交通行業工控系統遭病毒入侵給我國關鍵信息基礎設施安全的啟示

董 偉，李致成，馮 志

(中國電子信息產業集團有限公司第六研究所工業控制系統信息安全技術國家工程實驗室，北京 102209)

0 引言

2018年某交通行業工控系統發生運行故障，部分主機發生藍屏、宕機現象，經防病毒軟件查殺，發現各終端主機存在WannaCry病毒。

1 WannaCry病毒原理

WannaCry勒索病毒可以分為蠕蟲部分和勒索病毒部分，蠕蟲部分用于傳播并釋放勒索病毒，勒索病毒部分用于加密用戶文件并索要贖金。本次發生的病毒爆發并未發生文件加密索要贖金現象，判斷應該為WannaCry勒索病毒的變種。

WannaCry勒索病毒蠕蟲部分的傳播流程如下所示[1]：

(1)蠕蟲代碼在運行后會先連接隱藏開關域名，如果該隱藏開關域名可以成功連接，則直接退出。但在業務網絡中沒有部署流量審計或其它類似作用的設備，所以無法對該域名請求行為進行溯源。由于隱藏開關通常很容易被黑客修改，所以，很快就出現了沒有隱藏開關的病毒變種，該變種病毒會直接執行第二步。

(2)如果隱藏開關域名無法訪問，則會安裝病毒并將其啟動。

(3)將tasksche.exe(該程序屬于勒索病毒部分)釋放資源到C盤WINDOWS目錄下并將其啟動(從系統日志中，可以發現病毒母體的釋放時間)。

(4)在啟動蠕蟲病毒后，WannaCry病毒會利用MS17-010漏洞進行傳播。其傳播分為局域網傳播和公網傳播兩種傳播途徑。利用局域網進行傳播，病毒會依據用戶的內網IP，生成包含整個局域網的網段表，然后依次嘗試攻擊。

2 處理過程

病毒爆發后，系統工作人員直接對被感染主機進行殺毒處理，因WannaCry的蠕蟲特性，經過處理的主機又被未殺毒的主機所感染。系統應急處理人員到位后對各個被感染主機進行了下線隔離，對裝有Windows 7系統的主機安裝了Windows相關漏洞補丁(KB4012212、KB4012215)，在系統防火墻中添加了進出TCP 445端口的安全策略，同時使用殺毒軟件以及WannaCry專殺工具對受感染主機進行了查殺。通過殺毒軟件、WannaCry專殺工具等對裝有Windows XP的主機進行掃描未發現病毒痕跡。

對部分受影響主機進行復查及分析，在受感染主機的Windows日志中發現了病毒母體mssecsvc.exe運行的日志記錄，最先發現病毒主機日志如圖1所示：

圖1 病毒母體日志

發生時間與日志時間吻合。

3 原因分析

該工控系統屬于獨立的局域網環境，在WannaCry病毒爆發時，與互聯網隔離。懷疑有工作人員調試時違規接入私人筆記本或私人U盤(可移動存儲介質)等設備，將病毒引入系統。

經過分析，系統主要存在如下幾個問題：

(1)缺少漏洞補丁更新機制

永恒之藍的漏洞已曝光一年有余，但所在單位依賴獨立局域網的環境，并未對有漏洞的主機系統安裝相關的安全補丁，且各主機系統的SMB服務也并未關閉，導致病毒進入系統后迅速感染傳播。

(2)缺少必要的主機防惡意軟件系統

工控系統往往部署在獨立的局域網，為了保持業務軟件的穩定性、兼容性，主機系統通常不會安裝主機防惡意軟件系統。即使已安裝，也因為聯網的限制而無法更新病毒庫。一旦局域網有主機感染了病毒，在缺乏有效防護的情況下，其他主機很快也會感染，導致病毒直接快速在局域網中傳播，輕則降低網絡速度，影響工作效率，造成數據丟失或者電腦無法啟動[2]，重則會產生無法預期的惡劣后果，如在白天交通運行期間爆發等。

