勒索病毒是目前比較流行的軟件病毒，它不僅在我們?nèi)粘５木W(wǎng)絡中傳播，也逐漸侵蝕著工業(yè)網(wǎng)絡。但是隨著工業(yè)的發(fā)展，工業(yè)病毒的傳播也越來越廣泛。針對來自工業(yè)的病毒，我們又該如何去防范呢？

1　引言

隨著信息技術的發(fā)展，計算機技術越來越多地應用于社會生產(chǎn)生活中，與此同時惡意軟件也在不斷發(fā)展進化。早期的惡意軟件僅僅出于個人炫耀或技術探索，互聯(lián)網(wǎng)時代“用戶流量”的巨大價值吸引惡意軟件利用劫持虛擬資產(chǎn)、流量、互聯(lián)網(wǎng)推廣作弊等手段謀取間接利益，隨著區(qū)塊鏈加密貨幣的流行，惡意軟件再一次進化直接向受害者伸手要錢。

隨著破壞工業(yè)設施的Stuxnet、加密用戶數(shù)據(jù)進行勒索的WannaCry等惡意軟件曝光，來自惡意軟件的威脅已經(jīng)觸及工控系統(tǒng)，對于工控系統(tǒng)的運營管理者，有必要了解惡意軟件，了解工控系統(tǒng)正面臨的信息安全風險。

2　惡意軟件從炫技到勒索病毒的演進

推動惡意軟件進化的背后是賽博世界中利益輸送方式的進化。在計算技術發(fā)展的早期，各種應用普及程度有限，潛在的惡意軟件作者難以通過傳播病毒廣泛牟利，不妨假設有人試圖制造病毒擴散，隨后在市場上出售針對性的殺毒工具，這種操作證據(jù)直接明顯，作者可能都猜不到發(fā)財和被捕哪件事會先發(fā)生，所以這個時代的病毒才會顯得相對“純粹”。

到了流量時代，用戶在互聯(lián)網(wǎng)上的活動、消費對應著廣告和貿(mào)易等現(xiàn)實世界中有價值的資源，為了獲得更多收益，服務商開始為“流量”出價。例如經(jīng)營電子商務的公司，為了獲取更多的客戶開始鼓勵推廣者，每拉來一位網(wǎng)絡訪客給予一定的流量分成，很快惡意軟件開始劫持網(wǎng)絡中的流量，通過植入病毒木馬、劫持HTTP、劫持DNS等方式，綁架流量從服務商處騙取收益。這種方式具備一定的隱蔽性、難以察覺并且普通人即便了解相關技術，也只能追蹤到一個推廣者ID，追查這個ID是誰已經(jīng)不是普通人的能力范圍了。萬變不離其宗，流量時代的利益輸送仍然從服務商處以現(xiàn)金方式結算，通過追查相關資金和信息還是可以找出惡意軟件作者，在公安機關、安全廠商等多方努力和相關法律法規(guī)逐漸健全的情況下流量劫持惡意軟件已經(jīng)得到控制。

如今勒索病毒已經(jīng)成為互聯(lián)網(wǎng)上逐利惡意軟件的代表，勒索病毒并不是近年來的發(fā)明，早在1989年，就有勒索病毒在運行后將計算機C盤加密，顯示信息聲稱用戶的軟件許可過期，要求用戶向“PCCyborg”公司位于巴拿馬的郵箱寄一筆錢以解鎖系統(tǒng)。勒索病毒流行依托的其實是區(qū)塊鏈技術衍生出來的加密貨幣。在2008年金融危機后，美國實行量化寬松，全球各大央行放水，一種基于P2P網(wǎng)絡的加密貨幣開始流行，也就是比特幣。比特幣具備不依靠特定貨幣機構發(fā)行的特性，數(shù)據(jù)從客戶端到客戶端傳輸，沒有所謂的清算中心，也就是說比特幣的傳送不受任何一個機構的監(jiān)管，具備一定的匿名特性。只要建立網(wǎng)絡連接加密貨幣可以從世界上任何兩個地方之間傳送。具備這一特性的加密貨幣不止比特幣一種，但這一特性，極為適合勒索病毒使用。勒索病毒感染成功后迅速加密用戶數(shù)據(jù)，隱藏解密數(shù)據(jù)所必須的密鑰，然后向用戶發(fā)出通知，要求支付加密貨幣贖金。拒絕支付贖金則密鑰可能被銷毀，所有資料可能無法解密。而惡意軟件作者躲在加密貨幣后，追蹤難度可想而知，正因如此惡意軟件作者才敢對工控系統(tǒng)伸手。

