【工業網絡靶場典型應用分享】製造業勒索病毒場景仿真及演練 - 工控新聞自動化新聞中華工控網

返回工控網首頁

中國自動化學會專家谘詢工作委員會指定宣傳媒體

免費注冊

中華工控網

廣告服務 | 客服中心

新聞詳情

【工業網絡靶場典型應用分享】製造業勒索病毒場景仿真及演練

http://www.kadhoai.com.cn 2026-04-23 12:27:19

2017年，“WannaCry”勒索病毒橫空出世，席卷全球，此後六年勒索病毒猶如洪水泛濫般一發不可收拾，尤其是在製造業。

勒索病毒攻擊手段逐漸多樣化（木馬、郵件、漏洞、捆綁），國內外製造業成為頭號攻擊對象，曾有行業內用戶表示“zhongguozhao，haihaoyoubeifen，danruhefangfanhaishibutaiqingchu，danxinbeiqiequdexinxixieluchuqu，yebuxiangbingduzaineiwangzhongtoutouchuanbo，xingyeliyuelaiyueduotongxingdoukaishizhongshifangfan，womenyexiwangnenghaohaofangfan”。

經(jing)烽(feng)台(tai)科(ke)技(ji)在(zai)工(gong)業(ye)網(wang)絡(luo)靶(ba)場(chang)中(zhong)的(de)實(shi)踐(jian)研(yan)究(jiu)分(fen)析(xi)顯(xian)示(shi)，靶(ba)場(chang)仿(fang)真(zhen)技(ji)術(shu)可(ke)針(zhen)對(dui)不(bu)同(tong)業(ye)務(wu)層(ceng)設(she)備(bei)，搭(da)建(jian)環(huan)境(jing)多(duo)維(wei)度(du)高(gao)度(du)仿(fang)真(zhen)。工(gong)業(ye)網(wang)絡(luo)靶(ba)場(chang)的(de)仿(fang)真(zhen)環(huan)境(jing)內(nei)嵌(qian)完(wan)整(zheng)的(de)應(ying)急(ji)響(xiang)應(ying)步(bu)驟(zhou)，在(zai)攻(gong)擊(ji)者(zhe)利(li)用(yong)勒(le)索(suo)病(bing)毒(du)對(dui)企(qi)業(ye)進(jin)行(xing)攻(gong)擊(ji)時(shi)，製(zhi)造(zao)業(ye)企(qi)業(ye)可(ke)根(gen)據(ju)攻(gong)擊(ji)者(zhe)勒(le)索(suo)的(de)主(zhu)機(ji)，進(jin)行(xing)應(ying)急(ji)響(xiang)應(ying)步(bu)驟(zhou)，對(dui)被(bei)勒(le)索(suo)主(zhu)機(ji)網(wang)絡(luo)隔(ge)離(li)、病毒分析、阻止擴散、殺毒、解密、加固等應急響應。

今日，烽台科技就將“製造業如何在靶場內進行勒索病毒應急演練”做專業的分析講解，一解大家心中之惑。

一勒索病毒

正所謂，知彼知己，百戰不殆。第一部分，先帶大家了解勒索病毒定義、影響、分類以及相關勒索事件。

1.1 勒索病毒簡介

【定義】勒索病毒是一種極具破壞性，傳播性的惡意軟件，是伴隨數字貨幣興起的一種新型病毒木馬。

【影響】qiyezaoshoulesuobingdugongjishi，neibuzhongduandabufenwenjianbeijiamisuanfaxiugai。bingtianjiagaileixinglesuobingdutesedehouzhui，kedaozhiyonghuzhongduanwenjianwufaduqu，duiyonghuzaochengwufaguliangdesunshi。

【原理】lesuobingdutongchangliyongfeiduichengjiamisuanfaheduichengjiamisuanfazuhedexingshilaijiamiwenjian。juedaduoshulesuoruanjianjunwufatongguojishushouduanjiemi，bixuzhifuheikeshujinnadaoduiyingdejiemisiyaocaiyoukenenghaiyuanbeijiamiwenjian。yintongguoshuzihuobizhifu。yibanwufasuyuan，yinciweihaijuda。

【傳播途徑】郵件傳播、漏洞傳播、介質傳播、捆綁傳播。

1.2 勒索病毒分類

勒索病毒種類繁多，常見的有四類，分別為文件加密類、數據竊取類、係統加密類、屏幕鎖定類，每一類都有不同病毒代表和中毒特點。

1.2.1 文件加密類勒索病毒

病毒定義：該類型病毒如RSA、AES等，通過多種加密算法對文件進行加密，並要求支付贖金獲取密鑰，一旦感染，文件很難恢複。

病毒代表：“WannaCry”，通過加密算法加密文件，並在暗網進行交易。

1.2.2 數據竊取類勒索病毒

病毒定義：該(gai)類(lei)型(xing)病(bing)毒(du)與(yu)文(wen)件(jian)加(jia)密(mi)病(bing)毒(du)相(xiang)似(si)，同(tong)樣(yang)加(jia)密(mi)用(yong)戶(hu)數(shu)據(ju)，並(bing)要(yao)求(qiu)支(zhi)付(fu)贖(shu)金(jin)，一(yi)旦(dan)感(gan)染(ran)，文(wen)件(jian)很(hen)難(nan)恢(hui)複(fu)，但(dan)在(zai)勒(le)索(suo)過(guo)程(cheng)中(zhong)還(hai)會(hui)竊(qie)取(qu)用(yong)戶(hu)重(zhong)要(yao)數(shu)據(ju)，以(yi)公(gong)開(kai)方(fang)式(shi)脅(xie)迫(po)用(yong)戶(hu)交(jiao)贖(shu)金(jin)。

