2024年1月10日发(作者：)

优秀案例之360企业安全汽车制造行业“永恒之蓝”病毒应急处理和安全

一、 案例背景

工业控制系统(Industrial Control Systems, ICS)通常指由计算机设备和工业生产控制部件组成的系统,主要包括五大部分：数据釆集与监测控制系统(SCADA)、分布式控制系统(DCS)、过程控制系统(PCS)、可编程逻辑控制器(PLC)及现场总线控制系统(FCS)等。工业控制系统已经广泛应用于工业、能源、交通及市政等领域，是我国国民经济、现代社会以及国家安全的重要基础设施的核心系统。

工业控制系统由于历史上相对封闭的使用环境，大多只重视系统的功能实现，对安全的关注相对缺乏，工控安全的现状处于“先天不足、后天失养、未来堪忧”的状态。随着IT/OT一体化的逐步推进，工业控制系统越来越多地与企业网和互联网相连接，形成了一个开放式的网络环境。工控系统网络化发展导致了系统安全风险和入侵威胁不断增加，面临的网络安全问题也更加突出。由于工控网络系统环境的特殊性，传统的IT信息安全技术不能直接应用于工业控制网络的安全防护。

另外，工业控制系统的协议和设计，在研发时即偏重于功能的实时性和可靠实现，对安全攻击缺乏前期设计和有效抵御方法。工业控制系统由于担心系统兼容性问题，通常不升级补丁，甚至有的工作站供应商明确要求用户不得自行升级系统，因此系统长期运行后会积累大量的安全漏洞病毒问题一直是威胁工控系统主机安全的一个棘手问题，从震网病毒到2017年末的工业破坏者，这些如幽灵般游荡在工控系统网络中的杀手总是伺机而动，一旦得手就会带来巨大的危害。；再加上运维过程中缺乏科学的安全意识、管理和技术方案，这些缺陷使工控系统面对网络安全攻击时极其脆弱，给安全生产带来极大隐患。

2017年6月初，国内某知名新能源汽车制造企业遭受病毒侵袭，生产制造产线几台上位机莫名出现频繁蓝屏死机现象，并迅速蔓延至整个生产园区内大部分上位机，产线被迫停止生产。该企业日产值超百万，停产直接损失严重，虽然信息安全部门采取了若干紧急处理措施，但收效甚微。为了尽快解决问题恢复生产，该企业紧急向360安全监测与响应中心进行了求助。

二、核心问题分析

工业现场的上位机大多老旧，服役10年以上仍在运行的主机也很常见，而工业现场的相对封闭性，使得补丁升级、病毒处理变成一件很复杂的事情。工业生产的稳定性往往会面临上位机脆弱性的挑战，一旦感染病毒就会造成巨大影响。

该企业生产网络与办公网络连通，未采取安全防护措施；生产制造产线上位机运行异常，重复重启或蓝屏，初步断定为病毒入侵。

由于上位机操作系统都是老旧的Windows XP，感染病毒之后频繁蓝屏重启，无法在问题终端采样进行病毒分析。在生产网络核心交换机位置旁路部署360工业安全检查评估系统对生产网络数据流量进行检测，该设备基于360行业领先的安全大

数据能力生成多维度海量恶意威胁情报数据库，对工业控制网络进行自动化数据采集与关联分析，识别网络中存在的各种安全威胁。借助工业安全检查评估系统的强大检测分析能力，安服人员很快判定该企业上位机感染了“永恒之蓝”蠕虫病毒（也称为WannaCry）。“永恒之蓝”（WannaCry）在windows 7系统中出现文件加密现象，在Windows XP系统中则出现蓝屏现象。

三、 对策与措施

应急处置

WannaCry病毒利用泄露的NSA黑客数字武器库中“永恒之蓝”工具发起蠕虫病毒攻击并进行勒索，病毒激活后会释放出一系列攻击文件，然后访问一个看似毫无意义的域名地址（以下简称病毒网站），若此域名可用则停止对主机加密，反之则对主机文件进行加密，此行为被称为Kill Switch。Kill Switch是WannaCry病毒是否加密系统的一个决定性开关。

安服人员发现上位机感染WannaCry病毒之后，为了避免上位机中数据被加密带来进一步的危害，紧急在生产网络中部署一台伪装病毒服务器，域名设定为病毒网站，并通过策略设置将生产网上位机DNS指向此伪装服务器，阻止了WannaCry病毒的后续影响。

