国产精品久久久久久久久软件,国产成人久久久精品二区三区,国产成人无码一区二区三区在线 ,大又大粗又爽又黄少妇毛片,国产精品成人aaaaa网站

2017年，“WannaCry”勒索病毒橫空出世，席卷全球，此后六年勒索病毒猶如洪水泛濫般一發(fā)不可收拾，尤其是在制造業(yè)。

勒索病毒攻擊手段逐漸多樣化（木馬、郵件、漏洞、捆綁），國(guó)內(nèi)外制造業(yè)成為頭號(hào)攻擊對(duì)象，曾有行業(yè)內(nèi)用戶表示“中過(guò)招，還好有備份，但如何防范還是不太清楚，擔(dān)心被竊取的信息泄露出去，也不想病毒在內(nèi)網(wǎng)中偷偷傳播，行業(yè)里越來(lái)越多同行都開(kāi)始重視防范，我們也希望能好好防范”。

經(jīng)烽臺(tái)科技在工業(yè)網(wǎng)絡(luò)靶場(chǎng)中的實(shí)踐研究分析顯示，靶場(chǎng)仿真技術(shù)可針對(duì)不同業(yè)務(wù)層設(shè)備，搭建環(huán)境多維度高度仿真。工業(yè)網(wǎng)絡(luò)靶場(chǎng)的仿真環(huán)境內(nèi)嵌完整的應(yīng)急響應(yīng)步驟，在攻擊者利用勒索病毒對(duì)企業(yè)進(jìn)行攻擊時(shí)，制造業(yè)企業(yè)可根據(jù)攻擊者勒索的主機(jī)，進(jìn)行應(yīng)急響應(yīng)步驟，對(duì)被勒索主機(jī)網(wǎng)絡(luò)隔離、病毒分析、阻止擴(kuò)散、殺毒、解密、加固等應(yīng)急響應(yīng)。

今日，烽臺(tái)科技就將“制造業(yè)如何在靶場(chǎng)內(nèi)進(jìn)行勒索病毒應(yīng)急演練”做專業(yè)的分析講解，一解大家心中之惑。

一     勒索病毒

正所謂，知彼知己，百戰(zhàn)不殆。第一部分，先帶大家了解勒索病毒定義、影響、分類以及相關(guān)勒索事件。

1.1     勒索病毒簡(jiǎn)介

【定義】勒索病毒是一種極具破壞性，傳播性的惡意軟件，是伴隨數(shù)字貨幣興起的一種新型病毒木馬。

【影響】企業(yè)遭受勒索病毒攻擊時(shí)，內(nèi)部終端大部分文件被加密算法修改。并添加該類型勒索病毒特色的后綴，可導(dǎo)致用戶終端文件無(wú)法讀取，對(duì)用戶造成無(wú)法估量的損失。

【原理】勒索病毒通常利用非對(duì)稱加密算法和對(duì)稱加密算法組合的形式來(lái)加密文件。絕大多數(shù)勒索軟件均無(wú)法通過(guò)技術(shù)手段解密，必須支付黑客贖金拿到對(duì)應(yīng)的解密私鑰才有可能還原被加密文件。因通過(guò)數(shù)字貨幣支付。一般無(wú)法溯源，因此危害巨大。

【傳播途徑】郵件傳播、漏洞傳播、介質(zhì)傳播、捆綁傳播。

1.2     勒索病毒分類

勒索病毒種類繁多，常見(jiàn)的有四類，分別為文件加密類、數(shù)據(jù)竊取類、系統(tǒng)加密類、屏幕鎖定類，每一類都有不同病毒代表和中毒特點(diǎn)。

1.2.1     文件加密類勒索病毒

病毒定義：該類型病毒如RSA、AES等，通過(guò)多種加密算法對(duì)文件進(jìn)行加密，并要求支付贖金獲取密鑰，一旦感染，文件很難恢復(fù)。

病毒代表：“WannaCry”，通過(guò)加密算法加密文件，并在暗網(wǎng)進(jìn)行交易。

1.2.2     數(shù)據(jù)竊取類勒索病毒

病毒定義：該類型病毒與文件加密病毒相似，同樣加密用戶數(shù)據(jù)，并要求支付贖金，一旦感染，文件很難恢復(fù)，但在勒索過(guò)程中還會(huì)竊取用戶重要數(shù)據(jù)，以公開(kāi)方式脅迫用戶交贖金。

病毒代表：“Conti”，攻擊且感染全球政府部門(mén)及企業(yè)，通過(guò)加密算法竊取文件。

1.2.3     系統(tǒng)加密類勒索病毒

病毒定義：該類型病毒會(huì)加密系統(tǒng)磁盤(pán)引導(dǎo)記錄、卷引導(dǎo)記錄，同樣加密用戶數(shù)據(jù)，一旦感染，系統(tǒng)很難啟動(dòng)，并要求用戶支付贖金。

病毒代表：“Petya”，以病毒內(nèi)嵌的主引導(dǎo)記錄代碼覆蓋磁盤(pán)扇區(qū)，使設(shè)備系統(tǒng)無(wú)法正常開(kāi)啟。

1.2.4     屏幕鎖定類勒索病毒

病毒定義:該類型病毒會(huì)對(duì)用戶設(shè)備屏幕進(jìn)行鎖定，通常以全屏形式呈現(xiàn)涵蓋勒索信息圖像,使用戶無(wú)法登錄設(shè)備。

病毒代表:“WinLock”，鎖定設(shè)備屏幕，要求通過(guò)短信進(jìn)行支付。

1.3     工業(yè)企業(yè)勒索病毒事件

隨著互聯(lián)網(wǎng)在工業(yè)中的廣泛應(yīng)用，針對(duì)工業(yè)安全的各式網(wǎng)絡(luò)攻擊事件日益增多，尤其在電力、石油、鐵路運(yùn)輸、燃?xì)?、化工、制造業(yè)、能源、核應(yīng)用等相關(guān)領(lǐng)域的關(guān)鍵網(wǎng)絡(luò)一直都是全球攻擊者的首選目標(biāo)。據(jù)國(guó)家工信安全中心統(tǒng)計(jì)，2022年公開(kāi)披露的工業(yè)信息安全事件共312起，覆蓋了十幾個(gè)工業(yè)細(xì)分領(lǐng)域。