病毒代表：“Conti”，攻擊且感染全球政府部門及企業，通過加密算法竊取文件。

1.2.3 係統加密類勒索病毒

病毒定義：該類型病毒會加密係統磁盤引導記錄、卷引導記錄，同樣加密用戶數據，一旦感染，係統很難啟動，並要求用戶支付贖金。

病毒代表：“Petya”，以病毒內嵌的主引導記錄代碼覆蓋磁盤扇區，使設備係統無法正常開啟。

1.2.4 屏幕鎖定類勒索病毒

病毒定義:該類型病毒會對用戶設備屏幕進行鎖定，通常以全屏形式呈現涵蓋勒索信息圖像,使用戶無法登錄設備。

病毒代表:“WinLock”，鎖定設備屏幕，要求通過短信進行支付。

1.3 工業企業勒索病毒事件

隨著互聯網在工業中的廣泛應用，針對工業安全的各式網絡攻擊事件日益增多，尤其在電力、石油、鐵路運輸、燃氣、化工、製造業、能源、核應用等相關領域的關鍵網絡一直都是全球攻擊者的首選目標。據國家工信安全中心統計，2022年公開披露的工業信息安全事件共312起，覆蓋了十幾個工業細分領域。

勒索攻擊持續威脅工業信息安全，截至2022年，公開披露的工業領域勒索事件共89起，較2021年nian增zeng長chang百bai分fen比bi高gao。勒le索suo攻gong擊ji手shou段duan方fang法fa更geng加jia複fu雜za化hua，多duo重zhong勒le索suo成cheng為wei攻gong擊ji者zhe重zhong要yao手shou段duan，跨kua平ping台tai勒le索suo軟ruan件jian應ying用yong更geng趨qu廣guang泛fan，間jian歇xie性xing加jia密mi成cheng為wei勒le索suo攻gong擊ji新xin方fang式shi。

據ju相xiang關guan數shu據ju統tong計ji，製zhi造zao業ye成cheng為wei其qi中zhong勒le索suo攻gong擊ji的de主zhu要yao目mu標biao。電dian子zi製zhi造zao行xing業ye遭zao勒le索suo病bing毒du攻gong擊ji最zui多duo，汽qi車che製zhi造zao行xing業ye成cheng為wei僅jin次ci於yu電dian子zi製zhi造zao業ye的de重zhong點dian目mu標biao。勒le索suo攻gong擊ji造zao成cheng的de數shu據ju安an全quan相xiang關guan損sun失shi和he影ying響xiang持chi續xu加jia大da。

1.3.1 典型案例分享

(1) 某機電受到“勒索病毒”攻擊導致其停產，詳情如下：

事件經過

2018年，由於工作人員在使用了未打補丁的 Windows 係統安裝軟件過程中操作失誤，感染WannaCry變種病毒。因病毒已存在於新機台內，新機台又未經隔離查殺病毒就與其他電腦進行連接，從而導致病毒擴散。

事件影響

事件造成該廠三大重要生產基地生產線停擺，導致其停產數日，預估經濟損失高達11.5億元人民幣。

(2) A國某管道公司遭受勒索病毒攻擊導致輸油管道停運，詳情如下：

事件經過

2021年，總部位於A國guo的de某mou管guan道dao運yun輸shu公gong司si發fa布bu消xiao息xi，確que認ren公gong司si遭zao受shou勒le索suo軟ruan件jian的de攻gong擊ji，因yin此ci關guan閉bi了le旗qi下xia多duo條tiao主zhu幹gan成cheng品pin油you管guan道dao，並bing聘pin請qing網wang絡luo安an全quan專zhuan家jia進jin行xing處chu理li和he調tiao查zha。此ci次ci勒le索suo軟ruan件jian攻gong擊ji事shi件jian是shi某mou個ge網wang絡luo犯fan罪zui團tuan夥huo發fa起qi的de，在zai入ru侵qin某mou管guan道dao運yun輸shu公gong司si的de網wang絡luo後hou，獲huo取qu了le大da量liang數shu據ju，以yi此ci威wei脅xie要yao求qiu贖shu金jin。

事件影響

事件直接導致A國沿海主要城市輸送油氣管道係統被迫下線。對目標係統植入惡意軟件,劫持了將近100GB的數據以索要贖金。

二工業網絡靶場

工業網絡靶場是集工業攻防演練、工業人才培養、工業產品測試等功能於一體的綜合場景仿真平台。

如何防範勒索攻擊？“中招”之後應如何處理？對於製造業用戶的實際需求，工業網絡靶場毫無疑問的為用戶提供了一種最安全、有效的環境，讓安全團隊可在靶場內安心的進行多類別勒索病毒攻擊與處置的應急演練。

