒和其他目的的惡意軟件的主要區(qū)別是目的不同，惡意軟件Stuxnet的主要目的是發(fā)送惡意指令損壞設(shè)備，勒索病毒W(wǎng)annaCry的主要目的則是加密受害者設(shè)備上的數(shù)據(jù)，向用戶索要解密贖金，但針對工控系統(tǒng)的惡意軟件在傳播方式上是相似的。

工控系統(tǒng)在設(shè)計之初通常并未考慮到暴露在互聯(lián)網(wǎng)上或與互聯(lián)網(wǎng)存在間接連接，其安全性主要來自于隔離。但隨著計算機和網(wǎng)絡(luò)技術(shù)的發(fā)展和提高效率的需求，工控系統(tǒng)的封閉特性正在逐漸被打破，因此存在一些安全隱患。

3.1　利用設(shè)備漏洞遠程入侵

由于配置錯誤或者管理上的問題，可能存在一小部分工控系統(tǒng)設(shè)備直接暴露于互聯(lián)網(wǎng)中，如果設(shè)備上存在漏洞，惡意軟件可能通過遠程利用漏洞的方式感染工控系統(tǒng)設(shè)備，實施勒索或其他惡意行為。

3.2　繞過工控系統(tǒng)外部防火墻

在一般情況下工控系統(tǒng)與外部網(wǎng)絡(luò)至少存在防火墻等安全設(shè)施保護，惡意軟件可能通過郵件、U盤等渠道，通過工控系統(tǒng)運營人員攜帶的設(shè)備帶入內(nèi)網(wǎng)，以繞過工控系統(tǒng)外部防火墻進入工控網(wǎng)絡(luò)。

3.3　通過供應(yīng)鏈攻擊進入工控網(wǎng)絡(luò)

將設(shè)備帶入工控系統(tǒng)的除了運營管理人員還有相應(yīng)軟硬件供應(yīng)商，勒索病毒也可能通過預(yù)先感染供應(yīng)商設(shè)備在工控系統(tǒng)中安裝新設(shè)備時將勒索病毒帶入工控系統(tǒng)，再利用勒索蠕蟲病毒中內(nèi)置的漏洞利用代碼在工控系統(tǒng)內(nèi)網(wǎng)中進行橫向滲透，發(fā)現(xiàn)并感染存在漏洞和脆弱性問題的工控系統(tǒng)設(shè)備。

4  勒索病毒對工控系統(tǒng)的破壞

4.1　加密文件

在目前已經(jīng)曝光的案例中，勒索病毒主要感染W(wǎng)indows設(shè)備，將設(shè)備用戶文件進行加密，覆蓋或破壞原始文件，并且絕大多數(shù)勒索病毒都具備蠕蟲病毒的特性，會主動對被感染設(shè)備同網(wǎng)絡(luò)中的其他設(shè)備進行掃描，通過內(nèi)網(wǎng)和感染設(shè)備發(fā)現(xiàn)存在漏洞和脆弱性的設(shè)備進行擴散。

4.2　竊取機密

在利用漏洞或其他入侵手段進入工控系統(tǒng)后，惡意軟件可以根據(jù)其需要搭載不同的攻擊載荷，獲取密碼、控制列表、PLC程序等機密信息并加密，嘗試傳回惡意軟件作者達到勒索或其他惡意目的。

4.3　鎖定設(shè)備

勒索病毒可以利用工控系統(tǒng)設(shè)備的漏洞或弱口令等脆弱性問題，控制PLC等工控系統(tǒng)設(shè)備，修改認證口令或利用固件驗證繞過漏洞刷入惡意固件并禁用設(shè)備固件更新功能，獲取設(shè)備的控制權(quán)。

4.4　物理攻擊

在某些特殊場景下，勒索病毒可以控制PLC，執(zhí)行某些會對物理世界造成威脅的動作，例如鎖定閥門或修改上報的參數(shù)，欺騙操作人員。研究人員已經(jīng)在模擬環(huán)境中實現(xiàn)勒索病毒控制水處理廠，關(guān)閉城市供水或增加氯濃度污染城市用水等攻擊行為。

萬幸的是，目前已公開的案例中勒索病毒對工控系統(tǒng)的威脅還停留在加密文件勒索階段，尚未造成人員傷亡或無法挽救的重大財產(chǎn)損失。據(jù)報道全球最大的芯片制造商臺積電曾因勒索病毒W(wǎng)annaCry攻擊生產(chǎn)線上的自動物料搬運系統(tǒng)（AMHS）造成停工，預(yù)測將對當年第三季營收造成3%的影響，隨后臺積電對受影響的設(shè)備進行斷網(wǎng)處置，并表示因停工造成的產(chǎn)能影響可以彌補。

5  工控系統(tǒng)防御勒索病毒的解決方案

勒索病毒與其他工控環(huán)境下的惡意軟件一樣，利用工控環(huán)境中的脆弱性問題及設(shè)備漏洞實施惡意行為，在預(yù)防上與其他工控惡意軟件一致，主要體現(xiàn)在以下幾點：

