2017年，“WannaCry”勒索病毒橫空出世，席卷全球，此後六年勒索病毒猶如洪水泛濫般一發不可收拾，尤其是在製造業。

勒索病毒攻擊手段逐漸多樣化（木馬、郵件、漏洞、捆綁），國內外製造業成為頭號攻擊對象，曾有行業內用戶表示“zhongguozhao，haihaoyoubeifen，danruhefangfanhaishibutaiqingchu
，danxinbeiqiequdexinxixieluchuqu，yebuxiangbingduzaineiwangzhongtoutouchuanbo，xingyeliyuelaiyueduotongxingdoukaishizhongshifangfan，womenyexiwangnenghaohaofangfan”。

jingfengtaikejizaigongyewangluobachangzhongdeshijianyanjiufenxixianshi，bachangfangzhenjishukezhenduibutongyewucengshebei，dajianhuanjingduoweidugaodufangzhen。gongyewangluobachangdefangzhenhuanjingneiqianwanzhengdeyingjixiangyingbuzhou

，zaigongjizheliyonglesuobingduduiqiyejinxinggongjishi，zhizaoyeqiyekegenjugongjizhelesuodezhuji，jinxingyingjixiangyingbuzhou，duibeilesuozhujiwangluogeli、病毒分析、阻止擴散
、殺毒、解密
、加固等應急響應。

今日，烽台科技就將“製造業如何在靶場內進行勒索病毒應急演練”做專業的分析講解
，一解大家心中之惑。

一     勒索病毒

正所謂，知彼知己，百戰不殆。第一部分，先帶大家了解勒索病毒定義、影響
、分類以及相關勒索事件。

1.1     勒索病毒簡介

【定義】勒索病毒是一種極具破壞性，傳播性的惡意軟件，是伴隨數字貨幣興起的一種新型病毒木馬。

【影響】企qi業ye遭zao受shou勒le索suo病bing毒du攻gong擊ji時shi，內nei部bu終zhong端duan大da部bu分fen文wen件jian被bei加jia密mi算suan法fa修xiu改gai。並bing添tian加jia該gai類lei型xing勒le索suo病bing毒du特te色se的de後hou綴zhui，可ke導dao致zhi用yong戶hu終zhong端duan文wen件jian無wu法fa讀du取qu
，對dui用yong戶hu造zao成cheng無wu法fa估gu量liang的de損sun失shi。

【原理】勒(le)索(suo)病(bing)毒(du)通(tong)常(chang)利(li)用(yong)非(fei)對(dui)稱(cheng)加(jia)密(mi)算(suan)法(fa)和(he)對(dui)稱(cheng)加(jia)密(mi)算(suan)法(fa)組(zu)合(he)的(de)形(xing)式(shi)來(lai)加(jia)密(mi)文(wen)件(jian)。絕(jue)大(da)多(duo)數(shu)勒(le)索(suo)軟(ruan)件(jian)均(jun)無(wu)法(fa)通(tong)過(guo)技(ji)術(shu)手(shou)段(duan)解(jie)密(mi)，必(bi)須(xu)支(zhi)付(fu)黑(hei)客(ke)贖(shu)金(jin)拿(na)到(dao)對(dui)應(ying)的(de)解(jie)密(mi)私(si)鑰(yao)才(cai)有(you)可(ke)能(neng)還(hai)原(yuan)被(bei)加(jia)密(mi)文(wen)件(jian)。因(yin)通(tong)過(guo)數(shu)字(zi)貨(huo)幣(bi)支(zhi)付(fu)。一(yi)般(ban)無(wu)法(fa)溯(su)源(yuan)，因(yin)此(ci)危(wei)害(hai)巨(ju)大(da)。

【傳播途徑】郵件傳播
、漏洞傳播

、介質傳播、捆綁傳播。

1.2     勒索病毒分類

勒索病毒種類繁多，常見的有四類，分別為文件加密類、數據竊取類、係統加密類
、屏幕鎖定類，每一類都有不同病毒代表和中毒特點。

1.2.1     文件加密類勒索病毒

病毒定義：該類型病毒如RSA
、AES等

，通過多種加密算法對文件進行加密，並要求支付贖金獲取密鑰
，一旦感染，文件很難恢複。

病毒代表：“WannaCry”
，通過加密算法加密文件，並在暗網進行交易。

1.2.2     數據竊取類勒索病毒

病毒定義：gaileixingbingduyuwenjianjiamibingduxiangsi，tongyangjiamiyonghushuju
，bingyaoqiuzhifushujin，yidanganran，wenjianhennanhuifu


，danzailesuoguochengzhonghaihuiqiequyonghuzhongyaoshuju，yigongkaifangshixiepoyonghujiaoshujin。

病毒代表：“Conti”，攻擊且感染全球政府部門及企業，通過加密算法竊取文件。

1.2.3     係統加密類勒索病毒

病毒定義：該類型病毒會加密係統磁盤引導記錄
、卷引導記錄，同樣加密用戶數據
，一旦感染，係統很難啟動
，並要求用戶支付贖金。

病毒代表：“Petya”，以病毒內嵌的主引導記錄代碼覆蓋磁盤扇區
，使設備係統無法正常開啟。

1.2.4     屏幕鎖定類勒索病毒

病毒定義:該類型病毒會對用戶設備屏幕進行鎖定，通常以全屏形式呈現涵蓋勒索信息圖像,使用戶無法登錄設備。

病毒代表:“WinLock”