2.1 工業網絡靶場簡介

工業網絡靶場是麵向工控網絡仿真環境建設的基礎網絡設施。旨在通過工業網絡靶場建設，為能源、電力、鋼鐵、有色、智能製造、軍工等關係到國計民生、國家安全等重點行業和領域提供分析、設計、研發、集成、測試、評估、運維等全生命周期保障服務。

因工控網絡環境複雜，生產實時性要求高，企業網絡安全事件應急響應、安全產品測試、bianjielunzhengdengyixiliewentishizhongwufaluoshizaizhenshigongkongwangluo。gongyebachangdechuxian，youxiaojiejuelewufazaizhenshihuanjingzhongduifuzadaguimoyigouwangluoheyonghujinxingbizhendemoniheceshi，yijifengxianpinggudengwenti，shixiangongyexinxianquannenglidezhengtitisheng。

2.2 工業網絡靶場價值

用戶可依托工業網絡靶場完成網絡空間工業網絡體係規劃論證、能力測試評估、產品研發試驗、產品安全性測試、人員技能培訓、安全攻防演練等任務。如：針對各行業工業控製係統應用開展攻擊影響驗證、漏洞挖掘、風險分析、安an全quan防fang護hu驗yan證zheng，可ke有you效xiao減jian少shao工gong控kong設she備bei漏lou洞dong暴bao露lu數shu量liang，提ti高gao行xing業ye安an全quan防fang護hu水shui平ping，可ke極ji大da程cheng度du降jiang低di安an全quan事shi件jian發fa生sheng概gai率lv。同tong時shi，依yi托tuo於yu工gong業ye網wang絡luo靶ba場chang開kai展zhan人ren員yuan技ji能neng培pei訓xun和he演yan練lian，可ke提ti高gao安an全quan人ren員yuan安an全quan防fang護hu能neng力li、完善自身應急響應機製；通過安全防護策略的測試驗證，可有效提升全網安全防護設備利用率，為行業節約上千萬規模的安全防護成本。可廣泛應用於高校、企業（包括電力、鋼鐵、有色、石油、化工、軍工等）、科研院/所等。

三工業網絡勒索攻擊複現

應急演練主打一個“真實”，越yue真zhen實shi的de演yan練lian，應ying急ji效xiao果guo越yue好hao。針zhen對dui勒le索suo病bing毒du的de攻gong擊ji途tu徑jing和he特te點dian，烽feng台tai科ke技ji利li用yong工gong業ye網wang絡luo靶ba場chang技ji術shu的de仿fang真zhen能neng力li，為wei製zhi造zao業ye用yong戶hu真zhen實shi複fu現xian工gong控kong網wang絡luo基ji礎chu環huan境jing、工藝生產場景和勒索病毒感染路徑。

3.1 感染病毒環境設計

3.1.1 基礎環境和工藝設計

工控網絡層次模型從上到下共分為5個層級，依次為企業管理層、生產執行層、過程監控層、現場控製層和現場設備層，不同層級的實時性要求不同。此次仿真根據汽車製造業的網絡拓撲、生產工藝、數據采集等業務進行高度模擬真實現場生產環境。工業網絡靶場環境各個區域設備組成如下：

公網區域：使用靶場環境仿真公網，攻擊者使用模擬公網IP。

安全設備區：由防火牆、蜜罐、監測等係統組成。

企業管理層：搭建財務、人事等係統。

生產執行層：搭建倉儲管理、計劃排產等係統。

過程監控層：搭建汽車製造業衝壓工藝、焊接工藝、塗裝工藝、總裝工藝、工程師站或操作員站。

現場控製層：搭建仿真西門子300控製器對衝壓工藝、焊接工藝、塗裝工藝、總裝工藝程序。控製層數據可傳送至過程監控層操作員站或工程師站。

環境仿真設備如下圖：

工藝流程說明：該環境工藝根據汽車製造業四大關鍵工藝設計，依次是衝壓工藝、焊接工藝、塗裝工藝、總裝工藝。經過這四道工藝流程，汽車製造就完成了，下麵是四道工藝的具體流程。

第一步：衝壓工藝，用不同型號的鋼板衝壓出車身的零部件，把整卷鋼板裁剪成不同零件製造。這是一道基礎的工序，是後續工序的前期準備。

第二步：焊(han)接(jie)工(gong)藝(yi)，將(jiang)各(ge)種(zhong)車(che)身(shen)衝(chong)壓(ya)部(bu)件(jian)通(tong)過(guo)焊(han)接(jie)工(gong)藝(yi)使(shi)之(zhi)結(jie)合(he)在(zai)一(yi)起(qi)。隨(sui)著(zhe)自(zi)動(dong)化(hua)的(de)提(ti)升(sheng)，很(hen)多(duo)汽(qi)車(che)製(zhi)造(zao)業(ye)會(hui)有(you)大(da)量(liang)的(de)機(ji)器(qi)人(ren)進(jin)行(xing)激(ji)光(guang)焊(han)接(jie)，不(bu)僅(jin)提(ti)高(gao)了(le)工(gong)作(zuo)效(xiao)率(lv)，質(zhi)量(liang)也(ye)得(de)到(dao)了(le)保(bao)障(zhang)，車(che)身(shen)每(mei)一(yi)處(chu)焊(han)接(jie)完(wan)成(cheng)後(hou)，需(xu)要(yao)人(ren)工(gong)仔(zai)細(xi)檢(jian)查(zha)焊(han)接(jie)情(qing)況(kuang)，確(que)保(bao)車(che)身(shen)部(bu)件(jian)焊(han)接(jie)牢(lao)度(du)，這(zhe)樣(yang)才(cai)能(neng)進(jin)入(ru)下(xia)一(yi)步(bu)驟(zhou)。