勒索攻擊持續(xù)威脅工業(yè)信息安全，截至2022年，公開(kāi)披露的工業(yè)領(lǐng)域勒索事件共89起，較2021年增長(zhǎng)百分比高。勒索攻擊手段方法更加復(fù)雜化，多重勒索成為攻擊者重要手段，跨平臺(tái)勒索軟件應(yīng)用更趨廣泛，間歇性加密成為勒索攻擊新方式。

據(jù)相關(guān)數(shù)據(jù)統(tǒng)計(jì)，制造業(yè)成為其中勒索攻擊的主要目標(biāo)。電子制造行業(yè)遭勒索病毒攻擊最多，汽車(chē)制造行業(yè)成為僅次于電子制造業(yè)的重點(diǎn)目標(biāo)。勒索攻擊造成的數(shù)據(jù)安全相關(guān)損失和影響持續(xù)加大。

1.3.1    典型案例分享

(1)    某機(jī)電受到“勒索病毒”攻擊導(dǎo)致其停產(chǎn)，詳情如下：

事件經(jīng)過(guò)

2018年，由于工作人員在使用了未打補(bǔ)丁的 Windows 系統(tǒng)安裝軟件過(guò)程中操作失誤，感染W(wǎng)annaCry變種病毒。因病毒已存在于新機(jī)臺(tái)內(nèi)，新機(jī)臺(tái)又未經(jīng)隔離查殺病毒就與其他電腦進(jìn)行連接，從而導(dǎo)致病毒擴(kuò)散。

事件影響

事件造成該廠三大重要生產(chǎn)基地生產(chǎn)線停擺，導(dǎo)致其停產(chǎn)數(shù)日，預(yù)估經(jīng)濟(jì)損失高達(dá)11.5億元人民幣。

(2)    A國(guó)某管道公司遭受勒索病毒攻擊導(dǎo)致輸油管道停運(yùn)，詳情如下：

事件經(jīng)過(guò)

2021年，總部位于A國(guó)的某管道運(yùn)輸公司發(fā)布消息，確認(rèn)公司遭受勒索軟件的攻擊，因此關(guān)閉了旗下多條主干成品油管道，并聘請(qǐng)網(wǎng)絡(luò)安全專家進(jìn)行處理和調(diào)查。此次勒索軟件攻擊事件是某個(gè)網(wǎng)絡(luò)犯罪團(tuán)伙發(fā)起的，在入侵某管道運(yùn)輸公司的網(wǎng)絡(luò)后，獲取了大量數(shù)據(jù)，以此威脅要求贖金。

事件影響

事件直接導(dǎo)致A國(guó)沿海主要城市輸送油氣管道系統(tǒng)被迫下線。對(duì)目標(biāo)系統(tǒng)植入惡意軟件,劫持了將近100GB的數(shù)據(jù)以索要贖金。

二     工業(yè)網(wǎng)絡(luò)靶場(chǎng)

工業(yè)網(wǎng)絡(luò)靶場(chǎng)是集工業(yè)攻防演練、工業(yè)人才培養(yǎng)、工業(yè)產(chǎn)品測(cè)試等功能于一體的綜合場(chǎng)景仿真平臺(tái)。

如何防范勒索攻擊？“中招”之后應(yīng)如何處理？對(duì)于制造業(yè)用戶的實(shí)際需求，工業(yè)網(wǎng)絡(luò)靶場(chǎng)毫無(wú)疑問(wèn)的為用戶提供了一種最安全、有效的環(huán)境，讓安全團(tuán)隊(duì)可在靶場(chǎng)內(nèi)安心的進(jìn)行多類別勒索病毒攻擊與處置的應(yīng)急演練。

2.1    工業(yè)網(wǎng)絡(luò)靶場(chǎng)簡(jiǎn)介

工業(yè)網(wǎng)絡(luò)靶場(chǎng)是面向工控網(wǎng)絡(luò)仿真環(huán)境建設(shè)的基礎(chǔ)網(wǎng)絡(luò)設(shè)施。旨在通過(guò)工業(yè)網(wǎng)絡(luò)靶場(chǎng)建設(shè)，為能源、電力、鋼鐵、有色、智能制造、軍工等關(guān)系到國(guó)計(jì)民生、國(guó)家安全等重點(diǎn)行業(yè)和領(lǐng)域提供分析、設(shè)計(jì)、研發(fā)、集成、測(cè)試、評(píng)估、運(yùn)維等全生命周期保障服務(wù)。

因工控網(wǎng)絡(luò)環(huán)境復(fù)雜，生產(chǎn)實(shí)時(shí)性要求高，企業(yè)網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)、安全產(chǎn)品測(cè)試、邊界論證等一系列問(wèn)題始終無(wú)法落實(shí)在真實(shí)工控網(wǎng)絡(luò)。工業(yè)靶場(chǎng)的出現(xiàn)，有效解決了無(wú)法在真實(shí)環(huán)境中對(duì)復(fù)雜大規(guī)模異構(gòu)網(wǎng)絡(luò)和用戶進(jìn)行逼真的模擬和測(cè)試，以及風(fēng)險(xiǎn)評(píng)估等問(wèn)題，實(shí)現(xiàn)工業(yè)信息安全能力的整體提升。