，鎖定設備屏幕

，要求通過短信進行支付。

1.3     工業企業勒索病毒事件

隨著互聯網在工業中的廣泛應用，針對工業安全的各式網絡攻擊事件日益增多，尤其在電力、石油、鐵路運輸、燃氣、化工、製造業、能源、核應用等相關領域的關鍵網絡一直都是全球攻擊者的首選目標。據國家工信安全中心統計
，2022年公開披露的工業信息安全事件共312起，覆蓋了十幾個工業細分領域。

勒索攻擊持續威脅工業信息安全，截至2022年，公開披露的工業領域勒索事件共89起
，較2021年nian增zeng長chang百bai分fen比bi高gao。勒le索suo攻gong擊ji手shou段duan方fang法fa更geng加jia複fu雜za化hua
，多duo重zhong勒le索suo成cheng為wei攻gong擊ji者zhe重zhong要yao手shou段duan
，跨kua平ping台tai勒le索suo軟ruan件jian應ying用yong更geng趨qu廣guang泛fan
，間jian歇xie性xing加jia密mi成cheng為wei勒le索suo攻gong擊ji新xin方fang式shi。

據(ju)相(xiang)關(guan)數(shu)據(ju)統(tong)計(ji)
，製(zhi)造(zao)業(ye)成(cheng)為(wei)其(qi)中(zhong)勒(le)索(suo)攻(gong)擊(ji)的(de)主(zhu)要(yao)目(mu)標(biao)。電(dian)子(zi)製(zhi)造(zao)行(xing)業(ye)遭(zao)勒(le)索(suo)病(bing)毒(du)攻(gong)擊(ji)最(zui)多(duo)，汽(qi)車(che)製(zhi)造(zao)行(xing)業(ye)成(cheng)為(wei)僅(jin)次(ci)於(yu)電(dian)子(zi)製(zhi)造(zao)業(ye)的(de)重(zhong)點(dian)目(mu)標(biao)。勒(le)索(suo)攻(gong)擊(ji)造(zao)成(cheng)的(de)數(shu)據(ju)安(an)全(quan)相(xiang)關(guan)損(sun)失(shi)和(he)影(ying)響(xiang)持(chi)續(xu)加(jia)大(da)。

1.3.1    典型案例分享

(1)    某機電受到“勒索病毒”攻擊導致其停產，詳情如下：

事件經過

2018年
，由於工作人員在使用了未打補丁的 Windows 係統安裝軟件過程中操作失誤
，感染WannaCry變種病毒。因病毒已存在於新機台內，新機台又未經隔離查殺病毒就與其他電腦進行連接
，從而導致病毒擴散。

事件影響

事件造成該廠三大重要生產基地生產線停擺
，導致其停產數日，預估經濟損失高達11.5億元人民幣。

(2)    A國某管道公司遭受勒索病毒攻擊導致輸油管道停運，詳情如下：

事件經過

2021年
，總部位於A國(guo)的(de)某(mou)管(guan)道(dao)運(yun)輸(shu)公(gong)司(si)發(fa)布(bu)消(xiao)息(xi)，確(que)認(ren)公(gong)司(si)遭(zao)受(shou)勒(le)索(suo)軟(ruan)件(jian)的(de)攻(gong)擊(ji)，因(yin)此(ci)關(guan)閉(bi)了(le)旗(qi)下(xia)多(duo)條(tiao)主(zhu)幹(gan)成(cheng)品(pin)油(you)管(guan)道(dao)，並(bing)聘(pin)請(qing)網(wang)絡(luo)安(an)全(quan)專(zhuan)家(jia)進(jin)行(xing)處(chu)理(li)和(he)調(tiao)查(zha)。此(ci)次(ci)勒(le)索(suo)軟(ruan)件(jian)攻(gong)擊(ji)事(shi)件(jian)是(shi)某(mou)個(ge)網(wang)絡(luo)犯(fan)罪(zui)團(tuan)夥(huo)發(fa)起(qi)的(de)
，在(zai)入(ru)侵(qin)某(mou)管(guan)道(dao)運(yun)輸(shu)公(gong)司(si)的(de)網(wang)絡(luo)後(hou)，獲(huo)取(qu)了(le)大(da)量(liang)數(shu)據(ju)，以(yi)此(ci)威(wei)脅(xie)要(yao)求(qiu)贖(shu)金(jin)。

事件影響

事件直接導致A國沿海主要城市輸送油氣管道係統被迫下線。對目標係統植入惡意軟件,劫持了將近100GB的數據以索要贖金。

二     工業網絡靶場

工業網絡靶場是集工業攻防演練、工業人才培養、工業產品測試等功能於一體的綜合場景仿真平台。

如何防範勒索攻擊？“中招”之後應如何處理
？對於製造業用戶的實際需求，工業網絡靶場毫無疑問的為用戶提供了一種最安全、有效的環境
，讓安全團隊可在靶場內安心的進行多類別勒索病毒攻擊與處置的應急演練。