5.1 資產(chǎn)識別與維護

對工控系統(tǒng)網(wǎng)絡(luò)中的設(shè)備進行識別，發(fā)現(xiàn)存在安全隱患或者存在已知漏洞的設(shè)備，及時修復(fù)，對于不便停機升級的設(shè)備進行必要的隔離保護，關(guān)閉工控系統(tǒng)網(wǎng)絡(luò)中所有非必要的通訊端口。

5.2 準入控制

準入控制指對網(wǎng)絡(luò)的邊界進行保護，對接入網(wǎng)絡(luò)的終端和使用進行合規(guī)檢查，杜絕不安全的電腦、U盤等設(shè)備未經(jīng)充分檢查接入工控系統(tǒng)。

5.3 制訂備份與恢復(fù)計劃

對于生產(chǎn)資料和系統(tǒng)進行備份，將備份文件用單獨的設(shè)備離線儲存或保存到安全的環(huán)境中，并準備恢復(fù)計劃。

5.4 事后追查能力

作為以防萬一的保障，確保在發(fā)生攻擊事件后有能力追查攻擊來源、造成的影響和所有設(shè)備是否已經(jīng)被完全恢復(fù)。

5.5 安全培訓(xùn)

完全依賴安全設(shè)備或管理制度均不可取。加強工控系統(tǒng)安全需兩者結(jié)合，工控系統(tǒng)操作人員的安全意識非常重要，應(yīng)加強安全培訓(xùn)，相關(guān)操作人員杜絕下載不明文件、點擊不明鏈接或使用未經(jīng)充分安全檢查的設(shè)備接入工控系統(tǒng)等高危操作。

6  基于損失控制的勒索病毒處置探討

在對于勒索病毒的處置中，工控系統(tǒng)與普通辦公設(shè)備不同。工控系統(tǒng)冗余量小，即便是部分設(shè)備感染勒索病毒也可能造成整個生產(chǎn)線停工甚至工控系統(tǒng)中的設(shè)備物理安全受到威脅。這種情況下時間就是金錢甚至生命，從減少損失的角度來看，確定恢復(fù)系統(tǒng)正常運轉(zhuǎn)的代價遠高于支付贖金，工控系統(tǒng)的運營管理者很難有其他選擇。

當勒索事件發(fā)生后，冷靜迅速處理，判明情況。首先將被攻擊的異常設(shè)備進行斷網(wǎng)斷電隔離，中斷內(nèi)網(wǎng)通信避免勒索病毒出現(xiàn)擴散，隨后聯(lián)系安全廠商及有關(guān)機構(gòu)對設(shè)備中的病毒樣本進行取樣分析，盡量了解惡意軟件意圖和已經(jīng)造成的影響，并著手修復(fù)工控系統(tǒng)及早恢復(fù)正常工作，查明勒索病毒入侵情況后，應(yīng)將染毒內(nèi)網(wǎng)中的設(shè)備進行離線修復(fù)，避免因安裝補丁等修復(fù)過程中勒索病毒借機入侵。

勒索病毒的解密也存在多種可能性，首先勒索病毒的加密方式多種多樣，攻擊者可能掌握難以破解的密鑰，這種情況下支付贖金尚有可能取回解密密鑰。也存在另一種可能性，病毒已經(jīng)對文件造成了不可逆的破壞，即便支付贖金也只能是增加損失。

亦有可能感染的病毒只是采用了一些在本地對文件簡單加密的方法，例如對文件中的部分內(nèi)容進行可逆加密，通過對勒索病毒的逆向分析可能找出文件恢復(fù)的解決方法，制作出對應(yīng)的解密工具。

在分析檢出的勒索病毒加密原理后，可能有找回文件的方法，在一些情況下原始文件并未被直接加密，勒索病毒可能先創(chuàng)建了加密后的副本再刪除了原始文件，在這種情況下采用數(shù)據(jù)恢復(fù)技術(shù)有可能恢復(fù)部分原始文件，挽回損失，切記盡可能避免對已經(jīng)被勒索病毒加密的設(shè)備做不必要的操作，以免原始文件被二次覆蓋無法恢復(fù)。

在工控系統(tǒng)這一特殊環(huán)境下，對運營管理人員的要求更高于普通IT網(wǎng)絡(luò)中的勒索病毒應(yīng)急響應(yīng)，當工控系統(tǒng)設(shè)備在勒索病毒攻擊下出現(xiàn)異?；蛲[時，其影響可能在業(yè)務(wù)邏輯中的上下游產(chǎn)生擴散影響，這需要工控系統(tǒng)的運營管理人員在預(yù)防之外對可能發(fā)生的勒索病毒爆發(fā)事件做好充分準備，并且與安全廠商及有關(guān)機構(gòu)建立通暢的溝通渠道，在需要時以生命財產(chǎn)安全為第一要務(wù)，合理處置工控系統(tǒng)中的勒索病毒事件。