2.2    工業(yè)網(wǎng)絡(luò)靶場(chǎng)價(jià)值

用戶可依托工業(yè)網(wǎng)絡(luò)靶場(chǎng)完成網(wǎng)絡(luò)空間工業(yè)網(wǎng)絡(luò)體系規(guī)劃論證、能力測(cè)試評(píng)估、產(chǎn)品研發(fā)試驗(yàn)、產(chǎn)品安全性測(cè)試、人員技能培訓(xùn)、安全攻防演練等任務(wù)。如：針對(duì)各行業(yè)工業(yè)控制系統(tǒng)應(yīng)用開(kāi)展攻擊影響驗(yàn)證、漏洞挖掘、風(fēng)險(xiǎn)分析、安全防護(hù)驗(yàn)證，可有效減少工控設(shè)備漏洞暴露數(shù)量，提高行業(yè)安全防護(hù)水平，可極大程度降低安全事件發(fā)生概率。同時(shí)，依托于工業(yè)網(wǎng)絡(luò)靶場(chǎng)開(kāi)展人員技能培訓(xùn)和演練，可提高安全人員安全防護(hù)能力、完善自身應(yīng)急響應(yīng)機(jī)制；通過(guò)安全防護(hù)策略的測(cè)試驗(yàn)證，可有效提升全網(wǎng)安全防護(hù)設(shè)備利用率，為行業(yè)節(jié)約上千萬(wàn)規(guī)模的安全防護(hù)成本?？蓮V泛應(yīng)用于高校、企業(yè)（包括電力、鋼鐵、有色、石油、化工、軍工等）、科研院/所等。

三     工業(yè)網(wǎng)絡(luò)勒索攻擊復(fù)現(xiàn)

應(yīng)急演練主打一個(gè)“真實(shí)”，越真實(shí)的演練，應(yīng)急效果越好。針對(duì)勒索病毒的攻擊途徑和特點(diǎn)，烽臺(tái)科技利用工業(yè)網(wǎng)絡(luò)靶場(chǎng)技術(shù)的仿真能力，為制造業(yè)用戶真實(shí)復(fù)現(xiàn)工控網(wǎng)絡(luò)基礎(chǔ)環(huán)境、工藝生產(chǎn)場(chǎng)景和勒索病毒感染路徑。

3.1     感染病毒環(huán)境設(shè)計(jì)

3.1.1    基礎(chǔ)環(huán)境和工藝設(shè)計(jì)

工控網(wǎng)絡(luò)層次模型從上到下共分為5個(gè)層級(jí)，依次為企業(yè)管理層、生產(chǎn)執(zhí)行層、過(guò)程監(jiān)控層、現(xiàn)場(chǎng)控制層和現(xiàn)場(chǎng)設(shè)備層，不同層級(jí)的實(shí)時(shí)性要求不同。此次仿真根據(jù)汽車(chē)制造業(yè)的網(wǎng)絡(luò)拓?fù)?、生產(chǎn)工藝、數(shù)據(jù)采集等業(yè)務(wù)進(jìn)行高度模擬真實(shí)現(xiàn)場(chǎng)生產(chǎn)環(huán)境。工業(yè)網(wǎng)絡(luò)靶場(chǎng)環(huán)境各個(gè)區(qū)域設(shè)備組成如下：

公網(wǎng)區(qū)域：使用靶場(chǎng)環(huán)境仿真公網(wǎng)，攻擊者使用模擬公網(wǎng)IP。

安全設(shè)備區(qū)：由防火墻、蜜罐、監(jiān)測(cè)等系統(tǒng)組成。

企業(yè)管理層：搭建財(cái)務(wù)、人事等系統(tǒng)。

生產(chǎn)執(zhí)行層：搭建倉(cāng)儲(chǔ)管理、計(jì)劃排產(chǎn)等系統(tǒng)。

過(guò)程監(jiān)控層：搭建汽車(chē)制造業(yè)沖壓工藝、焊接工藝、涂裝工藝、總裝工藝、工程師站或操作員站。

現(xiàn)場(chǎng)控制層：搭建仿真西門(mén)子300控制器對(duì)沖壓工藝、焊接工藝、涂裝工藝、總裝工藝程序?？刂茖訑?shù)據(jù)可傳送至過(guò)程監(jiān)控層操作員站或工程師站。

環(huán)境仿真設(shè)備如下圖：

工藝流程說(shuō)明：該環(huán)境工藝根據(jù)汽車(chē)制造業(yè)四大關(guān)鍵工藝設(shè)計(jì)，依次是沖壓工藝、焊接工藝、涂裝工藝、總裝工藝。經(jīng)過(guò)這四道工藝流程，汽車(chē)制造就完成了，下面是四道工藝的具體流程。

第一步：沖壓工藝，用不同型號(hào)的鋼板沖壓出車(chē)身的零部件，把整卷鋼板裁剪成不同零件制造。這是一道基礎(chǔ)的工序，是后續(xù)工序的前期準(zhǔn)備。

第二步：焊接工藝，將各種車(chē)身沖壓部件通過(guò)焊接工藝使之結(jié)合在一起。隨著自動(dòng)化的提升，很多汽車(chē)制造業(yè)會(huì)有大量的機(jī)器人進(jìn)行激光焊接，不僅提高了工作效率，質(zhì)量也得到了保障，車(chē)身每一處焊接完成后，需要人工仔細(xì)檢查焊接情況，確保車(chē)身部件焊接牢度，這樣才能進(jìn)入下一步驟。

第三步：涂裝工藝，給車(chē)身噴涂上各種顏色，防止車(chē)身銹蝕，使車(chē)身具有靚麗外表。焊接組裝完成的車(chē)身，要進(jìn)行防銹處理，無(wú)車(chē)身缺陷后再由機(jī)器人進(jìn)行涂裝作業(yè)，機(jī)器人涂裝可以減少材料的浪費(fèi)，提升涂裝效率。

第四步：總裝工藝，需要將車(chē)身、底盤(pán)和內(nèi)飾等各個(gè)部分零件組裝到一起，形成一臺(tái)完整的汽車(chē)。在這里要進(jìn)行車(chē)身底盤(pán)、發(fā)動(dòng)機(jī)、變速箱以及其他內(nèi)飾配件的安裝，這是汽車(chē)制造的主要工序。汽車(chē)總裝工藝，決定了汽車(chē)的裝配質(zhì)量。