2.1    工業網絡靶場簡介

工業網絡靶場是麵向工控網絡仿真環境建設的基礎網絡設施。旨在通過工業網絡靶場建設，為能源、電力、鋼鐵、有色

、智能製造、軍工等關係到國計民生、國家安全等重點行業和領域提供分析
、設計、研發
、集成、測試、評估、運維等全生命周期保障服務。

因工控網絡環境複雜

，生產實時性要求高

，企業網絡安全事件應急響應、安全產品測試

、邊(bian)界(jie)論(lun)證(zheng)等(deng)一(yi)係(xi)列(lie)問(wen)題(ti)始(shi)終(zhong)無(wu)法(fa)落(luo)實(shi)在(zai)真(zhen)實(shi)工(gong)控(kong)網(wang)絡(luo)。工(gong)業(ye)靶(ba)場(chang)的(de)出(chu)現(xian)
，有(you)效(xiao)解(jie)決(jue)了(le)無(wu)法(fa)在(zai)真(zhen)實(shi)環(huan)境(jing)中(zhong)對(dui)複(fu)雜(za)大(da)規(gui)模(mo)異(yi)構(gou)網(wang)絡(luo)和(he)用(yong)戶(hu)進(jin)行(xing)逼(bi)真(zhen)的(de)模(mo)擬(ni)和(he)測(ce)試(shi)，以(yi)及(ji)風(feng)險(xian)評(ping)估(gu)等(deng)問(wen)題(ti)，實(shi)現(xian)工(gong)業(ye)信(xin)息(xi)安(an)全(quan)能(neng)力(li)的(de)整(zheng)體(ti)提(ti)升(sheng)。

2.2    工業網絡靶場價值

用戶可依托工業網絡靶場完成網絡空間工業網絡體係規劃論證、能力測試評估、產品研發試驗、產品安全性測試、人員技能培訓、安全攻防演練等任務。如：針對各行業工業控製係統應用開展攻擊影響驗證
、漏洞挖掘、風險分析
、安(an)全(quan)防(fang)護(hu)驗(yan)證(zheng)，可(ke)有(you)效(xiao)減(jian)少(shao)工(gong)控(kong)設(she)備(bei)漏(lou)洞(dong)暴(bao)露(lu)數(shu)量(liang)
，提(ti)高(gao)行(xing)業(ye)安(an)全(quan)防(fang)護(hu)水(shui)平(ping)，可(ke)極(ji)大(da)程(cheng)度(du)降(jiang)低(di)安(an)全(quan)事(shi)件(jian)發(fa)生(sheng)概(gai)率(lv)。同(tong)時(shi)，依(yi)托(tuo)於(yu)工(gong)業(ye)網(wang)絡(luo)靶(ba)場(chang)開(kai)展(zhan)人(ren)員(yuan)技(ji)能(neng)培(pei)訓(xun)和(he)演(yan)練(lian)
，可(ke)提(ti)高(gao)安(an)全(quan)人(ren)員(yuan)安(an)全(quan)防(fang)護(hu)能(neng)力(li)、完善自身應急響應機製；通過安全防護策略的測試驗證，可有效提升全網安全防護設備利用率，為行業節約上千萬規模的安全防護成本。可廣泛應用於高校
、企業（包括電力、鋼鐵、有色、石油、化工
、軍工等）、科研院/所等。

三     工業網絡勒索攻擊複現

應急演練主打一個“真實”

，越yue真zhen實shi的de演yan練lian，應ying急ji效xiao果guo越yue好hao。針zhen對dui勒le索suo病bing毒du的de攻gong擊ji途tu徑jing和he特te點dian
，烽feng台tai科ke技ji利li用yong工gong業ye網wang絡luo靶ba場chang技ji術shu的de仿fang真zhen能neng力li，為wei製zhi造zao業ye用yong戶hu真zhen實shi複fu現xian工gong控kong網wang絡luo基ji礎chu環huan境jing、工藝生產場景和勒索病毒感染路徑。

3.1     感染病毒環境設計

3.1.1    基礎環境和工藝設計

工控網絡層次模型從上到下共分為5個層級，依次為企業管理層、生產執行層、過程監控層、現場控製層和現場設備層，不同層級的實時性要求不同。此次仿真根據汽車製造業的網絡拓撲、生產工藝、數據采集等業務進行高度模擬真實現場生產環境。工業網絡靶場環境各個區域設備組成如下：

公網區域：使用靶場環境仿真公網
，攻擊者使用模擬公網IP。

安全設備區：由防火牆
、蜜罐、監測等係統組成。

企業管理層：搭建財務、人事等係統。

生產執行層：搭建倉儲管理、計劃排產等係統。

過程監控層：搭建汽車製造業衝壓工藝
、焊接工藝
、塗裝工藝、總裝工藝、工程師站或操作員站。

現場控製層：搭建仿真西門子300控製器對衝壓工藝、焊接工藝、塗裝工藝、總裝工藝程序。控製層數據可傳送至過程監控層操作員站或工程師站。

環境仿真設備如下圖：

工藝流程說明：該環境工藝根據汽車製造業四大關鍵工藝設計

，依次是衝壓工藝、焊接工藝、塗裝工藝、總裝工藝。經過這四道工藝流程，汽車製造就完成了
，下麵是四道工藝的具體流程。

第一步：衝壓工藝，用不同型號的鋼板衝壓出車身的零部件
，把整卷鋼板裁剪成不同零件製造。這是一道基礎的工序

，是後續工序的前期準備。

第二步：hanjiegongyi，jianggezhongcheshenchongyabujiantongguohanjiegongyishizhijiehezaiyiqi。suizhezidonghuadetisheng

，henduoqichezhizaoyehuiyoudaliangdejiqirenjinxingjiguanghanjie，bujintigaolegongzuoxiaolv
，zhiliangyededaolebaozhang，cheshenmeiyichuhanjiewanchenghou，xuyaorengongzaixijianzhahanjieqingkuang
，quebaocheshenbujianhanjielaodu
，zheyangcainengjinruxiayibuzhou。

