官网热线:400-100-0298
案例背景
作为“中国石化行业质量标杆企业”,陕西某化工厂有力推动了国民经济建设、石油石化工业发展和地区经济社会进步,实现了产业高端化、多元化、低碳化。近日,制氢车间工业生产网络大量工控上位机出现了蓝屏、不断重启现象。本次项目案例介绍旨在向大家讲述博智安全如何在接到应急防护服务请求后,第一时间协助客户进行有效的应急处理,最大程度上减少事件造成的损失和消极影响。
案例分析
经了解及分析,博智安全服务团队断定工业生产网络中感染了 “永恒之蓝”勒索蠕虫变种WannaCry2.0。经过分析,访谈,发现由于生产网络未做好隔离与最小访问控制,关键补丁未安装,蠕虫病毒通过网络大肆快速传播与感染,导致蓝屏、重启事件。
进一步分析,工业生产网络中存在大量双网卡主机,同时车间网络环境无基本逻辑隔离,导致网络边界模糊。生产网与办公室网络无防护设备,直接连通,办公室主机遭蠕虫感染之后,便会通过网络迅速传入生产网中,从而造成车间主机的蓝屏、重启现象。
由于杀毒软件难免有误报误删的现象,鉴于工控车间的特殊性,博智安全服务团队对制氢车间的受感染工控机进行了手动处置,手动进行病毒检测样本抓取,创建阻止445端口数据传播的组策略。
为防止制氢车间及其他车间免受勒索病毒或其他攻击,博智安全服务团队协助车间人员建立完善的工业安全防护制度和统一方案,确保生产安全、连续、稳定。
同时,在车间部署博智工控防护相关产品,如:博智工控主机卫士、博智工控入侵检测系统,以便勒索病毒攻击时,可以第一时间掌握攻击源,并阻断攻击,防止勒索病毒的蔓延。
总结
早在2017 年 5 月 WannaCry(永恒之蓝勒索蠕虫) 大规模爆发时,博智安全服务团队立即全面启动了相关应急、分析、工具研发、病毒处置、事态追踪。经过总结发现勒索软件呈现以下三大明显特点:
1、攻击目标是经过精心选择的,一定是承载了核心业务系统,客户一旦中招须缴纳赎金或者自行解密,否则业务瘫痪。企业、政府、医疗和教育机构最易被勒索软件攻击。
2、XP、Windows 7、Windows Server 2008/2008 R2服务器操作系统最易被勒索软件攻破。
3、弱口令、共享文件、漏洞是勒索软件最常用的攻击方式。
通过该项目,陕西某化工厂生产线得以恢复,不再继续遭受该勒索病毒的攻击威胁,博智安全服务团队的专业能力得到了用户的一致好评。
“博智非攻研究院”是一支能力突出、技术过硬、业务精通、勇于创新的技术队伍,当前主要统筹促进公司网安攻防核心技术的研究,拓展公司安全技术能力的边界,牵引公司安全产品的开发和竞争力提升。团队会依据数据产生的威胁情报,对其中采用的各种攻防技术做深入的跟踪和分析,并且给出专业的分析结果、提出专业建议,为用户决策提供帮助。
联系方式:400-100-0298转1