第三步：塗tu裝zhuang工gong藝yi，給gei車che身shen噴pen塗tu上shang各ge種zhong顏yan色se，防fang止zhi車che身shen鏽xiu蝕shi，使shi車che身shen具ju有you靚liang麗li外wai表biao。焊han接jie組zu裝zhuang完wan成cheng的de車che身shen，要yao進jin行xing防fang鏽xiu處chu理li，無wu車che身shen缺que陷xian後hou再zai由you機ji器qi人ren進jin行xing塗tu裝zhuang作zuo業ye，機ji器qi人ren塗tu裝zhuang可ke以yi減jian少shao材cai料liao的de浪lang費fei，提ti升sheng塗tu裝zhuang效xiao率lv。

第四步：總裝工藝，需要將車身、底盤和內飾等各個部分零件組裝到一起，形成一台完整的汽車。在這裏要進行車身底盤、發動機、變速箱以及其他內飾配件的安裝，這是汽車製造的主要工序。汽車總裝工藝，決定了汽車的裝配質量。

下方圖例展示了工業網絡靶場環境中的一個工藝環節組態畫麵。畫麵中顯示了現場控製器、機器臂、報警等狀態，機器臂實時畫麵，車輛完成數量統計等。

3.1.2 勒索病毒感染路徑設計

此次勒索病毒攻擊是模擬企業內部人員將存在web漏洞的人事辦公係統映射外網提供遠程辦公，由於企業每天麵臨外網攻擊次數多，使外網的攻擊者探測到人事辦公係統的web漏洞，利用任意文件上傳拿下web shell進行勒索病毒加密文件操作。

此次勒索攻擊複現為了使企業環境和攻擊環境高度仿真，均使用靶場模擬外網地址。並非真實公網地址。

以下是勒索病毒感染路線圖（紅色代表攻擊路線）：

攻擊步驟如下：

(1) 探測目標資產

確認目標資產虛擬公網ip為：1.1.1.1（注釋：靶場虛擬ip），nmap掃描端口發現存在http等服務。

(2) 確認資產

訪問8080端口發現，資產為某汽車人事辦公oa係統。

(3) 確認資產版本等漏洞相關信息

獲取版本信息，該版本某汽車人事辦公oa係統存在曆史漏洞。通過手工驗證發現存在action_upload.php 文件過濾不足且無後台權限，導致任意文件上傳漏洞。

(4) 編寫漏洞利用腳本，實現一鍵上傳shell。

./TDOA2017-benhinder http://1.1.1.1:8080執行腳本成功，訪問webshell路徑驗證。

(5) 上線Behinder（冰蠍）

啟動冰蠍 java -jar Behinder.jar

webshell地址：http://1.1.1.1:8080/behinder.php （注釋：靶場虛擬ip）。

密碼：rebeyond

進入係統，命令執行，內網ip為 192.168.10.4（注釋：靶場虛擬ip）。

(6) 上傳病毒

將勒索病毒上傳至目標主機並運行。

3.2 靶場環境搭建介紹

（1）網絡結構介紹

汽車製造業網絡中主要分為公網、安全設備區、企業管理層、生產執行層、過程監控層、現場控製層、現場設備層，各層次網絡依次連接。其網絡邊界隔離定義為公網和企業管理層由防火牆進行邏輯隔離、xianchangguochengjiankongcengheshengchanzhixingcengtongguoshishishujukuhuoshucaiwangguangeli。duoshuqiyexianchangxinxiceheshengchancebianjiewuanquanshebei，neiwangcunzaigongjifengxian。wangluojiegouruxiatu：

（2）仿真虛擬組件介紹

靶ba場chang對dui汽qi車che製zhi造zao業ye的de業ye務wu層ceng設she備bei進jin行xing仿fang真zhen搭da建jian，仿fang真zhen現xian場chang工gong藝yi控kong製zhi器qi並bing編bian寫xie程cheng序xu，通tong過guo仿fang真zhen現xian場chang工gong程cheng師shi站zhan及ji操cao作zuo員yuan站zhan控kong製zhi與yu監jian視shi仿fang真zhen控kong製zhi器qi程cheng序xu。

數據通過實時數據庫工控側進行采集，信息側將數據轉發生產執行層係統。

（3）勒索病毒場景設計

攻gong擊ji者zhe利li用yong防fang火huo牆qiang端duan口kou映ying射she企qi業ye管guan理li層ceng係xi統tong進jin行xing攻gong擊ji。以yi仿fang真zhen不bu同tong業ye務wu層ceng設she備bei，搭da建jian環huan境jing多duo維wei度du高gao度du仿fang真zhen。對dui此ci次ci企qi業ye勒le索suo病bing毒du模mo擬ni攻gong擊ji事shi件jian，利li用yong安an全quan設she備bei、主機日誌等開展應急響應、恢複等一係列措施。