第三步：tuzhuanggongyi，geicheshenpentushanggezhongyanse，fangzhicheshenxiushi，shicheshenjuyouliangliwaibiao。hanjiezuzhuangwanchengdecheshen
，yaojinxingfangxiuchuli，wucheshenquexianhouzaiyoujiqirenjinxingtuzhuangzuoye，jiqirentuzhuangkeyijianshaocailiaodelangfei，tishengtuzhuangxiaolv。

第四步：總裝工藝
，需要將車身
、底盤和內飾等各個部分零件組裝到一起
，形成一台完整的汽車。在這裏要進行車身底盤
、發動機
、變速箱以及其他內飾配件的安裝，這是汽車製造的主要工序。汽車總裝工藝
，決定了汽車的裝配質量。

下方圖例展示了工業網絡靶場環境中的一個工藝環節組態畫麵。畫麵中顯示了現場控製器、機器臂、報警等狀態，機器臂實時畫麵
，車輛完成數量統計等。

3.1.2    勒索病毒感染路徑設計

此次勒索病毒攻擊是模擬企業內部人員將存在web漏洞的人事辦公係統映射外網提供遠程辦公，由於企業每天麵臨外網攻擊次數多，使外網的攻擊者探測到人事辦公係統的web漏洞
，利用任意文件上傳拿下web shell進行勒索病毒加密文件操作。

此次勒索攻擊複現為了使企業環境和攻擊環境高度仿真，均使用靶場模擬外網地址。並非真實公網地址。

以下是勒索病毒感染路線圖（紅色代表攻擊路線）：

攻擊步驟如下：

(1)    探測目標資產

確認目標資產虛擬公網ip為：1.1.1.1（注釋：靶場虛擬ip），nmap掃描端口發現存在http等服務。

(2)    確認資產

訪問8080端口發現，資產為某汽車人事辦公oa係統。

(3)    確認資產版本等漏洞相關信息

獲取版本信息，該版本某汽車人事辦公oa係統存在曆史漏洞。通過手工驗證發現存在action_upload.php 文件過濾不足且無後台權限
，導致任意文件上傳漏洞。

(4)    編寫漏洞利用腳本，實現一鍵上傳shell。

./TDOA2017-benhinder http://1.1.1.1:8080執行腳本成功，訪問webshell路徑驗證。

(5)    上線Behinder（冰蠍）

啟動冰蠍 java -jar Behinder.jar

webshell地址：http://1.1.1.1:8080/behinder.php （注釋：靶場虛擬ip）。

密碼：rebeyond

進入係統，命令執行
，內網ip為 192.168.10.4（注釋：靶場虛擬ip）。

(6)    上傳病毒

將勒索病毒上傳至目標主機並運行。

3.2    靶場環境搭建介紹

（1）    網絡結構介紹

汽車製造業網絡中主要分為公網、安全設備區
、企業管理層、生產執行層、過程監控層、現場控製層、現場設備層
，各層次網絡依次連接。其網絡邊界隔離定義為公網和企業管理層由防火牆進行邏輯隔離

、現xian場chang過guo程cheng監jian控kong層ceng和he生sheng產chan執zhi行xing層ceng通tong過guo實shi時shi數shu據ju庫ku或huo數shu采cai網wang關guan隔ge離li。多duo數shu企qi業ye現xian場chang信xin息xi側ce和he生sheng產chan側ce邊bian界jie無wu安an全quan設she備bei，內nei網wang存cun在zai攻gong擊ji風feng險xian。網wang絡luo結jie構gou如ru下xia圖tu：

（2）    仿真虛擬組件介紹

bachangduiqichezhizaoyedeyewucengshebeijinxingfangzhendajian，fangzhenxianchanggongyikongzhiqibingbianxiechengxu，tongguofangzhenxianchanggongchengshizhanjicaozuoyuanzhankongzhiyujianshifangzhenkongzhiqichengxu。

數據通過實時數據庫工控側進行采集，信息側將數據轉發 生產執行層係統。

（3）    勒索病毒場景設計

攻(gong)擊(ji)者(zhe)利(li)用(yong)防(fang)火(huo)牆(qiang)端(duan)口(kou)映(ying)射(she)企(qi)業(ye)管(guan)理(li)層(ceng)係(xi)統(tong)進(jin)行(xing)攻(gong)擊(ji)。以(yi)仿(fang)真(zhen)不(bu)同(tong)業(ye)務(wu)層(ceng)設(she)備(bei)，搭(da)建(jian)環(huan)境(jing)多(duo)維(wei)度(du)高(gao)度(du)仿(fang)真(zhen)。對(dui)此(ci)次(ci)企(qi)業(ye)勒(le)索(suo)病(bing)毒(du)模(mo)擬(ni)攻(gong)擊(ji)事(shi)件(jian)，利(li)用(yong)安(an)全(quan)設(she)備(bei)、主機日誌等開展應急響應

、恢複等一係列措施。

業務仿真按照汽車製造業的主要網絡架構、生產工藝、數據采集，采用虛擬組件方式進行搭建
，仿真汽車環境的業務流程控製係統，根據實際生產工藝劃分不同工藝終端係統和控製係統。