下方圖例展示了工業(yè)網(wǎng)絡(luò)靶場(chǎng)環(huán)境中的一個(gè)工藝環(huán)節(jié)組態(tài)畫(huà)面。畫(huà)面中顯示了現(xiàn)場(chǎng)控制器、機(jī)器臂、報(bào)警等狀態(tài)，機(jī)器臂實(shí)時(shí)畫(huà)面，車(chē)輛完成數(shù)量統(tǒng)計(jì)等。

3.1.2    勒索病毒感染路徑設(shè)計(jì)

此次勒索病毒攻擊是模擬企業(yè)內(nèi)部人員將存在web漏洞的人事辦公系統(tǒng)映射外網(wǎng)提供遠(yuǎn)程辦公，由于企業(yè)每天面臨外網(wǎng)攻擊次數(shù)多，使外網(wǎng)的攻擊者探測(cè)到人事辦公系統(tǒng)的web漏洞，利用任意文件上傳拿下web shell進(jìn)行勒索病毒加密文件操作。

此次勒索攻擊復(fù)現(xiàn)為了使企業(yè)環(huán)境和攻擊環(huán)境高度仿真，均使用靶場(chǎng)模擬外網(wǎng)地址。并非真實(shí)公網(wǎng)地址。

以下是勒索病毒感染路線圖（紅色代表攻擊路線）：

攻擊步驟如下：

(1)    探測(cè)目標(biāo)資產(chǎn)

確認(rèn)目標(biāo)資產(chǎn)虛擬公網(wǎng)ip為：1.1.1.1（注釋：靶場(chǎng)虛擬ip），nmap掃描端口發(fā)現(xiàn)存在http等服務(wù)。

(2)    確認(rèn)資產(chǎn)

訪問(wèn)8080端口發(fā)現(xiàn)，資產(chǎn)為某汽車(chē)人事辦公oa系統(tǒng)。

(3)    確認(rèn)資產(chǎn)版本等漏洞相關(guān)信息

獲取版本信息，該版本某汽車(chē)人事辦公oa系統(tǒng)存在歷史漏洞。通過(guò)手工驗(yàn)證發(fā)現(xiàn)存在action_upload.php 文件過(guò)濾不足且無(wú)后臺(tái)權(quán)限，導(dǎo)致任意文件上傳漏洞。

(4)    編寫(xiě)漏洞利用腳本，實(shí)現(xiàn)一鍵上傳shell。

./TDOA2017-benhinder http://1.1.1.1:8080執(zhí)行腳本成功，訪問(wèn)webshell路徑驗(yàn)證。

(5)    上線Behinder（冰蝎）

啟動(dòng)冰蝎 java -jar Behinder.jar

webshell地址：http://1.1.1.1:8080/behinder.php （注釋：靶場(chǎng)虛擬ip）。

密碼：rebeyond

進(jìn)入系統(tǒng)，命令執(zhí)行，內(nèi)網(wǎng)ip為 192.168.10.4（注釋：靶場(chǎng)虛擬ip）。

(6)    上傳病毒

將勒索病毒上傳至目標(biāo)主機(jī)并運(yùn)行。

3.2    靶場(chǎng)環(huán)境搭建介紹

（1）    網(wǎng)絡(luò)結(jié)構(gòu)介紹

汽車(chē)制造業(yè)網(wǎng)絡(luò)中主要分為公網(wǎng)、安全設(shè)備區(qū)、企業(yè)管理層、生產(chǎn)執(zhí)行層、過(guò)程監(jiān)控層、現(xiàn)場(chǎng)控制層、現(xiàn)場(chǎng)設(shè)備層，各層次網(wǎng)絡(luò)依次連接。其網(wǎng)絡(luò)邊界隔離定義為公網(wǎng)和企業(yè)管理層由防火墻進(jìn)行邏輯隔離、現(xiàn)場(chǎng)過(guò)程監(jiān)控層和生產(chǎn)執(zhí)行層通過(guò)實(shí)時(shí)數(shù)據(jù)庫(kù)或數(shù)采網(wǎng)關(guān)隔離。多數(shù)企業(yè)現(xiàn)場(chǎng)信息側(cè)和生產(chǎn)側(cè)邊界無(wú)安全設(shè)備，內(nèi)網(wǎng)存在攻擊風(fēng)險(xiǎn)。網(wǎng)絡(luò)結(jié)構(gòu)如下圖：

（2）    仿真虛擬組件介紹

靶場(chǎng)對(duì)汽車(chē)制造業(yè)的業(yè)務(wù)層設(shè)備進(jìn)行仿真搭建，仿真現(xiàn)場(chǎng)工藝控制器并編寫(xiě)程序，通過(guò)仿真現(xiàn)場(chǎng)工程師站及操作員站控制與監(jiān)視仿真控制器程序。

數(shù)據(jù)通過(guò)實(shí)時(shí)數(shù)據(jù)庫(kù)工控側(cè)進(jìn)行采集，信息側(cè)將數(shù)據(jù)轉(zhuǎn)發(fā) 生產(chǎn)執(zhí)行層系統(tǒng)。

（3）    勒索病毒場(chǎng)景設(shè)計(jì)

攻擊者利用防火墻端口映射企業(yè)管理層系統(tǒng)進(jìn)行攻擊。以仿真不同業(yè)務(wù)層設(shè)備，搭建環(huán)境多維度高度仿真。對(duì)此次企業(yè)勒索病毒模擬攻擊事件，利用安全設(shè)備、主機(jī)日志等開(kāi)展應(yīng)急響應(yīng)、恢復(fù)等一系列措施。