3  勒索病毒如何進入工控系統(tǒng)

勒索病毒和其他目的的惡意軟件的主要區(qū)別是目的不同，惡意軟件Stuxnet的主要目的是發(fā)送惡意指令損壞設備，勒索病毒W(wǎng)annaCry的主要目的則是加密受害者設備上的數(shù)據(jù)，向用戶索要解密贖金，但針對工控系統(tǒng)的惡意軟件在傳播方式上是相似的。

工控系統(tǒng)在設計之初通常并未考慮到暴露在互聯(lián)網(wǎng)上或與互聯(lián)網(wǎng)存在間接連接，其安全性主要來自于隔離。但隨著計算機和網(wǎng)絡技術的發(fā)展和提高效率的需求，工控系統(tǒng)的封閉特性正在逐漸被打破，因此存在一些安全隱患。

3.1　利用設備漏洞遠程入侵

由于配置錯誤或者管理上的問題，可能存在一小部分工控系統(tǒng)設備直接暴露于互聯(lián)網(wǎng)中，如果設備上存在漏洞，惡意軟件可能通過遠程利用漏洞的方式感染工控系統(tǒng)設備，實施勒索或其他惡意行為。

3.2　繞過工控系統(tǒng)外部防火墻

在一般情況下工控系統(tǒng)與外部網(wǎng)絡至少存在防火墻等安全設施保護，惡意軟件可能通過郵件、U盤等渠道，通過工控系統(tǒng)運營人員攜帶的設備帶入內(nèi)網(wǎng)，以繞過工控系統(tǒng)外部防火墻進入工控網(wǎng)絡。

3.3　通過供應鏈攻擊進入工控網(wǎng)絡

將設備帶入工控系統(tǒng)的除了運營管理人員還有相應軟硬件供應商，勒索病毒也可能通過預先感染供應商設備在工控系統(tǒng)中安裝新設備時將勒索病毒帶入工控系統(tǒng)，再利用勒索蠕蟲病毒中內(nèi)置的漏洞利用代碼在工控系統(tǒng)內(nèi)網(wǎng)中進行橫向滲透，發(fā)現(xiàn)并感染存在漏洞和脆弱性問題的工控系統(tǒng)設備。

4  勒索病毒對工控系統(tǒng)的破壞

4.1　加密文件

在目前已經(jīng)曝光的案例中，勒索病毒主要感染W(wǎng)indows設備，將設備用戶文件進行加密，覆蓋或破壞原始文件，并且絕大多數(shù)勒索病毒都具備蠕蟲病毒的特性，會主動對被感染設備同網(wǎng)絡中的其他設備進行掃描，通過內(nèi)網(wǎng)和感染設備發(fā)現(xiàn)存在漏洞和脆弱性的設備進行擴散。

4.2　竊取機密

在利用漏洞或其他入侵手段進入工控系統(tǒng)后，惡意軟件可以根據(jù)其需要搭載不同的攻擊載荷，獲取密碼、控制列表、PLC程序等機密信息并加密，嘗試傳回惡意軟件作者達到勒索或其他惡意目的。

4.3　鎖定設備

勒索病毒可以利用工控系統(tǒng)設備的漏洞或弱口令等脆弱性問題，控制PLC等工控系統(tǒng)設備，修改認證口令或利用固件驗證繞過漏洞刷入惡意固件并禁用設備固件更新功能，獲取設備的控制權。

4.4　物理攻擊

在某些特殊場景下，勒索病毒可以控制PLC，執(zhí)行某些會對物理世界造成威脅的動作，例如鎖定閥門或修改上報的參數(shù)，欺騙操作人員。研究人員已經(jīng)在模擬環(huán)境中實現(xiàn)勒索病毒控制水處理廠，關閉城市供水或增加氯濃度污染城市用水等攻擊行為。

萬幸的是，目前已公開的案例中勒索病毒對工控系統(tǒng)的威脅還停留在加密文件勒索階段，尚未造成人員傷亡或無法挽救的重大財產(chǎn)損失。據(jù)報道全球最大的芯片制造商臺積電曾因勒索病毒W(wǎng)annaCry攻擊生產(chǎn)線上的自動物料搬運系統(tǒng)（AMHS）造成停工，預測將對當年第三季營收造成3%的影響，隨后臺積電對受影響的設備進行斷網(wǎng)處置，并表示因停工造成的產(chǎn)能影響可以彌補。