该企业生产园区占地范围很大，感染病毒的上位机几乎遍布整个园区，单纯依靠人力难以逐一定位问题终端。360工业安全检查评估工具箱在此过程中发挥了巨大作用，不仅给出了感染病毒的准确研判，而且详细统计出所有问题终端的IP地址和MAC地址，结合企业提供的资产清单，安服人员和厂方技术人员很快确定了绝大部分问题终端的具体位置。

感染处理

完成定位之后，360安服人员即刻赶往最近的问题终端，第一时间关闭了445端口，避免病毒进一步扩散。经过与厂方生产技术工程师细致沟通，得知以下信息：

1、 上位机硬件配置资源有限，无法安装杀毒软件；

2、 专用的生产软件对操作系统版本有严格限制，无法对操作系统进行打补丁操作；

3、 重装系统会导致专用软件授权失效，带来经济损失。

结合上述信息，安服人员只能对问题终端采取杀毒处理。为了避免杀毒过程中对上位机系统和数据造成影响，安服人员首先备份了问题终端系统及数据，然后用360推出的WannaCry病毒专杀工具进行杀毒处理，清除感染的病毒。

克服重重困难，病毒终于顺利清除，问题终端系统恢复正常运行，安服人员与厂方生产技术工程师反复确认其专用生产软件运行正常，能够正常下发数据。至此，第一台问题终端病毒感染处理终于完成，为后续处理积累了宝贵经验。

安全加固

为了避免处理完成的上位机再次感染病毒，安服人员在上位机上部署安装了360工业主机防护软件，该软件基于轻量级“应用程序白名单”技术，能够智能学习并自动生成工业主机操作系统及专用工业软件正常行为模式的“白名单”防护基线，放行正常的操作系统进程及专用工业软件，主动阻断未知程序、木马病毒、恶意软件、攻击脚本等运行，为工业主机创建干净安全的运行环境。

问题处理及安全防护示意图

同时，为了避免U盘混用带来的病毒串扰风险，安服人员利用360工业主机防护软件对U盘使用进行合法性注册和读写控制策略配置，仅允许生产技术工程师专用的U盘识别和使用。

此外，为了限制Windows 网络共享协议相关端口开放带来的风险，安服人员通过ACL策略配置关闭了TCP 端口135、139、445和UDP 端口137、138，并利用360

安全卫士的“NSA 武器库免疫工具”关闭存在高危风险的服务，从而对NSA 黑客武器攻击的系统漏洞彻底“免疫”。

经过以上病毒清除和安全加固手段，不仅解决了感染WannaCry病毒带来的蓝屏重启问题，而且极大的提升了上位机的主动防御能力，实现了上位机从启动、加载到持续运行过程全生命周期的安全保障。

经过此次事件，该企业对工业控制系统安全性更加重视，决定采取360整体工控安全防护措施，逐步建设形成覆盖汽车制造产线全链条的立体化工控安全技术防护方案。

三、 案例特色及应用价值

360工业安全检查评估工具箱和工业主机防护软件是解决工业主机脆弱性问题的一剂良药。

360工业安全检查评估工具基于360领先的威胁情报大数据能力快速识别威胁和资产。工控设备资产发现是对工业控制系统中的工业控制器、工控系统、操作系统、工业控制组态软件、数据库软件、工业以太网设备、工控安全设备等进行资产发现，通过网卡采取工控流量，进行解析，基于流量中特征字段和指纹库进行资产识别。该工具内置了流量检测引擎在解析流量的同时进行威胁情报的IOC快速比对，能在极短的时间内发现流量中的攻击行为，此外根据威胁情报告警提供的信息结合云端威胁情报中心进行二次分析，发现其他关联的攻击。360工业安全检查评估工具在2018年中国国际大数据产业博览会获评全球十大“黑科技”奖。

360工业主机防护系统具有完全自主的知识产权，能够帮助关系国计民生的大型工控企业对工控网络工作站、服务器进行安全防护和安全加固，杜绝安全后门隐患，响应国家信息安全国产化政策及号召。该防护系统使用先进白名单防护技术，能够有效抵御病毒、木马、恶意软件、零日攻击、高级持久威胁(APT)攻击对工控网络工作站、服务器的攻击与破坏行为，真正帮助企业发现工控网络攻击，解决安全问题，使企业的安全投入物有所值。同时，工业主机防护系统能够有效检测到操作员针对工作站、服务器的违规、异常操作并加以阻止，进而避免工控系统的意外停车事故。同时，基于白名单技术的解决方案无需对工控网络结构进行改造，避免频繁升级工控系统，减少系统维护停车时间。

该方案能够适用于大部分工业控制系统，是一套成熟可靠的安全解决方案。