四     仿真環境內勒索攻擊應急響應

工gong業ye網wang絡luo靶ba場chang的de仿fang真zhen環huan境jing內nei嵌qian完wan整zheng的de應ying急ji響xiang應ying步bu驟zhou
，製zhi造zao業ye企qi業ye可ke根gen據ju現xian場chang攻gong擊ji者zhe勒le索suo的de主zhu機ji，進jin行xing應ying急ji響xiang應ying步bu驟zhou，通tong過guo辦ban公gong人ren員yuan發fa現xian主zhu機ji勒le索suo病bing毒du彈dan框kuang通tong知zhi信xin息xi安an全quan人ren員yuan，信xin息xi安an全quan人ren員yuan對dui被bei勒le索suo主zhu機ji網wang絡luo隔ge離li、病毒分析
、阻止擴散
、殺毒、解密、加固等應急響應。

此次勒索攻擊複現為了使企業環境和攻擊環境高度仿真，均使用靶場模擬外網地址，並非真實公網地址。

紅色代表攻擊路線、藍色代表應急路線，如下圖所示:

4.1    應急響應步驟

4.1.1    主機日誌排查

係(xi)統(tong)感(gan)染(ran)勒(le)索(suo)病(bing)毒(du)

，界(jie)麵(mian)彈(dan)出(chu)勒(le)索(suo)信(xin)件(jian)
，此(ci)時(shi)係(xi)統(tong)內(nei)的(de)文(wen)件(jian)已(yi)經(jing)被(bei)病(bing)毒(du)加(jia)密(mi)無(wu)法(fa)正(zheng)常(chang)訪(fang)問(wen)。要(yao)求(qiu)受(shou)害(hai)者(zhe)支(zhi)付(fu)贖(shu)金(jin)才(cai)能(neng)解(jie)密(mi)文(wen)件(jian)並(bing)恢(hui)複(fu)訪(fang)問(wen)權(quan)限(xian)。

為(wei)判(pan)斷(duan)此(ci)次(ci)攻(gong)擊(ji)事(shi)件(jian)始(shi)末(mo)以(yi)及(ji)後(hou)續(xu)處(chu)置(zhi)的(de)分(fen)析(xi)溯(su)源(yuan)，通(tong)過(guo)對(dui)主(zhu)機(ji)端(duan)口(kou)連(lian)接(jie)情(qing)況(kuang)進(jin)行(xing)分(fen)析(xi)和(he)溯(su)源(yuan)
，獲(huo)得(de)更(geng)多(duo)關(guan)於(yu)攻(gong)擊(ji)事(shi)件(jian)的(de)信(xin)息(xi)
，並(bing)為(wei)進(jin)一(yi)步(bu)的(de)調(tiao)查(zha)和(he)處(chu)置(zhi)提(ti)供(gong)指(zhi)導(dao)。可(ke)初(chu)步(bu)排(pai)查(zha)可(ke)疑(yi)IP。（注釋：12.12.12.3靶場虛擬    IP）。

4.1.2    禁用網卡

weilejiangdilesuoshijiandesunshibingxianzhibingdudejinyibuchuanbo
，jinyongshougongjizhujidewangkayishixianduanwangchuli。zhejiangzuzhibingdujixukuosanzhineiwangzhongdeqitazhuji
，bingfangzhishijianduigongsiyewudezhengchangyunxingchanshenggengdadeyingxiang。ciwai
，duanwangchulihaiyouzhuyuzuduangongjizheyushouganranzhujizhijiandelianjie。

4.1.3    病毒分析

根據勒索病毒加密文件的後綴和勒索信件的內容進行判斷，經過謹慎縝密地分析
，確認該勒索病毒屬於WannaCry家族勒索病毒。該病毒通過網絡傳播和感染計算機
，然後加密受害者的文件
，並要求支付贖金以獲取解密密鑰。

4.1.4    排查內網主機

逐zhu一yi排pai查zha內nei網wang內nei其qi他ta主zhu機ji的de運yun行xing狀zhuang態tai，判pan斷duan是shi否fou被bei病bing毒du擴kuo散san傳chuan染ran

，由you於yu此ci次ci應ying急ji響xiang應ying迅xun速su
，病bing毒du並bing未wei繼ji續xu擴kuo散san
，內nei網wang其qi他ta主zhu機ji仍reng處chu於yu安an全quan狀zhuang態tai。

4.1.5    安全設備排查

查zha看kan安an全quan設she備bei日ri誌zhi對dui此ci次ci攻gong擊ji事shi件jian進jin行xing溯su源yuan分fen析xi，通tong過guo燈deng塔ta安an全quan威wei脅xie誘you捕bu審shen計ji係xi統tong捕bu獲huo到dao攻gong擊ji者zhe畫hua像xiang
，係xi統tong分fen析xi此ci次ci攻gong擊ji疑yi似si境jing外wai黑hei客ke所suo為wei。（注釋：12.12.12.3靶場虛擬IP）。

通過對主機係統日誌件和安全設備日誌事件的對比，可以排查攻擊者。（注釋：12.12.12.3靶場虛擬IP）。

捕獲到該攻擊IP曾嚐試通過3389端口遠程連接公網地址，因此該IP最有可能為此次攻擊事件的攻擊者。（注釋：12.12.12.3靶場虛擬ip）。

4.2    數據恢複

4.2.1    病毒查殺

導入安全殺毒軟件的離線包
，對感染主機進行殺毒，通過對係統磁盤進行掃描檢測發現主機所中病毒並將其查殺。

4.2.2    文件恢複

suirantongguoshaduruanjianzhashalexitongzhongdelesuobingduchengxu
，danbingmeinenghuifubeibingdusuojiamidewenjian
，yincixuyaodaoruwenjianhuifugongjulixianbaolaichangshihuifuzhexiewenjian。