5  工控系統(tǒng)防御勒索病毒的解決方案

勒索病毒與其他工控環(huán)境下的惡意軟件一樣，利用工控環(huán)境中的脆弱性問題及設備漏洞實施惡意行為，在預防上與其他工控惡意軟件一致，主要體現(xiàn)在以下幾點：

5.1 資產(chǎn)識別與維護

對工控系統(tǒng)網(wǎng)絡中的設備進行識別，發(fā)現(xiàn)存在安全隱患或者存在已知漏洞的設備，及時修復，對于不便停機升級的設備進行必要的隔離保護，關閉工控系統(tǒng)網(wǎng)絡中所有非必要的通訊端口。

5.2 準入控制

準入控制指對網(wǎng)絡的邊界進行保護，對接入網(wǎng)絡的終端和使用進行合規(guī)檢查，杜絕不安全的電腦、U盤等設備未經(jīng)充分檢查接入工控系統(tǒng)。

5.3 制訂備份與恢復計劃

對于生產(chǎn)資料和系統(tǒng)進行備份，將備份文件用單獨的設備離線儲存或保存到安全的環(huán)境中，并準備恢復計劃。

5.4 事后追查能力

作為以防萬一的保障，確保在發(fā)生攻擊事件后有能力追查攻擊來源、造成的影響和所有設備是否已經(jīng)被完全恢復。

5.5 安全培訓

完全依賴安全設備或管理制度均不可取。加強工控系統(tǒng)安全需兩者結合，工控系統(tǒng)操作人員的安全意識非常重要，應加強安全培訓，相關操作人員杜絕下載不明文件、點擊不明鏈接或使用未經(jīng)充分安全檢查的設備接入工控系統(tǒng)等高危操作。

6  基于損失控制的勒索病毒處置探討

在對于勒索病毒的處置中，工控系統(tǒng)與普通辦公設備不同。工控系統(tǒng)冗余量小，即便是部分設備感染勒索病毒也可能造成整個生產(chǎn)線停工甚至工控系統(tǒng)中的設備物理安全受到威脅。這種情況下時間就是金錢甚至生命，從減少損失的角度來看，確定恢復系統(tǒng)正常運轉的代價遠高于支付贖金，工控系統(tǒng)的運營管理者很難有其他選擇。

當勒索事件發(fā)生后，冷靜迅速處理，判明情況。首先將被攻擊的異常設備進行斷網(wǎng)斷電隔離，中斷內(nèi)網(wǎng)通信避免勒索病毒出現(xiàn)擴散，隨后聯(lián)系安全廠商及有關機構對設備中的病毒樣本進行取樣分析，盡量了解惡意軟件意圖和已經(jīng)造成的影響，并著手修復工控系統(tǒng)及早恢復正常工作，查明勒索病毒入侵情況后，應將染毒內(nèi)網(wǎng)中的設備進行離線修復，避免因安裝補丁等修復過程中勒索病毒借機入侵。

勒索病毒的解密也存在多種可能性，首先勒索病毒的加密方式多種多樣，攻擊者可能掌握難以破解的密鑰，這種情況下支付贖金尚有可能取回解密密鑰。也存在另一種可能性，病毒已經(jīng)對文件造成了不可逆的破壞，即便支付贖金也只能是增加損失。

亦有可能感染的病毒只是采用了一些在本地對文件簡單加密的方法，例如對文件中的部分內(nèi)容進行可逆加密，通過對勒索病毒的逆向分析可能找出文件恢復的解決方法，制作出對應的解密工具。

在分析檢出的勒索病毒加密原理后，可能有找回文件的方法，在一些情況下原始文件并未被直接加密，勒索病毒可能先創(chuàng)建了加密后的副本再刪除了原始文件，在這種情況下采用數(shù)據(jù)恢復技術有可能恢復部分原始文件，挽回損失，切記盡可能避免對已經(jīng)被勒索病毒加密的設備做不必要的操作，以免原始文件被二次覆蓋無法恢復。

在工控系統(tǒng)這一特殊環(huán)境下，對運營管理人員的要求更高于普通IT網(wǎng)絡中的勒索病毒應急響應，當工控系統(tǒng)設備在勒索病毒攻擊下出現(xiàn)異常或停擺時，其影響可能在業(yè)務邏輯中的上下游產(chǎn)生擴散影響，這需要工控系統(tǒng)的運營管理人員在預防之外對可能發(fā)生的勒索病毒爆發(fā)事件做好充分準備，并且與安全廠商及有關機構建立通暢的溝通渠道，在需要時以生命財產(chǎn)安全為第一要務，合理處置工控系統(tǒng)中的勒索病毒事件。