趙明

近日，全球范圍內(nèi)發(fā)生的大規(guī)模WannaCry勒索軟件攻擊事件在各大媒體上已經(jīng)傳播的沸沸揚(yáng)揚(yáng)，令人震驚的是，除了有大量辦公網(wǎng)絡(luò)被攻擊和感染外，還有多個(gè)全球知名的工業(yè)設(shè)施由于遭受WannaCry感染而出現(xiàn)故障或遭受干擾。我們的ICS CERT證實(shí)了，工業(yè)網(wǎng)絡(luò)中同樣出現(xiàn)了被WannaCry感染的現(xiàn)象。

面對(duì)不斷演化的網(wǎng)絡(luò)威脅，傳統(tǒng)的安全解決方案早已力不從心。卡巴斯基實(shí)驗(yàn)室的數(shù)據(jù)顯示，2016年，28.7%的企業(yè)需要幾天時(shí)間才能夠發(fā)現(xiàn)網(wǎng)絡(luò)安全事故，而19%的企業(yè)承認(rèn)，需要幾周時(shí)間，還有一小部分企業(yè)甚至需要幾個(gè)月時(shí)間。而網(wǎng)絡(luò)安全事故一旦發(fā)生，不僅會(huì)導(dǎo)致機(jī)密信息泄露，還會(huì)使企業(yè)蒙受經(jīng)濟(jì)、名譽(yù)雙重?fù)p失。如何才能防患于未然，快速應(yīng)對(duì)網(wǎng)絡(luò)安全事故？

在近期舉行的一場(chǎng)分享會(huì)上，卡巴斯基實(shí)驗(yàn)室大中華區(qū)總經(jīng)理鄭啟良給記者演示了網(wǎng)絡(luò)罪犯使用駐留內(nèi)存的惡意軟件感染銀行網(wǎng)絡(luò)并成功入侵的案例?！斑@種惡意軟件是遠(yuǎn)程安裝到銀行的ATM機(jī)上的，并且遠(yuǎn)程控制和執(zhí)行。安裝并連接到ATM機(jī)上后，ATMitch惡意軟件會(huì)偽裝成合法軟件同ATM機(jī)進(jìn)行通信。攻擊者可以通過執(zhí)行一系列命令，獲取ATM機(jī)的儲(chǔ)鈔盒中現(xiàn)金的數(shù)量。更為重要的是，網(wǎng)絡(luò)罪犯可以通過按下一個(gè)按鈕，隨時(shí)從ATM機(jī)中提取現(xiàn)金，”鄭啟良解釋說。

據(jù)了解，通常網(wǎng)絡(luò)罪犯會(huì)首先獲取ATM機(jī)的儲(chǔ)鈔盒中所存的現(xiàn)金數(shù)量的信息。之后，網(wǎng)絡(luò)罪犯可以發(fā)送一條命令，指定任意儲(chǔ)鈔盒吐出任意數(shù)量的現(xiàn)金。盜取現(xiàn)金后，網(wǎng)絡(luò)罪犯只需拿上錢離開就可以。這種ATM盜竊僅需幾秒就可以完成。完成盜竊后，惡意軟件會(huì)從系統(tǒng)中刪除自己的痕跡。

那么，如何才能防此類威脅于未然，快速應(yīng)對(duì)網(wǎng)絡(luò)安全事故呢？針對(duì)工業(yè)控制環(huán)境的安全解決方案如下。

首先，為各個(gè)終端節(jié)點(diǎn)提供適用于工業(yè)環(huán)境的安全軟件；其次，可針對(duì)PLC設(shè)備進(jìn)行實(shí)時(shí)監(jiān)控、威脅偵測(cè)；最后，在網(wǎng)絡(luò)層部署流量監(jiān)測(cè)設(shè)備，實(shí)時(shí)發(fā)現(xiàn)未知設(shè)備、網(wǎng)絡(luò)攻擊和工業(yè)環(huán)境獨(dú)有的威脅行為。

卡巴斯基工業(yè)網(wǎng)絡(luò)安全解決方案提供各種類型的保護(hù)，幫助基礎(chǔ)設(shè)施管理者打造高效的安全策略。這意味著，除了提供強(qiáng)大的威脅檢測(cè)和預(yù)防技術(shù)外，這款解決方案還引入了特殊的安全服務(wù)，幫助用戶進(jìn)行緊急事件響應(yīng)和威脅預(yù)測(cè)服務(wù)。

名為WannaCry的勒索軟件會(huì)利用Windows系統(tǒng)的一個(gè)漏洞（目前已被修補(bǔ)）實(shí)施攻擊，該漏洞于3月14日在Shadowbrokers黑客組織dump的數(shù)據(jù)中被發(fā)現(xiàn)。

卡巴斯基實(shí)驗(yàn)室安全研究人員持續(xù)追蹤WannaCry威脅的最新情況。截止到5月15日，該惡意軟件的變種總數(shù)量仍然不明。但近日，出現(xiàn)了兩種值得注意的最新變種?？ò退够鶎?shí)驗(yàn)室并不認(rèn)為這些變種是WannaCry的原作者編寫的，這些變種很可能是其他網(wǎng)絡(luò)罪犯在原有勒索軟件的基礎(chǔ)上進(jìn)行修改，并利用這次攻擊達(dá)到自己的目的。

卡巴斯基實(shí)驗(yàn)室亞太區(qū)病毒中心負(fù)責(zé)人董巖表示，這次勒索病毒爆發(fā)是10年前熊貓燒香后最為嚴(yán)重的一次計(jì)算機(jī)病毒爆發(fā)，而勒索病毒加密用戶文件給用戶造成了不可估量的損失。此次病毒爆發(fā)再次給我們敲響警鐘——任何時(shí)候都不能對(duì)信息安全掉以輕心，要從根本上提高安全意識(shí)，及時(shí)更新系統(tǒng)，謹(jǐn)防釣魚欺騙，使用可靠的安全軟件。

董巖建議，企業(yè)采取如下措施降低感染風(fēng)險(xiǎn)。

第一，安裝微軟發(fā)布的官方補(bǔ)丁，關(guān)閉攻擊所使用的漏洞。

第二，確保網(wǎng)絡(luò)中的所有節(jié)點(diǎn)都啟用安全解決方案。

第三，對(duì)于沒有使用卡巴斯基實(shí)驗(yàn)室產(chǎn)品的用戶，建議安裝面向企業(yè)的并且免費(fèi)的卡巴斯基反勒索軟件工具（KART）

第四，如果正在使用卡巴斯基實(shí)驗(yàn)室解決方案，請(qǐng)確保解決方案包含系統(tǒng)監(jiān)控組件（一種行為主動(dòng)檢測(cè)模塊），并且啟用該功能。

第五，盡快執(zhí)行卡巴斯基實(shí)驗(yàn)室解決方案的關(guān)鍵區(qū)域掃描任務(wù)，以檢測(cè)可能存在的感染（如果該功能沒有被關(guān)閉，則會(huì)在24小時(shí)內(nèi)自動(dòng)檢測(cè)到感染）。

第六，如果檢測(cè)到“MEM：Trojan.Win64.EquationDrug.gen”，請(qǐng)重啟系統(tǒng)。

第七，使用專門定制的威脅情報(bào)報(bào)告服務(wù)，了解有關(guān)最新攻擊的情報(bào)。

第八，WannaCry還能夠攻擊嵌入式系統(tǒng)。我們建議為系統(tǒng)安裝專用的安全解決方案，這些解決方案應(yīng)當(dāng)同時(shí)啟用反惡意軟件保護(hù)和默認(rèn)拒絕功能。