文件恢複工具的成功率通常取決於多個因素，包括病毒的加密強度

、加(jia)密(mi)算(suan)法(fa)的(de)複(fu)雜(za)性(xing)以(yi)及(ji)文(wen)件(jian)本(ben)身(shen)的(de)完(wan)整(zheng)性(xing)，因(yin)此(ci)並(bing)不(bu)能(neng)完(wan)全(quan)依(yi)賴(lai)文(wen)件(jian)恢(hui)複(fu)工(gong)具(ju)恢(hui)複(fu)所(suo)有(you)損(sun)失(shi)。通(tong)過(guo)對(dui)比(bi)可(ke)以(yi)發(fa)現(xian)，隻(zhi)有(you)部(bu)分(fen)被(bei)加(jia)密(mi)的(de)文(wen)件(jian)能(neng)夠(gou)成(cheng)功(gong)恢(hui)複(fu)，受(shou)害(hai)主(zhu)機(ji)中(zhong)仍(reng)有(you)大(da)量(liang)文(wen)件(jian)未(wei)得(de)到(dao)恢(hui)複(fu)。

4.2.3    數據備份恢複

鑒jian於yu文wen件jian恢hui複fu工gong具ju無wu法fa完wan全quan恢hui複fu本ben次ci勒le索suo病bing毒du事shi件jian所suo造zao成cheng的de影ying響xiang和he破po壞huai
，需xu要yao采cai取qu數shu據ju備bei份fen方fang法fa來lai還hai原yuan係xi統tong。利li用yong備bei份fen的de數shu據ju可ke將jiang係xi統tong還hai原yuan至zhi病bing毒du入ru侵qin前qian最zui近jin一yi次ci狀zhuang態tai，消xiao除chu勒le索suo攻gong擊ji的de影ying響xiang
，並bing將jiang係xi統tong恢hui複fu到dao可ke信xin的de狀zhuang態tai。

4.3    場景加固

4.3.1    安全設備加固

通過安全產品對整個內網環境進行加固，如製定防火牆策略可提高工控網絡的防禦能力。停止人事係統暴露公網端口映射後,可進行產品漏洞修複。（注釋：1.1.1.1靶場虛擬IP）。

禁止內外網IP ping防火牆。啟用內網DOS攻擊防禦。

4.3.2    恢複備份，安裝殺毒軟件

在加固內網環境並加強防火牆策略後，再次利用安全殺毒軟件對受攻擊的主機進行快速病毒掃描，以確保徹底消除勒索攻擊安全隱患。

五     靶場模擬勒索病毒事件應急響應總結

經過在工業網絡靶場中的勒索病毒攻擊演練，製造業用戶可對此類型應急響應事件進行總結，製定適合的應急處置流程、技術規範
、管理規範
，最大化降低勒索攻擊對企業的損害。

5.1    勒索病毒基本情況

病毒家族：WannaCry ，勒索病毒變種：WannaCry 2.0
，WannaCry（又叫Wanna Decryptor），一種“蠕蟲式”勒索病毒軟件。該勒索病毒在2017年襲擊了全球150多個國家和地區，影響了包括政府部門、醫療服務、公共交通、郵政、通信和汽車製造業等領域，對社會發展造成惡劣影響。

本次勒索病毒攻擊者利用了產品web應用漏洞，入侵用戶內部網絡
，投放勒索病毒程序
，加密係統文件進行勒索。

病毒後綴名：.WNCRY

5.2    靶場內的勒索病毒應急處置

當靶場環境機器感染勒索病毒後，立即開展以下應急工作：

（1）    隔離網絡：該場景使用禁用網絡方式切斷受感染機器的網絡連接，避免網絡內其他機器被進一步感染滲透。

（2）    加密情況：該場景發現文件已經全部被加密，可保持機器開機狀態
，等待繼續排查。如重要文件未被加密
，可選擇關閉勒索病毒進程或關機。

（3）    病毒範圍：排查該場景其他可能會受到勒索病毒影響的機器，確定勒索病毒傳播範圍。

（4）    問題排查：通過主機端口連接查找攻擊來源。通過安全設備進行攻擊溯源工作。

（5）    專業恢複：使用勒索病毒文件解密工具嚐試解密，無法解密時需使用數據備份恢複係統。

（6）    安全加固：通過安全設備和主機日誌排查出攻擊來源，加固防火牆策略配置。安裝殺毒軟件實時監測主機安全狀態，防止攻擊者再次勒索。

（7）    產品升級：可將係統進行升級
，防止攻擊者利用web應用漏洞。

5.3    勒索病毒防範

5.3.1    技術防範

(1)    數據備份

重要文件或者重要係統需采用移動硬盤等方式進行定期備份數據，避免主機被勒索病毒攻擊
，導致文件加密無法恢複的情況出現。

(2)    終端防護

關閉主機的 445、135、139、3389 等高危端口
，可避免勒索病毒針對高危端口漏洞攻擊和企業內網中的橫向傳播。

針對通過 RDP 服務和弱口令破解進行入侵和擴散的勒索病毒，建議企業對設備操作係統口令進行定期檢查修改，增強口令長度檢查、複雜度檢查，避免使用統一而簡單的登錄密碼。