業務仿真按照汽車製造業的主要網絡架構、生產工藝、數據采集，采用虛擬組件方式進行搭建，仿真汽車環境的業務流程控製係統，根據實際生產工藝劃分不同工藝終端係統和控製係統。

四仿真環境內勒索攻擊應急響應

gongyewangluobachangdefangzhenhuanjingneiqianwanzhengdeyingjixiangyingbuzhou，zhizaoyeqiyekegenjuxianchanggongjizhelesuodezhuji，jinxingyingjixiangyingbuzhou，tongguobangongrenyuanfaxianzhujilesuobingdudankuangtongzhixinxianquanrenyuan，xinxianquanrenyuanduibeilesuozhujiwangluogeli、病毒分析、阻止擴散、殺毒、解密、加固等應急響應。

此次勒索攻擊複現為了使企業環境和攻擊環境高度仿真，均使用靶場模擬外網地址，並非真實公網地址。

紅色代表攻擊路線、藍色代表應急路線，如下圖所示:

4.1 應急響應步驟

4.1.1 主機日誌排查

係xi統tong感gan染ran勒le索suo病bing毒du，界jie麵mian彈dan出chu勒le索suo信xin件jian，此ci時shi係xi統tong內nei的de文wen件jian已yi經jing被bei病bing毒du加jia密mi無wu法fa正zheng常chang訪fang問wen。要yao求qiu受shou害hai者zhe支zhi付fu贖shu金jin才cai能neng解jie密mi文wen件jian並bing恢hui複fu訪fang問wen權quan限xian。

weipanduancicigongjishijianshimoyijihouxuchuzhidefenxisuyuan，tongguoduizhujiduankoulianjieqingkuangjinxingfenxihesuyuan，huodegengduoguanyugongjishijiandexinxi，bingweijinyibudetiaozhahechuzhitigongzhidao。kechubupaizhakeyiIP。（注釋：12.12.12.3靶場虛擬 IP）。

4.1.2 禁用網卡

為wei了le降jiang低di勒le索suo事shi件jian的de損sun失shi並bing限xian製zhi病bing毒du的de進jin一yi步bu傳chuan播bo，禁jin用yong受shou攻gong擊ji主zhu機ji的de網wang卡ka以yi實shi現xian斷duan網wang處chu理li。這zhe將jiang阻zu止zhi病bing毒du繼ji續xu擴kuo散san至zhi內nei網wang中zhong的de其qi他ta主zhu機ji，並bing防fang止zhi事shi件jian對dui公gong司si業ye務wu的de正zheng常chang運yun行xing產chan生sheng更geng大da的de影ying響xiang。此ci外wai，斷duan網wang處chu理li還hai有you助zhu於yu阻zu斷duan攻gong擊ji者zhe與yu受shou感gan染ran主zhu機ji之zhi間jian的de連lian接jie。

4.1.3 病毒分析

根據勒索病毒加密文件的後綴和勒索信件的內容進行判斷，經過謹慎縝密地分析，確認該勒索病毒屬於WannaCry家族勒索病毒。該病毒通過網絡傳播和感染計算機，然後加密受害者的文件，並要求支付贖金以獲取解密密鑰。

4.1.4 排查內網主機

逐zhu一yi排pai查zha內nei網wang內nei其qi他ta主zhu機ji的de運yun行xing狀zhuang態tai，判pan斷duan是shi否fou被bei病bing毒du擴kuo散san傳chuan染ran，由you於yu此ci次ci應ying急ji響xiang應ying迅xun速su，病bing毒du並bing未wei繼ji續xu擴kuo散san，內nei網wang其qi他ta主zhu機ji仍reng處chu於yu安an全quan狀zhuang態tai。

4.1.5 安全設備排查

查(zha)看(kan)安(an)全(quan)設(she)備(bei)日(ri)誌(zhi)對(dui)此(ci)次(ci)攻(gong)擊(ji)事(shi)件(jian)進(jin)行(xing)溯(su)源(yuan)分(fen)析(xi)，通(tong)過(guo)燈(deng)塔(ta)安(an)全(quan)威(wei)脅(xie)誘(you)捕(bu)審(shen)計(ji)係(xi)統(tong)捕(bu)獲(huo)到(dao)攻(gong)擊(ji)者(zhe)畫(hua)像(xiang)，係(xi)統(tong)分(fen)析(xi)此(ci)次(ci)攻(gong)擊(ji)疑(yi)似(si)境(jing)外(wai)黑(hei)客(ke)所(suo)為(wei)。（注釋：12.12.12.3靶場虛擬IP）。