業(yè)務(wù)仿真按照汽車(chē)制造業(yè)的主要網(wǎng)絡(luò)架構(gòu)、生產(chǎn)工藝、數(shù)據(jù)采集，采用虛擬組件方式進(jìn)行搭建，仿真汽車(chē)環(huán)境的業(yè)務(wù)流程控制系統(tǒng)，根據(jù)實(shí)際生產(chǎn)工藝劃分不同工藝終端系統(tǒng)和控制系統(tǒng)。

四     仿真環(huán)境內(nèi)勒索攻擊應(yīng)急響應(yīng)

工業(yè)網(wǎng)絡(luò)靶場(chǎng)的仿真環(huán)境內(nèi)嵌完整的應(yīng)急響應(yīng)步驟，制造業(yè)企業(yè)可根據(jù)現(xiàn)場(chǎng)攻擊者勒索的主機(jī)，進(jìn)行應(yīng)急響應(yīng)步驟，通過(guò)辦公人員發(fā)現(xiàn)主機(jī)勒索病毒彈框通知信息安全人員，信息安全人員對(duì)被勒索主機(jī)網(wǎng)絡(luò)隔離、病毒分析、阻止擴(kuò)散、殺毒、解密、加固等應(yīng)急響應(yīng)。

此次勒索攻擊復(fù)現(xiàn)為了使企業(yè)環(huán)境和攻擊環(huán)境高度仿真，均使用靶場(chǎng)模擬外網(wǎng)地址，并非真實(shí)公網(wǎng)地址。

紅色代表攻擊路線、藍(lán)色代表應(yīng)急路線，如下圖所示:

4.1    應(yīng)急響應(yīng)步驟

4.1.1    主機(jī)日志排查

系統(tǒng)感染勒索病毒，界面彈出勒索信件，此時(shí)系統(tǒng)內(nèi)的文件已經(jīng)被病毒加密無(wú)法正常訪問(wèn)。要求受害者支付贖金才能解密文件并恢復(fù)訪問(wèn)權(quán)限。

為判斷此次攻擊事件始末以及后續(xù)處置的分析溯源，通過(guò)對(duì)主機(jī)端口連接情況進(jìn)行分析和溯源，獲得更多關(guān)于攻擊事件的信息，并為進(jìn)一步的調(diào)查和處置提供指導(dǎo)?？沙醪脚挪榭梢蒊P。（注釋：12.12.12.3靶場(chǎng)虛擬    IP）。

4.1.2    禁用網(wǎng)卡

為了降低勒索事件的損失并限制病毒的進(jìn)一步傳播，禁用受攻擊主機(jī)的網(wǎng)卡以實(shí)現(xiàn)斷網(wǎng)處理。這將阻止病毒繼續(xù)擴(kuò)散至內(nèi)網(wǎng)中的其他主機(jī)，并防止事件對(duì)公司業(yè)務(wù)的正常運(yùn)行產(chǎn)生更大的影響。此外，斷網(wǎng)處理還有助于阻斷攻擊者與受感染主機(jī)之間的連接。

4.1.3    病毒分析

根據(jù)勒索病毒加密文件的后綴和勒索信件的內(nèi)容進(jìn)行判斷，經(jīng)過(guò)謹(jǐn)慎縝密地分析，確認(rèn)該勒索病毒屬于WannaCry家族勒索病毒。該病毒通過(guò)網(wǎng)絡(luò)傳播和感染計(jì)算機(jī)，然后加密受害者的文件，并要求支付贖金以獲取解密密鑰。

4.1.4    排查內(nèi)網(wǎng)主機(jī)

逐一排查內(nèi)網(wǎng)內(nèi)其他主機(jī)的運(yùn)行狀態(tài)，判斷是否被病毒擴(kuò)散傳染，由于此次應(yīng)急響應(yīng)迅速，病毒并未繼續(xù)擴(kuò)散，內(nèi)網(wǎng)其他主機(jī)仍處于安全狀態(tài)。

4.1.5    安全設(shè)備排查

查看安全設(shè)備日志對(duì)此次攻擊事件進(jìn)行溯源分析，通過(guò)燈塔安全威脅誘捕審計(jì)系統(tǒng)捕獲到攻擊者畫(huà)像，系統(tǒng)分析此次攻擊疑似境外黑客所為。（注釋：12.12.12.3靶場(chǎng)虛擬IP）。

通過(guò)對(duì)主機(jī)系統(tǒng)日志件和安全設(shè)備日志事件的對(duì)比，可以排查攻擊者。（注釋：12.12.12.3靶場(chǎng)虛擬IP）。

捕獲到該攻擊IP曾嘗試通過(guò)3389端口遠(yuǎn)程連接公網(wǎng)地址，因此該IP最有可能為此次攻擊事件的攻擊者。（注釋：12.12.12.3靶場(chǎng)虛擬ip）。

4.2    數(shù)據(jù)恢復(fù)

4.2.1    病毒查殺

導(dǎo)入安全殺毒軟件的離線包，對(duì)感染主機(jī)進(jìn)行殺毒，通過(guò)對(duì)系統(tǒng)磁盤(pán)進(jìn)行掃描檢測(cè)發(fā)現(xiàn)主機(jī)所中病毒并將其查殺。

4.2.2    文件恢復(fù)

雖然通過(guò)殺毒軟件查殺了系統(tǒng)中的勒索病毒程序，但并沒(méi)能恢復(fù)被病毒所加密的文件，因此需要導(dǎo)入文件恢復(fù)工具離線包來(lái)嘗試恢復(fù)這些文件。

文件恢復(fù)工具的成功率通常取決于多個(gè)因素，包括病毒的加密強(qiáng)度、加密算法的復(fù)雜性以及文件本身的完整性，因此并不能完全依賴文件恢復(fù)工具恢復(fù)所有損失。通過(guò)對(duì)比可以發(fā)現(xiàn)，只有部分被加密的文件能夠成功恢復(fù)，受害主機(jī)中仍有大量文件未得到恢復(fù)。

4.2.3    數(shù)據(jù)備份恢復(fù)