對創建賬戶
、刪除賬戶
、鎖定
、禁用等相關高權限行為進行管控。

禁用設備移動接口。

修複應用漏洞相關補丁。

(3)    郵件防護

企業內部員工不點擊陌生人發來的各種鏈接
，不要打開陌生人發來的附件。及時更新係統補丁及防病毒軟件的病毒定義包。

(4)    安全設備防護

上網行為審計係統：企業出於合規、審計等原因，基本都會部署上網行為審計係統，策略上需配置屏蔽可能含有勒索病毒網站。

防火牆：針對企業業務進行訪問控製。

入侵防禦：使用入侵防禦設備對URL過濾、惡意軟件過濾等，需結合沙箱、情報技術等方法分析處理。

主機衛士：企業終端安裝主機防護軟件
，對勒索病毒、木馬及時查殺。

態勢感知：使用態勢感知實時監測企業網絡安全狀態。

5.3.2    管理防範

（1）    製定並落實網絡安全管理製度。

在管理製度上，需要從驗證信息、訪問控製

、資產梳理

、終端防護等幾個方麵側重管理。企業工業控製係統在向外連接時
，可通過入網的設備驗證、人員驗證
，確保準確性及唯一性，加強工業控製係統業務訪問控製權限管理，關閉高危端口、定期查看補丁、busizijietongwaiwang，youxiaobaozhangruwangshebeidehefaxing，fangzhilesuobingduzaiqiyeneiwangkuosan。duilianwangdegongyekongzhishebeijinxingshuli，jianlizichanku，jiaqiangqiyebianyuanzichanjianguan
，dadaoxuejiangongyekongzhixitongwangluozichanbaolumiandemude。

（2）    定期檢查工業控製係統漏洞。

在檢查工業控製係統上，需要從供應鏈
、軟件
、硬ying件jian等deng采cai購gou上shang管guan理li把ba控kong。要yao將jiang定ding期qi掃sao描miao漏lou洞dong按an照zhao等deng級ji劃hua分fen，並bing按an照zhao等deng級ji修xiu複fu漏lou洞dong。工gong業ye控kong製zhi係xi統tong中zhong使shi用yong的de操cao作zuo係xi統tong和he工gong業ye軟ruan件jian數shu量liang和he版ban本ben眾zhong多duo，存cun在zai漏lou洞dong個ge數shu多duo、種類多，使得勒索病毒傳播速度難以把控。攻擊者可以提前將勒索病毒植入企業的供應鏈上遊的軟
、硬件供應商的產品中，在安裝或更新軟、硬(ying)件(jian)時(shi)，勒(le)索(suo)病(bing)毒(du)即(ji)被(bei)帶(dai)入(ru)工(gong)業(ye)控(kong)製(zhi)係(xi)統(tong)設(she)備(bei)
，感(gan)染(ran)企(qi)業(ye)網(wang)絡(luo)中(zhong)存(cun)在(zai)漏(lou)洞(dong)的(de)係(xi)統(tong)。針(zhen)對(dui)工(gong)業(ye)控(kong)製(zhi)係(xi)統(tong)，企(qi)業(ye)需(xu)要(yao)加(jia)強(qiang)定(ding)期(qi)對(dui)工(gong)業(ye)控(kong)製(zhi)係(xi)統(tong)終(zhong)端(duan)
、網絡設備、服務器
、控製器等設備的漏洞掃描。清晰定性網絡安全風險，及時完善係統補丁、修複漏洞
，執行完整的安全策略
，從根源上進行風險預防。

（3）    建立健全應急響應機製。

大(da)部(bu)分(fen)的(de)勒(le)索(suo)攻(gong)擊(ji)是(shi)無(wu)征(zheng)兆(zhao)的(de)，所(suo)以(yi)應(ying)當(dang)加(jia)強(qiang)網(wang)絡(luo)安(an)全(quan)應(ying)急(ji)預(yu)警(jing)
，建(jian)立(li)健(jian)全(quan)的(de)應(ying)急(ji)響(xiang)應(ying)機(ji)製(zhi)
，利(li)用(yong)企(qi)業(ye)的(de)網(wang)絡(luo)安(an)全(quan)資(zi)源(yuan)實(shi)現(xian)安(an)全(quan)資(zi)源(yuan)信(xin)息(xi)共(gong)享(xiang)。同(tong)時(shi)可(ke)與(yu)國(guo)家(jia)相(xiang)關(guan)機(ji)構(gou)和(he)國(guo)內(nei)安(an)全(quan)公(gong)司(si)進(jin)行(xing)合(he)作(zuo)
，運(yun)用(yong)有(you)效(xiao)資(zi)源(yuan)和(he)應(ying)急(ji)響(xiang)應(ying)技(ji)術(shu)手(shou)段(duan)結(jie)合(he)的(de)方(fang)式(shi)，共(gong)同(tong)製(zhi)定(ding)企(qi)業(ye)勒(le)索(suo)攻(gong)擊(ji)應(ying)急(ji)預(yu)案(an)。

（4）    加強內部員工網絡安全意識。

企業需要持續的進行網絡安全培訓，提高內部員工網絡安全意識，使其在日常操作過程中能夠有效識別係統漏洞攻擊、垃圾郵件攻擊等惡意行為，認識其危害並掌握一些必要的應對防範措施。

在組織建設方麵
，鼓勵企業成立網絡安全事件響應小組，通過專職小組有組織、係(xi)統(tong)性(xing)地(di)監(jian)視(shi)業(ye)務(wu)係(xi)統(tong)的(de)安(an)全(quan)性(xing)