通過對主機係統日誌件和安全設備日誌事件的對比，可以排查攻擊者。（注釋：12.12.12.3靶場虛擬IP）。

捕獲到該攻擊IP曾嚐試通過3389端口遠程連接公網地址，因此該IP最有可能為此次攻擊事件的攻擊者。（注釋：12.12.12.3靶場虛擬ip）。

4.2 數據恢複

4.2.1 病毒查殺

導入安全殺毒軟件的離線包，對感染主機進行殺毒，通過對係統磁盤進行掃描檢測發現主機所中病毒並將其查殺。

4.2.2 文件恢複

雖sui然ran通tong過guo殺sha毒du軟ruan件jian查zha殺sha了le係xi統tong中zhong的de勒le索suo病bing毒du程cheng序xu，但dan並bing沒mei能neng恢hui複fu被bei病bing毒du所suo加jia密mi的de文wen件jian，因yin此ci需xu要yao導dao入ru文wen件jian恢hui複fu工gong具ju離li線xian包bao來lai嚐chang試shi恢hui複fu這zhe些xie文wen件jian。

文件恢複工具的成功率通常取決於多個因素，包括病毒的加密強度、加jia密mi算suan法fa的de複fu雜za性xing以yi及ji文wen件jian本ben身shen的de完wan整zheng性xing，因yin此ci並bing不bu能neng完wan全quan依yi賴lai文wen件jian恢hui複fu工gong具ju恢hui複fu所suo有you損sun失shi。通tong過guo對dui比bi可ke以yi發fa現xian，隻zhi有you部bu分fen被bei加jia密mi的de文wen件jian能neng夠gou成cheng功gong恢hui複fu，受shou害hai主zhu機ji中zhong仍reng有you大da量liang文wen件jian未wei得de到dao恢hui複fu。

4.2.3 數據備份恢複

鑒jian於yu文wen件jian恢hui複fu工gong具ju無wu法fa完wan全quan恢hui複fu本ben次ci勒le索suo病bing毒du事shi件jian所suo造zao成cheng的de影ying響xiang和he破po壞huai，需xu要yao采cai取qu數shu據ju備bei份fen方fang法fa來lai還hai原yuan係xi統tong。利li用yong備bei份fen的de數shu據ju可ke將jiang係xi統tong還hai原yuan至zhi病bing毒du入ru侵qin前qian最zui近jin一yi次ci狀zhuang態tai，消xiao除chu勒le索suo攻gong擊ji的de影ying響xiang，並bing將jiang係xi統tong恢hui複fu到dao可ke信xin的de狀zhuang態tai。

4.3 場景加固

4.3.1 安全設備加固

通過安全產品對整個內網環境進行加固，如製定防火牆策略可提高工控網絡的防禦能力。停止人事係統暴露公網端口映射後,可進行產品漏洞修複。（注釋：1.1.1.1靶場虛擬IP）。

禁止內外網IP ping防火牆。啟用內網DOS攻擊防禦。

4.3.2 恢複備份，安裝殺毒軟件

在加固內網環境並加強防火牆策略後，再次利用安全殺毒軟件對受攻擊的主機進行快速病毒掃描，以確保徹底消除勒索攻擊安全隱患。

五靶場模擬勒索病毒事件應急響應總結

經過在工業網絡靶場中的勒索病毒攻擊演練，製造業用戶可對此類型應急響應事件進行總結，製定適合的應急處置流程、技術規範、管理規範，最大化降低勒索攻擊對企業的損害。

5.1 勒索病毒基本情況

病毒家族：WannaCry ，勒索病毒變種：WannaCry 2.0，WannaCry（又叫Wanna Decryptor），一種“蠕蟲式”勒索病毒軟件。該勒索病毒在2017年襲擊了全球150多個國家和地區，影響了包括政府部門、醫療服務、公共交通、郵政、通信和汽車製造業等領域，對社會發展造成惡劣影響。

本次勒索病毒攻擊者利用了產品web應用漏洞，入侵用戶內部網絡，投放勒索病毒程序，加密係統文件進行勒索。

病毒後綴名：.WNCRY

5.2 靶場內的勒索病毒應急處置

當靶場環境機器感染勒索病毒後，立即開展以下應急工作：

（1）隔離網絡：該場景使用禁用網絡方式切斷受感染機器的網絡連接，避免網絡內其他機器被進一步感染滲透。

（2）加密情況：該場景發現文件已經全部被加密，可保持機器開機狀態，等待繼續排查。如重要文件未被加密，可選擇關閉勒索病毒進程或關機。

（3）病毒範圍：排查該場景其他可能會受到勒索病毒影響的機器，確定勒索病毒傳播範圍。

（4）問題排查：通過主機端口連接查找攻擊來源。通過安全設備進行攻擊溯源工作。

（5）專業恢複：使用勒索病毒文件解密工具嚐試解密，無法解密時需使用數據備份恢複係統。

（6）安全加固：通過安全設備和主機日誌排查出攻擊來源，加固防火牆策略配置。安裝殺毒軟件實時監測主機安全狀態，防止攻擊者再次勒索。

（7）產品升級：可將係統進行升級，防止攻擊者利用web應用漏洞。

5.3 勒索病毒防範

5.3.1 技術防範

(1) 數據備份

重要文件或者重要係統需采用移動硬盤等方式進行定期備份數據，避免主機被勒索病毒攻擊，導致文件加密無法恢複的情況出現。

(2) 終端防護

關閉主機的 445、135、139、3389 等高危端口，可避免勒索病毒針對高危端口漏洞攻擊和企業內網中的橫向傳播。

針對通過 RDP 服務和弱口令破解進行入侵和擴散的勒索病毒，建議企業對設備操作係統口令進行定期檢查修改，增強口令長度檢查、複雜度檢查，避免使用統一而簡單的登錄密碼。