鑒于文件恢復(fù)工具無(wú)法完全恢復(fù)本次勒索病毒事件所造成的影響和破壞，需要采取數(shù)據(jù)備份方法來(lái)還原系統(tǒng)。利用備份的數(shù)據(jù)可將系統(tǒng)還原至病毒入侵前最近一次狀態(tài)，消除勒索攻擊的影響，并將系統(tǒng)恢復(fù)到可信的狀態(tài)。

4.3    場(chǎng)景加固

4.3.1    安全設(shè)備加固

通過(guò)安全產(chǎn)品對(duì)整個(gè)內(nèi)網(wǎng)環(huán)境進(jìn)行加固，如制定防火墻策略可提高工控網(wǎng)絡(luò)的防御能力。停止人事系統(tǒng)暴露公網(wǎng)端口映射后,可進(jìn)行產(chǎn)品漏洞修復(fù)。（注釋：1.1.1.1靶場(chǎng)虛擬IP）。

禁止內(nèi)外網(wǎng)IP ping防火墻。啟用內(nèi)網(wǎng)DOS攻擊防御。

4.3.2    恢復(fù)備份，安裝殺毒軟件

在加固內(nèi)網(wǎng)環(huán)境并加強(qiáng)防火墻策略后，再次利用安全殺毒軟件對(duì)受攻擊的主機(jī)進(jìn)行快速病毒掃描，以確保徹底消除勒索攻擊安全隱患。

五     靶場(chǎng)模擬勒索病毒事件應(yīng)急響應(yīng)總結(jié)

經(jīng)過(guò)在工業(yè)網(wǎng)絡(luò)靶場(chǎng)中的勒索病毒攻擊演練，制造業(yè)用戶可對(duì)此類型應(yīng)急響應(yīng)事件進(jìn)行總結(jié)，制定適合的應(yīng)急處置流程、技術(shù)規(guī)范、管理規(guī)范，最大化降低勒索攻擊對(duì)企業(yè)的損害。

5.1    勒索病毒基本情況

病毒家族：WannaCry ，勒索病毒變種：WannaCry 2.0，WannaCry（又叫Wanna Decryptor），一種“蠕蟲(chóng)式”勒索病毒軟件。該勒索病毒在2017年襲擊了全球150多個(gè)國(guó)家和地區(qū)，影響了包括政府部門(mén)、醫(yī)療服務(wù)、公共交通、郵政、通信和汽車(chē)制造業(yè)等領(lǐng)域，對(duì)社會(huì)發(fā)展造成惡劣影響。

本次勒索病毒攻擊者利用了產(chǎn)品web應(yīng)用漏洞，入侵用戶內(nèi)部網(wǎng)絡(luò)，投放勒索病毒程序，加密系統(tǒng)文件進(jìn)行勒索。

病毒后綴名：.WNCRY

5.2    靶場(chǎng)內(nèi)的勒索病毒應(yīng)急處置

當(dāng)靶場(chǎng)環(huán)境機(jī)器感染勒索病毒后，立即開(kāi)展以下應(yīng)急工作：

（1）    隔離網(wǎng)絡(luò)：該場(chǎng)景使用禁用網(wǎng)絡(luò)方式切斷受感染機(jī)器的網(wǎng)絡(luò)連接，避免網(wǎng)絡(luò)內(nèi)其他機(jī)器被進(jìn)一步感染滲透。

（2）    加密情況：該場(chǎng)景發(fā)現(xiàn)文件已經(jīng)全部被加密，可保持機(jī)器開(kāi)機(jī)狀態(tài)，等待繼續(xù)排查。如重要文件未被加密，可選擇關(guān)閉勒索病毒進(jìn)程或關(guān)機(jī)。

（3）    病毒范圍：排查該場(chǎng)景其他可能會(huì)受到勒索病毒影響的機(jī)器，確定勒索病毒傳播范圍。

（4）    問(wèn)題排查：通過(guò)主機(jī)端口連接查找攻擊來(lái)源。通過(guò)安全設(shè)備進(jìn)行攻擊溯源工作。

（5）    專業(yè)恢復(fù)：使用勒索病毒文件解密工具嘗試解密，無(wú)法解密時(shí)需使用數(shù)據(jù)備份恢復(fù)系統(tǒng)。

（6）    安全加固：通過(guò)安全設(shè)備和主機(jī)日志排查出攻擊來(lái)源，加固防火墻策略配置。安裝殺毒軟件實(shí)時(shí)監(jiān)測(cè)主機(jī)安全狀態(tài)，防止攻擊者再次勒索。

（7）    產(chǎn)品升級(jí)：可將系統(tǒng)進(jìn)行升級(jí)，防止攻擊者利用web應(yīng)用漏洞。

5.3    勒索病毒防范

5.3.1    技術(shù)防范

(1)    數(shù)據(jù)備份

重要文件或者重要系統(tǒng)需采用移動(dòng)硬盤(pán)等方式進(jìn)行定期備份數(shù)據(jù)，避免主機(jī)被勒索病毒攻擊，導(dǎo)致文件加密無(wú)法恢復(fù)的情況出現(xiàn)。

(2)    終端防護(hù)

關(guān)閉主機(jī)的 445、135、139、3389 等高危端口，可避免勒索病毒針對(duì)高危端口漏洞攻擊和企業(yè)內(nèi)網(wǎng)中的橫向傳播。

針對(duì)通過(guò) RDP 服務(wù)和弱口令破解進(jìn)行入侵和擴(kuò)散的勒索病毒，建議企業(yè)對(duì)設(shè)備操作系統(tǒng)口令進(jìn)行定期檢查修改，增強(qiáng)口令長(zhǎng)度檢查、復(fù)雜度檢查，避免使用統(tǒng)一而簡(jiǎn)單的登錄密碼。

