董 伟，李致成，冯 志

(中国电子信息产业集团有限公司第六研究所工业控制系统信息安全技术国家工程实验室，北京 102209)

0 引言

2018年某交通行业工控系统发生运行故障，部分主机发生蓝屏、宕机现象，经防病毒软件查杀，发现各终端主机存在WannaCry病毒。

1 WannaCry病毒原理

WannaCry勒索病毒可以分为蠕虫部分和勒索病毒部分，蠕虫部分用于传播并释放勒索病毒，勒索病毒部分用于加密用户文件并索要赎金。本次发生的病毒爆发并未发生文件加密索要赎金现象，判断应该为WannaCry勒索病毒的变种。

WannaCry勒索病毒蠕虫部分的传播流程如下所示[1]：

(1)蠕虫代码在运行后会先连接隐藏开关域名，如果该隐藏开关域名可以成功连接，则直接退出。但在业务网络中没有部署流量审计或其它类似作用的设备，所以无法对该域名请求行为进行溯源。由于隐藏开关通常很容易被黑客修改，所以，很快就出现了没有隐藏开关的病毒变种，该变种病毒会直接执行第二步。

(2)如果隐藏开关域名无法访问，则会安装病毒并将其启动。

(3)将tasksche.exe(该程序属于勒索病毒部分)释放资源到C盘WINDOWS目录下并将其启动(从系统日志中，可以发现病毒母体的释放时间)。

(4)在启动蠕虫病毒后，WannaCry病毒会利用MS17-010漏洞进行传播。其传播分为局域网传播和公网传播两种传播途径。利用局域网进行传播，病毒会依据用户的内网IP，生成包含整个局域网的网段表，然后依次尝试攻击。

2 处理过程

病毒爆发后，系统工作人员直接对被感染主机进行杀毒处理，因WannaCry的蠕虫特性，经过处理的主机又被未杀毒的主机所感染。系统应急处理人员到位后对各个被感染主机进行了下线隔离，对装有Windows 7系统的主机安装了Windows相关漏洞补丁(KB4012212、KB4012215)，在系统防火墙中添加了进出TCP 445端口的安全策略，同时使用杀毒软件以及WannaCry专杀工具对受感染主机进行了查杀。通过杀毒软件、WannaCry专杀工具等对装有Windows XP的主机进行扫描未发现病毒痕迹。

对部分受影响主机进行复查及分析，在受感染主机的Windows日志中发现了病毒母体mssecsvc.exe运行的日志记录，最先发现病毒主机日志如图1所示：

图1 病毒母体日志

发生时间与日志时间吻合。

3 原因分析

该工控系统属于独立的局域网环境，在WannaCry病毒爆发时，与互联网隔离。怀疑有工作人员调试时违规接入私人笔记本或私人U盘(可移动存储介质)等设备，将病毒引入系统。

经过分析，系统主要存在如下几个问题：

(1)缺少漏洞补丁更新机制

永恒之蓝的漏洞已曝光一年有余，但所在单位依赖独立局域网的环境，并未对有漏洞的主机系统安装相关的安全补丁，且各主机系统的SMB服务也并未关闭，导致病毒进入系统后迅速感染传播。

(2)缺少必要的主机防恶意软件系统

工控系统往往部署在独立的局域网，为了保持业务软件的稳定性、兼容性，主机系统通常不会安装主机防恶意软件系统。即使已安装，也因为联网的限制而无法更新病毒库。一旦局域网有主机感染了病毒，在缺乏有效防护的情况下，其他主机很快也会感染，导致病毒直接快速在局域网中传播，轻则降低网络速度，影响工作效率，造成数据丢失或者电脑无法启动[2]，重则会产生无法预期的恶劣后果，如在白天交通运行期间爆发等。

(3)缺少限制系统接入的技术及管理手段

由于没有严格的系统接入管理流程，工作人员可将私人笔记本或U盘等移动存储介质随意带入现场并接入，缺少准入手段限制未授权的设备接入，设备接入网络即可生效。

(4)网络安全策略防护能力不足

网络中的防火墙、交换机等设备只有最基本的配置策略，缺少针对端口、应用的访问控制，也进一步导致了病毒在系统中的快速蔓延。

(5)缺少网络安全监测手段，未能及时发现和报告网络攻击或异常行为

此次病毒感染是在工作人员因系统故障复查时发现，故无法确定系统最初感染病毒时间，难以做到及时响应，导致感染范围在不知情情况下进一步扩大。同时针对该事件的一系列杀毒等处理动作，造成了证据文件的丢失，为溯源分析工作带来了较大的困难。

(6)缺少必要的应急响应预案及演练

WannaCry具有蠕虫特性，在病毒处理过程中，工作人员未对感染主机进行断网处理，而是分别直接进行杀毒，结果又被未杀毒的主机重复感染，造成了反复杀毒，同时由于缺少相应的演练，现场处理经验与能力不足，导致了处置时间进一步延长。

4 安全建议

针对上述问题，从技术和管理两个层面给出如下几点安全建议：

(1)技术层面

①应密切关注CNVD、CNNVD等漏洞库及设备厂商发布的补丁。当重大漏洞及其补丁发布时，根据企业自身情况及变更计划，在离线环境中对补丁进行严格的安全评估和测试验证，对通过安全评估和测试验证的补丁及时升级。

②各交通节点之间通过交换机相连，在中心机房等有限的节点部署防火墙，在各交换机设备和防火墙中对TCP 445端口添加相关的端口限制。

③在各主机组策略或防火墙中添加TCP 445端口的出入规则，并关闭未使用的SMB服务。

④在防火墙和交换机上做IP/MAC绑定的方式，防止网络中的非法主机接入。

⑤定期在非运行期间进行系统病毒查杀。

⑥在网络中部署可对网络攻击和异常行为进行识别、报警、记录的网络安全监测设备，及时发现、报告网络攻击或异常行为，追踪溯源。

(2)管理层面

①严格限制可移动存储介质的使用，如可能，需通过技术手段限制USB接口的使用。

②制定系统接入管理流程，限制运维调试人员将私人笔记本带入现场和接入运行网络，并严格执行。

③制定工控安全应急响应预案。预案应包括应急计划的策略和规程、应急计划培训、应急计划测试与演练、应急处理流程、监控措施、报告流程、应急支持资源、应急响应计划等内容，并定期组织操作、维护、管理等相关人员开展应急响应预案演练。

5 结论

习近平总书记在网络安全和信息化工作座谈会上指出，“金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢，是网络安全的重中之重，也是可能遭到重点攻击的目标。物理隔离防线可被跨网入侵，电力调配指令可被恶意篡改，金融交易信息可被窃取，这些都是重大风险隐患。不出问题则已，一出就可能导致交通中断、金融紊乱、电力瘫痪等问题，具有很大的破坏性和杀伤力。我们必须深入研究，采取有效措施，切实做好国家关键信息基础设施安全防护。”[3]

近几年的网络安全事件表明，网络安全已从传统的信息系统渗透到关键信息基础设施当中。作为传统IT系统的延伸和发展,工业控制系统目前虽然面临着严重的信息安全威胁,但是只要能够借鉴传统安全防御手段，充分考虑工业控制系统的工作特点,因地制宜地采取保护措施，一定可以在新的网络安全形势下占据先机和主动。