對創建賬戶、刪除賬戶、鎖定、禁用等相關高權限行為進行管控。

禁用設備移動接口。

修複應用漏洞相關補丁。

(3) 郵件防護

企業內部員工不點擊陌生人發來的各種鏈接，不要打開陌生人發來的附件。及時更新係統補丁及防病毒軟件的病毒定義包。

(4) 安全設備防護

上網行為審計係統：企業出於合規、審計等原因，基本都會部署上網行為審計係統，策略上需配置屏蔽可能含有勒索病毒網站。

防火牆：針對企業業務進行訪問控製。

入侵防禦：使用入侵防禦設備對URL過濾、惡意軟件過濾等，需結合沙箱、情報技術等方法分析處理。

主機衛士：企業終端安裝主機防護軟件，對勒索病毒、木馬及時查殺。

態勢感知：使用態勢感知實時監測企業網絡安全狀態。

5.3.2 管理防範

（1）製定並落實網絡安全管理製度。

在管理製度上，需要從驗證信息、訪問控製、資產梳理、終端防護等幾個方麵側重管理。企業工業控製係統在向外連接時，可通過入網的設備驗證、人員驗證，確保準確性及唯一性，加強工業控製係統業務訪問控製權限管理，關閉高危端口、定期查看補丁、不(bu)私(si)自(zi)接(jie)通(tong)外(wai)網(wang)，有(you)效(xiao)保(bao)障(zhang)入(ru)網(wang)設(she)備(bei)的(de)合(he)法(fa)性(xing)，防(fang)止(zhi)勒(le)索(suo)病(bing)毒(du)在(zai)企(qi)業(ye)內(nei)網(wang)擴(kuo)散(san)。對(dui)聯(lian)網(wang)的(de)工(gong)業(ye)控(kong)製(zhi)設(she)備(bei)進(jin)行(xing)梳(shu)理(li)，建(jian)立(li)資(zi)產(chan)庫(ku)，加(jia)強(qiang)企(qi)業(ye)邊(bian)緣(yuan)資(zi)產(chan)監(jian)管(guan)，達(da)到(dao)削(xue)減(jian)工(gong)業(ye)控(kong)製(zhi)係(xi)統(tong)網(wang)絡(luo)資(zi)產(chan)暴(bao)露(lu)麵(mian)的(de)目(mu)的(de)。

（2）定期檢查工業控製係統漏洞。

在檢查工業控製係統上，需要從供應鏈、軟件、硬ying件jian等deng采cai購gou上shang管guan理li把ba控kong。要yao將jiang定ding期qi掃sao描miao漏lou洞dong按an照zhao等deng級ji劃hua分fen，並bing按an照zhao等deng級ji修xiu複fu漏lou洞dong。工gong業ye控kong製zhi係xi統tong中zhong使shi用yong的de操cao作zuo係xi統tong和he工gong業ye軟ruan件jian數shu量liang和he版ban本ben眾zhong多duo，存cun在zai漏lou洞dong個ge數shu多duo、種類多，使得勒索病毒傳播速度難以把控。攻擊者可以提前將勒索病毒植入企業的供應鏈上遊的軟、硬件供應商的產品中，在安裝或更新軟、yingjianshi，lesuobingdujibeidairugongyekongzhixitongshebei，ganranqiyewangluozhongcunzailoudongdexitong。zhenduigongyekongzhixitong，qiyexuyaojiaqiangdingqiduigongyekongzhixitongzhongduan、網絡設備、服務器、控製器等設備的漏洞掃描。清晰定性網絡安全風險，及時完善係統補丁、修複漏洞，執行完整的安全策略，從根源上進行風險預防。

（3）建立健全應急響應機製。

dabufendelesuogongjishiwuzhengzhaode，suoyiyingdangjiaqiangwangluoanquanyingjiyujing，jianlijianquandeyingjixiangyingjizhi，liyongqiyedewangluoanquanziyuanshixiananquanziyuanxinxigongxiang。tongshikeyuguojiaxiangguanjigouheguoneianquangongsijinxinghezuo，yunyongyouxiaoziyuanheyingjixiangyingjishushouduanjiehedefangshi，gongtongzhidingqiyelesuogongjiyingjiyuan。

（4）加強內部員工網絡安全意識。

企業需要持續的進行網絡安全培訓，提高內部員工網絡安全意識，使其在日常操作過程中能夠有效識別係統漏洞攻擊、垃圾郵件攻擊等惡意行為，認識其危害並掌握一些必要的應對防範措施。

在組織建設方麵，鼓勵企業成立網絡安全事件響應小組，通過專職小組有組織、xitongxingdijianshiyewuxitongdeanquanxing，jishijieshouwangluozhongdeyichangtongzhibaogao，yidanchuxianyichangqingkuang，xiangyingxiaozukeyijishicaiquyingjicuoshiduilesuogongjijinxingfanweikongzhi，zuidahuajiangdiqiduiqiyedeyingxiangchengdu。