對(duì)創(chuàng)建賬戶、刪除賬戶、鎖定、禁用等相關(guān)高權(quán)限行為進(jìn)行管控。

禁用設(shè)備移動(dòng)接口。

修復(fù)應(yīng)用漏洞相關(guān)補(bǔ)丁。

(3)    郵件防護(hù)

企業(yè)內(nèi)部員工不點(diǎn)擊陌生人發(fā)來(lái)的各種鏈接，不要打開(kāi)陌生人發(fā)來(lái)的附件。及時(shí)更新系統(tǒng)補(bǔ)丁及防病毒軟件的病毒定義包。

(4)    安全設(shè)備防護(hù)

上網(wǎng)行為審計(jì)系統(tǒng)：企業(yè)出于合規(guī)、審計(jì)等原因，基本都會(huì)部署上網(wǎng)行為審計(jì)系統(tǒng)，策略上需配置屏蔽可能含有勒索病毒網(wǎng)站。

防火墻：針對(duì)企業(yè)業(yè)務(wù)進(jìn)行訪問(wèn)控制。

入侵防御：使用入侵防御設(shè)備對(duì)URL過(guò)濾、惡意軟件過(guò)濾等，需結(jié)合沙箱、情報(bào)技術(shù)等方法分析處理。

主機(jī)衛(wèi)士：企業(yè)終端安裝主機(jī)防護(hù)軟件，對(duì)勒索病毒、木馬及時(shí)查殺。

態(tài)勢(shì)感知：使用態(tài)勢(shì)感知實(shí)時(shí)監(jiān)測(cè)企業(yè)網(wǎng)絡(luò)安全狀態(tài)。

5.3.2    管理防范

（1）    制定并落實(shí)網(wǎng)絡(luò)安全管理制度。

在管理制度上，需要從驗(yàn)證信息、訪問(wèn)控制、資產(chǎn)梳理、終端防護(hù)等幾個(gè)方面?zhèn)戎毓芾?。企業(yè)工業(yè)控制系統(tǒng)在向外連接時(shí)，可通過(guò)入網(wǎng)的設(shè)備驗(yàn)證、人員驗(yàn)證，確保準(zhǔn)確性及唯一性，加強(qiáng)工業(yè)控制系統(tǒng)業(yè)務(wù)訪問(wèn)控制權(quán)限管理，關(guān)閉高危端口、定期查看補(bǔ)丁、不私自接通外網(wǎng)，有效保障入網(wǎng)設(shè)備的合法性，防止勒索病毒在企業(yè)內(nèi)網(wǎng)擴(kuò)散。對(duì)聯(lián)網(wǎng)的工業(yè)控制設(shè)備進(jìn)行梳理，建立資產(chǎn)庫(kù)，加強(qiáng)企業(yè)邊緣資產(chǎn)監(jiān)管，達(dá)到削減工業(yè)控制系統(tǒng)網(wǎng)絡(luò)資產(chǎn)暴露面的目的。

（2）    定期檢查工業(yè)控制系統(tǒng)漏洞。

在檢查工業(yè)控制系統(tǒng)上，需要從供應(yīng)鏈、軟件、硬件等采購(gòu)上管理把控。要將定期掃描漏洞按照等級(jí)劃分，并按照等級(jí)修復(fù)漏洞。工業(yè)控制系統(tǒng)中使用的操作系統(tǒng)和工業(yè)軟件數(shù)量和版本眾多，存在漏洞個(gè)數(shù)多、種類多，使得勒索病毒傳播速度難以把控。攻擊者可以提前將勒索病毒植入企業(yè)的供應(yīng)鏈上游的軟、硬件供應(yīng)商的產(chǎn)品中，在安裝或更新軟、硬件時(shí)，勒索病毒即被帶入工業(yè)控制系統(tǒng)設(shè)備，感染企業(yè)網(wǎng)絡(luò)中存在漏洞的系統(tǒng)。針對(duì)工業(yè)控制系統(tǒng)，企業(yè)需要加強(qiáng)定期對(duì)工業(yè)控制系統(tǒng)終端、網(wǎng)絡(luò)設(shè)備、服務(wù)器、控制器等設(shè)備的漏洞掃描。清晰定性網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，及時(shí)完善系統(tǒng)補(bǔ)丁、修復(fù)漏洞，執(zhí)行完整的安全策略，從根源上進(jìn)行風(fēng)險(xiǎn)預(yù)防。

（3）    建立健全應(yīng)急響應(yīng)機(jī)制。

大部分的勒索攻擊是無(wú)征兆的，所以應(yīng)當(dāng)加強(qiáng)網(wǎng)絡(luò)安全應(yīng)急預(yù)警，建立健全的應(yīng)急響應(yīng)機(jī)制，利用企業(yè)的網(wǎng)絡(luò)安全資源實(shí)現(xiàn)安全資源信息共享。同時(shí)可與國(guó)家相關(guān)機(jī)構(gòu)和國(guó)內(nèi)安全公司進(jìn)行合作，運(yùn)用有效資源和應(yīng)急響應(yīng)技術(shù)手段結(jié)合的方式，共同制定企業(yè)勒索攻擊應(yīng)急預(yù)案。

（4）    加強(qiáng)內(nèi)部員工網(wǎng)絡(luò)安全意識(shí)。

企業(yè)需要持續(xù)的進(jìn)行網(wǎng)絡(luò)安全培訓(xùn)，提高內(nèi)部員工網(wǎng)絡(luò)安全意識(shí)，使其在日常操作過(guò)程中能夠有效識(shí)別系統(tǒng)漏洞攻擊、垃圾郵件攻擊等惡意行為，認(rèn)識(shí)其危害并掌握一些必要的應(yīng)對(duì)防范措施。

在組織建設(shè)方面，鼓勵(lì)企業(yè)成立網(wǎng)絡(luò)安全事件響應(yīng)小組，通過(guò)專職小組有組織、系統(tǒng)性地監(jiān)視業(yè)務(wù)系統(tǒng)的安全性，及時(shí)接收網(wǎng)絡(luò)中的異常通知報(bào)告，一旦出現(xiàn)異常情況，響應(yīng)小組可以及時(shí)采取應(yīng)急措施對(duì)勒索攻擊進(jìn)行范圍控制，最大化降低其對(duì)企業(yè)的影響程度。