，及(ji)時(shi)接(jie)收(shou)網(wang)絡(luo)中(zhong)的(de)異(yi)常(chang)通(tong)知(zhi)報(bao)告(gao)
，一(yi)旦(dan)出(chu)現(xian)異(yi)常(chang)情(qing)況(kuang)
，響(xiang)應(ying)小(xiao)組(zu)可(ke)以(yi)及(ji)時(shi)采(cai)取(qu)應(ying)急(ji)措(cuo)施(shi)對(dui)勒(le)索(suo)攻(gong)擊(ji)進(jin)行(xing)範(fan)圍(wei)控(kong)製(zhi)，最(zui)大(da)化(hua)降(jiang)低(di)其(qi)對(dui)企(qi)業(ye)的(de)影(ying)響(xiang)程(cheng)度(du)。

勒索病毒不是普通的“感冒”，工業企業應防患於未然，數據提前備份、人員提前演練、體係提前建立，多維度共同防護，才是抵禦勒索攻擊的長久之計。

最zui後hou
，關guan於yu勒le索suo病bing毒du的de應ying急ji響xiang應ying資zi源yuan有you很hen多duo，烽feng台tai科ke技ji為wei大da家jia找zhao到dao了le幾ji個ge靠kao譜pu的de鏈lian接jie，希xi望wang能neng幫bang更geng多duo工gong業ye企qi業ye有you效xiao應ying對dui勒le索suo病bing毒du攻gong擊ji，減jian少shao企qi業ye財cai產chan損sun失shi
，建jian立li良liang好hao的de經jing營ying環huan境jing。

六     勒索病毒應急響應資源鏈接

6.1    國內資源鏈接

6.1.1    火絨安全軟件5.0（個人版）

火絨是一款殺防管控一體的安全軟件

，有著麵向個人和企業的產品。擁有簡潔的界麵、豐富的功能和良好的體驗。特別針對國內安全趨勢，自主研發高性能反病毒引擎。

主要特點

（1）    無任何廣告推送

（2）    一鍵掃描

、查殺病毒
，基於“通用脫殼”
、“行為沙盒”的本地反病毒引擎，不受斷網影響。

（3）    19個重要防護功能，有效防病毒、木馬、流氓軟件、惡意網站等。

傳送門：www.huorong.cn

6.1.2    奇安信勒索病毒工具集下載

奇安信科技集團股份有限公司成立於2014年，專注於網絡空間安全市場，向政府、企業用戶提供新一代企業級網絡安全產品和服務。

主要特點

（1）    針對勒索病毒專殺

（2）    針對永恒之藍病毒端口關閉

（3）    針對蠕蟲勒索病毒文件恢複

（4）    蠕蟲勒索工具種類多

傳送門：https://www.qianxin.com/other/qaxvirusremoval

6.1.3    勒索病毒搜索引擎合集

【360】 勒索病毒搜索引擎
，支持檢索超過800種常見勒索病毒

傳送門：https://lesuobingdu./

【騰訊】 勒索病毒搜索引擎，支持檢索超過 300 種常見勒索病毒

傳送門：https://guanjia.qq.com/pr/ls/

【啟明星辰】VenusEye勒索病毒搜索引擎


，超300種勒索病毒家族

傳送門：https://lesuo.venuseye.com.cn/

【奇安信】勒索病毒搜索引擎

傳送門：https://lesuobingdu.qianxin.com/

6.1.4    勒索病毒解密合集

【騰訊哈勃】勒索軟件專殺工具

傳送門：https://habo.qq.com/tool/index

【金山毒霸】勒索病毒免疫工具

傳送門：http://www.duba.net/dbt/wannacry.html

【瑞星】解密工具下載

傳送門：http://it.rising.com.cn/fanglesuo/index.html

6.2    國外資源鏈接

6.2.1    卡巴斯基

kabasijifanbingduruanjianshishijieshangyongyouzuijianduankejideshaduruanjianzhiyi，zongbushezaieluosishoudoumosike，shiguojizhumingdexinxianquanlingdaochangshangzhiyi。gongsiweigerenyonghu、企業網絡提供反病毒、防黑客和反垃圾郵件產品。

主要特點：

（1）    使用便捷。

（2）    多層級防禦係統，保護電腦免受其他威脅。

（3）    殺毒功能非常強大，能夠檢測各種惡意軟件和網絡攻擊。

（4）    智能更新安防庫和軟件程序。

傳送門：https://www.kaspersky.com.cn/

6.2.2    No More Ransomware Project

該軟件主要目標是保護用戶免受勒索軟件攻擊
，有勒索病毒密鑰庫


，有效解除不同類型被加密文件。

主要特點：

（1）    有關於勒索病毒加密文件的詳細說明

（2）    定期更新勒索病毒密鑰庫

（3）    提供超過25種不同語言的服務

傳送門：https://www.nomoreransom.org/zh/decryption-tools.html#Bianlian

參考文獻

[1]崔瑩瑩,原真,劉健帥.工業領域勒索攻擊事件態勢分析及應對方法探討[J].工業信息安全,2022(10):63-68.

[2]薛丹丹,王媛媛,卲一瀟等.勒索病毒的原理及防禦措施[J].網絡安全技術與應用,2023(02):10-12.

[3]國家工信安全發展研究中心發布，2022年工業信息安全態勢報告[EB/OL].[2023-2-14]. http://www.cics-cert.org.cn/.

[4]中國信息通信研究院，勒索病毒安全防護手冊[EB/OL].[2021-9]. http://www.caict.ac.cn/.