5月中旬，“魔窟”（WannaCry）开始席卷全球，短短几天已经波及150余个国家和地区的30多万台电脑，涉及能源、电力、交通、医疗、教育、制造等重点行业领域，影响范围之广令人震惊。半个月时间过去了，看似攻击已经平息，而实际情况却是更加危险的勒索病毒却在暗处隐藏，随时都有可能发起致命一击。

攻击者的欲望日渐膨胀，个人的那一点点赎金早已无法满足他们贪婪的心，于是乎勒索对象由个人变成企业，将魔掌伸入防护薄弱的工业控制领域，SCADA和ICS系统首当其冲。

与此同时攻击者的手段也有所升级，从单纯的锁定、加密发展到清空控制系统全部运行逻辑并毁掉控制器使企业瞬间停产，且恢复周期相当漫长。这不仅会让相关企业蒙受巨大经济损失，甚至会毁坏昂贵的生产设备或者造成人员伤亡。

九略智能收集、整理并分析了当下针对于工业网络的勒索病毒的危害、相关案例以及防护建议。

一、LogicLocker——锁定逻辑程序

2017年2月旧金山RSA大会上，乔治亚理工学院（GIT）的研究员演示了一种新研发的、可感染工控设施并向中水投毒的勒索软件即LogicLocker，攻击对象是ICS和SCADA等基础设施，例如发电厂或水处理设施，通过LogicLocker感染PLC并修改密码锁定合法用户，关闭阀门控制水中氯的含量并在机器面板上显示错误的读数。

1. 勒索过程

LogicLocker主要针对3种PLC系统，分别为Schneider Modicon M221、Allen Bradley MicroLogix 1400和Schneider Modicon M241，利用API接口扫描工控系统内已知安全漏洞设备，通过感染和绕过方式突破安全机制，锁定设备合法用户，修改PLC代码破坏工控设备或设置程序逻辑炸弹触发更严重的安全威胁。

1.1 初始感染阶段

入侵联网ICS设备或电脑终端，实现恶意软件或勒索软件驻留。

1.2 横向渗透阶段

通过内网和感染设备发现存在漏洞和脆弱性的PLC设备。

1.3 纵向渗透阶段

1.4 锁定加密阶段

找到目标PLC后，锁定和加密。

1.5 勒索谈判阶段

成功锁定或加密后就获取了控制权限，以邮件、PLC页面方式勒索。

2. 逻辑炸弹

在取得PLC控制权后使PLC拒绝服务（DoS）、改变PLC行为、获取传感器和控制消息的数据。由于它是用梯形图编写的，可潜伏于梯形图程序中伪装成正常程序块，所以不容易被发现，当炸弹的触发条件满足即刻“爆炸”执行payload。

二、ClearEnergy——清空全部梯形图程序

2017年4月初CRITIFENCE“关键基础设施和SCADA / ICS网络威胁”研究小组展示了一款概念型（POC）勒索软件（即ClearEnergy）验证模型，攻击对象是SCADA、ICS系统，意在勒索关键资产和基础设施（他们易攻击且难恢复、防护薄弱）。

CRITIFENCE研究者发现ClearEnergy是基于CVE-2017-6032、CVE-2017-6034漏洞发起的攻击，影响范围非常大，包括Schneider Electric Unity系列PLC和2.6版及更高版本的Unity OS。

UMAS协议是施耐德Unity系列2.6版以上PLC和Unity OS管理层的内核级协议，依赖于Modbus协议，是关键基础设施、SCADA、工控系统中通用协议，用于PLC、SCADA系统访问未分配和分配的内存。UMAS协议的会话密钥设计存在”绕过身份验证”的漏洞（易受攻击的事实已被施耐德证实）。经研究发现GE、AB（MicroLogix系列）等厂商的产品也存在极易被这种勒索软件感染的漏洞。

施耐德发布重要网络安全通知(SEVD-2017-065-01)：

ICS-CERT发布重要通知：施耐德确认的基本缺陷允许攻击者轻松猜测一个弱（1字节长度）的会话密钥（256种可能性），甚至嗅探。攻击者用会话密钥能完全控制控制器，读取程序并用恶意代码重写。

最大的问题是未来几年内可能没有办法完全修复，因为涉及众多硬件和供应商，修复期间工厂完全关闭会造成巨大损失，例如能源厂，化学反应需要恒定的温度，如果反应链被破坏则需要几周的时间重新初始化。操作上OT网络更加复杂化，甚至很多工厂都没有最新的备份，需要全部重新配置，因此企业会比较愿意付赎金，而付款之后谁又能保证不会遭受二次攻击？

三、Scythe——替换控制器firmware并锁定“更新固件”

2017年4月27安全周上发布了ICS安全公司Applied Risk在ICS会议上的一篇演讲稿，指出攻击利用“固件验证绕过”漏洞并锁住“升级更新固件”的功能，攻击对象是分布于SCADA现场设备和OPC服务器间的I/O系统（例如远程终端或RTU），这些设备由嵌入式OS支撑并运行着web服务器，shodan搜索引擎或google搜索上可以找到很多公网资产，攻击者很容易在web上寻找到潜在目标，更换受害者的固件版本从而实现勒索。