勒索病毒不是普通的“感冒”，工業(yè)企業(yè)應(yīng)防患于未然，數(shù)據(jù)提前備份、人員提前演練、體系提前建立，多維度共同防護(hù)，才是抵御勒索攻擊的長(zhǎng)久之計(jì)。

最后，關(guān)于勒索病毒的應(yīng)急響應(yīng)資源有很多，烽臺(tái)科技為大家找到了幾個(gè)靠譜的鏈接，希望能幫更多工業(yè)企業(yè)有效應(yīng)對(duì)勒索病毒攻擊，減少企業(yè)財(cái)產(chǎn)損失，建立良好的經(jīng)營(yíng)環(huán)境。

六     勒索病毒應(yīng)急響應(yīng)資源鏈接

6.1    國(guó)內(nèi)資源鏈接

6.1.1    火絨安全軟件5.0（個(gè)人版）

火絨是一款殺防管控一體的安全軟件，有著面向個(gè)人和企業(yè)的產(chǎn)品。擁有簡(jiǎn)潔的界面、豐富的功能和良好的體驗(yàn)。特別針對(duì)國(guó)內(nèi)安全趨勢(shì)，自主研發(fā)高性能反病毒引擎。

主要特點(diǎn)

（1）    無(wú)任何廣告推送

（2）    一鍵掃描、查殺病毒，基于“通用脫殼”、“行為沙盒”的本地反病毒引擎，不受斷網(wǎng)影響。

（3）    19個(gè)重要防護(hù)功能，有效防病毒、木馬、流氓軟件、惡意網(wǎng)站等。

傳送門(mén)：www.huorong.cn

6.1.2    奇安信勒索病毒工具集下載

奇安信科技集團(tuán)股份有限公司成立于2014年，專注于網(wǎng)絡(luò)空間安全市場(chǎng)，向政府、企業(yè)用戶提供新一代企業(yè)級(jí)網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)。

主要特點(diǎn)

（1）    針對(duì)勒索病毒專殺

（2）    針對(duì)永恒之藍(lán)病毒端口關(guān)閉

（3）    針對(duì)蠕蟲(chóng)勒索病毒文件恢復(fù)

（4）    蠕蟲(chóng)勒索工具種類多

傳送門(mén)：https://www.qianxin.com/other/qaxvirusremoval

6.1.3    勒索病毒搜索引擎合集

【360】 勒索病毒搜索引擎，支持檢索超過(guò)800種常見(jiàn)勒索病毒

傳送門(mén)：https://lesuobingdu.#/

【騰訊】 勒索病毒搜索引擎，支持檢索超過(guò) 300 種常見(jiàn)勒索病毒

傳送門(mén)：https://guanjia.qq.com/pr/ls/

【啟明星辰】VenusEye勒索病毒搜索引擎，超300種勒索病毒家族

傳送門(mén)：https://lesuo.venuseye.com.cn/

【奇安信】勒索病毒搜索引擎

傳送門(mén)：https://lesuobingdu.qianxin.com/

6.1.4    勒索病毒解密合集

【騰訊哈勃】勒索軟件專殺工具

傳送門(mén)：https://habo.qq.com/tool/index

【金山毒霸】勒索病毒免疫工具

傳送門(mén)：http://www.duba.net/dbt/wannacry.html

【瑞星】解密工具下載

傳送門(mén)：http://it.rising.com.cn/fanglesuo/index.html

6.2    國(guó)外資源鏈接

6.2.1    卡巴斯基

卡巴斯基反病毒軟件是世界上擁有最尖端科技的殺毒軟件之一，總部設(shè)在俄羅斯首都莫斯科，是國(guó)際著名的信息安全領(lǐng)導(dǎo)廠商之一。公司為個(gè)人用戶、企業(yè)網(wǎng)絡(luò)提供反病毒、防黑客和反垃圾郵件產(chǎn)品。

主要特點(diǎn)：

（1）    使用便捷。

（2）    多層級(jí)防御系統(tǒng)，保護(hù)電腦免受其他威脅。

（3）    殺毒功能非常強(qiáng)大，能夠檢測(cè)各種惡意軟件和網(wǎng)絡(luò)攻擊。

（4）    智能更新安防庫(kù)和軟件程序。

傳送門(mén)：https://www.kaspersky.com.cn/

6.2.2    No More Ransomware Project

該軟件主要目標(biāo)是保護(hù)用戶免受勒索軟件攻擊，有勒索病毒密鑰庫(kù)，有效解除不同類型被加密文件。

主要特點(diǎn)：

（1）    有關(guān)于勒索病毒加密文件的詳細(xì)說(shuō)明

（2）    定期更新勒索病毒密鑰庫(kù)

（3）    提供超過(guò)25種不同語(yǔ)言的服務(wù)

傳送門(mén)：https://www.nomoreransom.org/zh/decryption-tools.html#Bianlian

參考文獻(xiàn)

[1]崔瑩瑩,原真,劉健帥.工業(yè)領(lǐng)域勒索攻擊事件態(tài)勢(shì)分析及應(yīng)對(duì)方法探討[J].工業(yè)信息安全,2022(10):63-68.

[2]薛丹丹,王媛媛,卲一瀟等.勒索病毒的原理及防御措施[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2023(02):10-12.

[3]國(guó)家工信安全發(fā)展研究中心發(fā)布，2022年工業(yè)信息安全態(tài)勢(shì)報(bào)告[EB/OL].[2023-2-14]. http://www.cics-cert.org.cn/.

[4]中國(guó)信息通信研究院，勒索病毒安全防護(hù)手冊(cè)[EB/OL].[2021-9]. http://www.caict.ac.cn/.