勒索病毒不是普通的“感冒”，工業企業應防患於未然，數據提前備份、人員提前演練、體係提前建立，多維度共同防護，才是抵禦勒索攻擊的長久之計。

最(zui)後(hou)，關(guan)於(yu)勒(le)索(suo)病(bing)毒(du)的(de)應(ying)急(ji)響(xiang)應(ying)資(zi)源(yuan)有(you)很(hen)多(duo)，烽(feng)台(tai)科(ke)技(ji)為(wei)大(da)家(jia)找(zhao)到(dao)了(le)幾(ji)個(ge)靠(kao)譜(pu)的(de)鏈(lian)接(jie)，希(xi)望(wang)能(neng)幫(bang)更(geng)多(duo)工(gong)業(ye)企(qi)業(ye)有(you)效(xiao)應(ying)對(dui)勒(le)索(suo)病(bing)毒(du)攻(gong)擊(ji)，減(jian)少(shao)企(qi)業(ye)財(cai)產(chan)損(sun)失(shi)，建(jian)立(li)良(liang)好(hao)的(de)經(jing)營(ying)環(huan)境(jing)。

六勒索病毒應急響應資源鏈接

6.1 國內資源鏈接

6.1.1 火絨安全軟件5.0（個人版）

火絨是一款殺防管控一體的安全軟件，有著麵向個人和企業的產品。擁有簡潔的界麵、豐富的功能和良好的體驗。特別針對國內安全趨勢，自主研發高性能反病毒引擎。

主要特點

（1）無任何廣告推送

（2）一鍵掃描、查殺病毒，基於“通用脫殼”、“行為沙盒”的本地反病毒引擎，不受斷網影響。

（3） 19個重要防護功能，有效防病毒、木馬、流氓軟件、惡意網站等。

傳送門：www.huorong.cn

6.1.2 奇安信勒索病毒工具集下載

奇安信科技集團股份有限公司成立於2014年，專注於網絡空間安全市場，向政府、企業用戶提供新一代企業級網絡安全產品和服務。

主要特點

（1）針對勒索病毒專殺

（2）針對永恒之藍病毒端口關閉

（3）針對蠕蟲勒索病毒文件恢複

（4）蠕蟲勒索工具種類多

傳送門：https://www.qianxin.com/other/qaxvirusremoval

6.1.3 勒索病毒搜索引擎合集

【360】勒索病毒搜索引擎，支持檢索超過800種常見勒索病毒

傳送門：https://lesuobingdu./

【騰訊】勒索病毒搜索引擎，支持檢索超過 300 種常見勒索病毒

傳送門：https://guanjia.qq.com/pr/ls/

【啟明星辰】VenusEye勒索病毒搜索引擎，超300種勒索病毒家族

傳送門：https://lesuo.venuseye.com.cn/

【奇安信】勒索病毒搜索引擎

傳送門：https://lesuobingdu.qianxin.com/

6.1.4 勒索病毒解密合集

【騰訊哈勃】勒索軟件專殺工具

傳送門：https://habo.qq.com/tool/index

【金山毒霸】勒索病毒免疫工具

傳送門：http://www.duba.net/dbt/wannacry.html

【瑞星】解密工具下載

傳送門：http://it.rising.com.cn/fanglesuo/index.html

6.2 國外資源鏈接

6.2.1 卡巴斯基

卡ka巴ba斯si基ji反fan病bing毒du軟ruan件jian是shi世shi界jie上shang擁yong有you最zui尖jian端duan科ke技ji的de殺sha毒du軟ruan件jian之zhi一yi，總zong部bu設she在zai俄e羅luo斯si首shou都dou莫mo斯si科ke，是shi國guo際ji著zhu名ming的de信xin息xi安an全quan領ling導dao廠chang商shang之zhi一yi。公gong司si為wei個ge人ren用yong戶hu、企業網絡提供反病毒、防黑客和反垃圾郵件產品。

主要特點：

（1）使用便捷。

（2）多層級防禦係統，保護電腦免受其他威脅。

（3）殺毒功能非常強大，能夠檢測各種惡意軟件和網絡攻擊。

（4）智能更新安防庫和軟件程序。

傳送門：https://www.kaspersky.com.cn/

6.2.2 No More Ransomware Project

該軟件主要目標是保護用戶免受勒索軟件攻擊，有勒索病毒密鑰庫，有效解除不同類型被加密文件。

主要特點：

（1）有關於勒索病毒加密文件的詳細說明

（2）定期更新勒索病毒密鑰庫

（3）提供超過25種不同語言的服務

傳送門：https://www.nomoreransom.org/zh/decryption-tools.html#Bianlian

參考文獻

[1]崔瑩瑩,原真,劉健帥.工業領域勒索攻擊事件態勢分析及應對方法探討[J].工業信息安全,2022(10):63-68.

[2]薛丹丹,王媛媛,卲一瀟等.勒索病毒的原理及防禦措施[J].網絡安全技術與應用,2023(02):10-12.

[3]國家工信安全發展研究中心發布，2022年工業信息安全態勢報告[EB/OL].[2023-2-14]. http://www.cics-cert.org.cn/.

[4]中國信息通信研究院，勒索病毒安全防護手冊[EB/OL].[2021-9]. http://www.caict.ac.cn/.

相關新聞

編輯精選

工控原創

版權所有工控網 Copyright©2026 Gkong.com, All Rights Reserved