Ariciu已测试不同供应商的4台设备，大都缺乏身份认证，不费吹灰之力便可以访问到，硬件调试确定工作模式，分析端口，使用许多硬件攻击技术、固件摧毁、逆向工程等技术来研究目标设备工作原理和攻击方式。

该攻击依赖于绕过固件认证的漏洞来替换合法固件，攻击者连接目标设备接口，备份目标设备配置，并安装破坏常规进程的固件，随后受害设备的连接断开，弹出勒索信息。

攻击者禁用“固件和配置更新”功能防止受害者恢复固件，虽然“恢复出厂设置”不会减轻攻击，但已被黑客禁用。如果受害者支付赎金，攻击者能恢复设备配置是因为“固件更新”功能并没有被禁用，若用户知道固件文件名即可更新固件，若攻击者指定了32个字符或更多的随机文件名，则受害者不可能确定并执行固件更新。

这种攻击的发生是因为一些企业从未考虑过备份配置或部署设备后很少会重新配置。受影响的4家厂商产品价位在$300到$1000之间，其中的两个供应商已经承认“固件验证绕过”漏洞的严重性，同时指出修复安全漏洞并不是容易事，至今仍在试图找出解决问题的最佳方法。

虽然ICS网络到目前为止没有受到恶意勒索软件的攻击，不是因为他们更安全，而是犯罪份子在之前的很长一段时间里没有找到一个合适的商业模式。网络犯罪分子似乎已开始将防护薄弱的ICS网络视为下一个潜在对象。

工控系统里的勒索软件发展速度如此快值得我们高度重视，设备商、用户、安全厂商等要提前做好防御措施，才能在未来打好这场硬仗。

四、控制系统中的勒索事件

1. 2017年1月下旬，一家奥地利豪华酒店受到攻击，阻止给客人制作新的房间钥匙卡，基本上锁定他们的房间。由于每个酒店房间每晚花费高达几百美元，受害者支付大约1600美元赎金来恢复系统并继续正常的业务操作。虽没有用已知的勒索软件攻击PLC，但还是用其他方式攻击了控制系统。

2. 受WannaCry的影响，5月12日英国的几百家医院和诊所受到病毒感染，它们迫将病人转到其它地方。5月13日雷诺宣布法国桑都维尔和罗马尼亚的工厂停产，防止勒索软件在系统内扩散。除了雷诺还有一些受害者，日产位于英国东北部桑德兰（Sunderland）的制造工厂也受到影响。

当然，我们列举的这些事件只是部分受害案例，随着时间的推移，控制系统被勒索的情况必会与日俱增，且针对性也会越来越强。

五、九略智能安全防护策略

由上面分析可知，只有采取有针对性的措施才能起到防患于未然的最佳效果。九略智能建议相关企业针对攻击共计路径做好针对性防护措施：

1. 工业主机智能防护系统——防止初始感染

在ICS的工程师站、操作员站等主机上安装工业主机智能防护系统，打造工控网络最小化运行环境。

通过智能识别主机应用程序，基于进程白名单管理机制，禁止非法进程运行，阻断工控主机中病毒等恶意程序的运行以及木马、蠕虫的传播；完善的USB移动存储设备权限与操作管理，禁止非法USB设备连接到工控主机，同时对合法USB设备的操作行为进行审计和追溯，确保没有非法设备连接、没有越权操作行为以及有效防止文件泄密。

2. 工业网络智能防护系统——阻止横向与纵向传播

在不同工控功能区与“威胁”之间筑起一道防护墙，通过白名单机制（智能学习主动防御）和黑名单机制（工业网络漏洞库入侵防御）相结合有效应对各类安全威胁挑战，全面保障工业控制系统的安全稳定运行。当非安全因素到来时，可通过对工业控制协议的深度解析发现并阻断隐藏在控制协议中的恶意攻击，也可将看似正常的非法操作拦截在墙外。

3. 工业网络智能监测系统——实时监控异常流量

部署在交换机/路由器的旁路，集网络监测、协议分析和安全审计等一体，通过特定的安全策略和先进的智能学习技术，快速识别出工业控制网络中的异常事件和攻击行为并实时告警，帮您感知准确的网络安全态势。

另外，提高员工的安全意识也很重要，目前很多安全问题都是由于工作人员的安全防御意识薄弱，觉得自己的工业控制系统很安全，不会被攻击，而一旦攻击到来后才会意识到问题的严重性，而很多基础设施一旦遭遇攻击，可能难以恢复，严重性不言而喻，所以提高人员的安全意识很有必要。

总体来说，工控领域厂商对于勒索软件的警惕性并不高或者即使意识到严重性也没有实际采取措施来未雨绸缪，甚至很多厂商直接回避问题，这种消极心态对于预防和解决勒索事件十分不利。

随着新型勒索软件的出现，在不久的将来，可能会有网络犯罪者将会直接攻击关键基础设施。除此之外，国家背景的攻击者也可能会利用勒索软件，隐藏其真实意图。所以，关键基础设施和工控系统的相关人员也应该开始采取标准的安全实践，建立完善的安全管理制度、采取网络隔离。

作者：九略智能