(3)缺少限制系統接入的技術及管理手段

由于沒有嚴格的系統接入管理流程，工作人員可將私人筆記本或U盤等移動存儲介質隨意帶入現場并接入，缺少準入手段限制未授權的設備接入，設備接入網絡即可生效。

(4)網絡安全策略防護能力不足

網絡中的防火墻、交換機等設備只有最基本的配置策略，缺少針對端口、應用的訪問控制，也進一步導致了病毒在系統中的快速蔓延。

(5)缺少網絡安全監測手段，未能及時發現和報告網絡攻擊或異常行為

此次病毒感染是在工作人員因系統故障復查時發現，故無法確定系統最初感染病毒時間，難以做到及時響應，導致感染范圍在不知情情況下進一步擴大。同時針對該事件的一系列殺毒等處理動作，造成了證據文件的丟失，為溯源分析工作帶來了較大的困難。

(6)缺少必要的應急響應預案及演練

WannaCry具有蠕蟲特性，在病毒處理過程中，工作人員未對感染主機進行斷網處理，而是分別直接進行殺毒，結果又被未殺毒的主機重復感染，造成了反復殺毒，同時由于缺少相應的演練，現場處理經驗與能力不足，導致了處置時間進一步延長。

4 安全建議

針對上述問題，從技術和管理兩個層面給出如下幾點安全建議：

(1)技術層面

①應密切關注CNVD、CNNVD等漏洞庫及設備廠商發布的補丁。當重大漏洞及其補丁發布時，根據企業自身情況及變更計劃，在離線環境中對補丁進行嚴格的安全評估和測試驗證，對通過安全評估和測試驗證的補丁及時升級。

②各交通節點之間通過交換機相連，在中心機房等有限的節點部署防火墻，在各交換機設備和防火墻中對TCP 445端口添加相關的端口限制。

③在各主機組策略或防火墻中添加TCP 445端口的出入規則，并關閉未使用的SMB服務。

④在防火墻和交換機上做IP/MAC綁定的方式，防止網絡中的非法主機接入。

⑤定期在非運行期間進行系統病毒查殺。

⑥在網絡中部署可對網絡攻擊和異常行為進行識別、報警、記錄的網絡安全監測設備，及時發現、報告網絡攻擊或異常行為，追蹤溯源。

(2)管理層面

①嚴格限制可移動存儲介質的使用，如可能，需通過技術手段限制USB接口的使用。

②制定系統接入管理流程，限制運維調試人員將私人筆記本帶入現場和接入運行網絡，并嚴格執行。

③制定工控安全應急響應預案。預案應包括應急計劃的策略和規程、應急計劃培訓、應急計劃測試與演練、應急處理流程、監控措施、報告流程、應急支持資源、應急響應計劃等內容，并定期組織操作、維護、管理等相關人員開展應急響應預案演練。

5 結論

習近平總書記在網絡安全和信息化工作座談會上指出，“金融、能源、電力、通信、交通等領域的關鍵信息基礎設施是經濟社會運行的神經中樞，是網絡安全的重中之重，也是可能遭到重點攻擊的目標。物理隔離防線可被跨網入侵，電力調配指令可被惡意篡改，金融交易信息可被竊取，這些都是重大風險隱患。不出問題則已，一出就可能導致交通中斷、金融紊亂、電力癱瘓等問題，具有很大的破壞性和殺傷力。我們必須深入研究，采取有效措施，切實做好國家關鍵信息基礎設施安全防護。”[3]

近幾年的網絡安全事件表明，網絡安全已從傳統的信息系統滲透到關鍵信息基礎設施當中。作為傳統IT系統的延伸和發展,工業控制系統目前雖然面臨著嚴重的信息安全威脅,但是只要能夠借鑒傳統安全防御手段，充分考慮工業控制系統的工作特點,因地制宜地采取保護措施，一定可以在新的網絡安全形勢下占據先機和主動。