《電子技術應用》
您所在的位置:首頁 > 通信與網(wǎng)絡 > 業(yè)界動態(tài) > 突發(fā)??!Incaseformat蠕蟲病毒爆發(fā) 工業(yè)企業(yè)用戶無需慌張

突發(fā)!,!Incaseformat蠕蟲病毒爆發(fā) 工業(yè)企業(yè)用戶無需慌張

2021-01-14
來源: 威努特工控安全

  2021年1月13日,,威努特技術服務部接到大量服務過的企業(yè)用戶電話咨詢,咨詢內(nèi)容主要是網(wǎng)絡上爆發(fā)的Incaseformat蠕蟲病毒是否會對企業(yè)工業(yè)控制系統(tǒng)有影響,,已經(jīng)安裝了主機衛(wèi)士的工程師站,、上位機是否能夠防御這類病毒。

  1

  病毒描述

  威努特攻防專家團隊立即對這類病毒樣本進行分析,,發(fā)現(xiàn)該病毒屬于蠕蟲病毒,,由于被刪除文件分區(qū)根目錄下均存在名為incaseformat.log的空文件,因此網(wǎng)絡上才將此病毒命名為Incaseformat病毒,。該蠕蟲病毒主要通過U盤等方式進行傳播,,當其感染U盤后,U盤下的原文件夾將被隱藏,,病毒會偽裝成原文件夾的圖標,。

  2.png

  當用戶插入受感染U盤并點擊運行后該蠕蟲病毒會自動復制到系統(tǒng)盤Windows目錄下,并創(chuàng)建注冊表自啟動,,而一旦用戶重啟主機,,病毒會立即感染除C盤之外其他磁盤上的文件夾,,并在指定時間段內(nèi)刪除系統(tǒng)中C盤之外磁盤上的所有數(shù)據(jù)。

  3.png

  值得注意的是,,這并不是一個新病毒,,至少是個2014年的老病毒,殺毒軟件廠商均將此病毒命名為Worm.Win32.Autorun,,通過名稱可以判斷該病毒是在Windows平臺下通過移動介質(zhì)傳播的蠕蟲病毒,。

  4.png

  該樣本作為一個老病毒,直到2021年1月13日才觸發(fā)刪除用戶文件,,主要原因是該病毒所使用的delphi庫中的DateTimeToTimeStamp 函數(shù)中 IMSecsPerDay 變量的值錯誤,,最終導致 DecodeDate 計算轉換出的系統(tǒng)當前時間錯誤。不僅如此,,該病毒設定的刪除日期不止今天(1月13日),,最近的下一次刪除時間為1月23日。

  2

  解決方案

  經(jīng)過威努特攻防專家組驗證,,由于該病毒只有在Windows目錄下執(zhí)行時會觸發(fā)刪除文件行為,,而重啟是病毒在Windows目錄下啟動主要途徑,因此,,已經(jīng)安裝主機衛(wèi)士的產(chǎn)品可以攔截Incaseformat蠕蟲病毒的執(zhí)行,,或通過強制訪問控制策略阻止其刪除行為,保障工業(yè)主機持續(xù)穩(wěn)定運行,。

  5.png

  圖 1 本地執(zhí)行

  6.png

  圖 2 攔截日志

  由于病毒本身只能通過U盤等移動介質(zhì)進行傳播,,并無相關網(wǎng)絡傳播特征,也可以利用主機衛(wèi)士的移動介質(zhì)管控功能對U盤的使用進行嚴格把控,,防止因非法濫用導致的病毒引入,。

  7.png

  圖 3 外設控制

8.png  

  圖 4 外設管控日志


  3

  病毒排查

  第一步:

  排查工業(yè)控制系統(tǒng)內(nèi)Windows目錄下是否存在圖標為文件夾的tsay.exe和ttry.exe文件,若存在這兩個文件,,及時刪除即可,,刪除前切勿對主機執(zhí)行重啟操作。

  第二步:

  排查工業(yè)控制系統(tǒng)Windows的任務管理器是否有tsay.exe或ttry.exe進程,,如果有,,則可手動關閉。

  第三步:

  排查工業(yè)控制系統(tǒng)Windows目錄下是否有駐留的文件tsay.exe和ttry.exe及注冊表相關啟動項(RunOnce),。

  注:已經(jīng)安裝工控主機衛(wèi)士的企業(yè)用戶,,建議核查相關策略是否正常開啟。

  4

  安全建議

  工業(yè)控制系統(tǒng)大部分應用于國家關鍵信息基礎設施領域,,而工業(yè)控制系統(tǒng)內(nèi)關鍵工程師站,、上位機、數(shù)據(jù)庫中所存儲的數(shù)據(jù)更是對工業(yè)控制系統(tǒng)有著重要的價值,,一旦被刪除,,將會導致生產(chǎn)停滯,,甚至在各別工業(yè)場景中會導致生產(chǎn)安全事故,所以工業(yè)企業(yè)要尤為重視對于工業(yè)主機的安全防護,。

  威努特工控主機衛(wèi)士通過“四重鎖定,,七大核心功能”構建工業(yè)主機安全計算環(huán)境。

  9.png

  ◇ 應用鎖定

  采用“白名單”防護機制,,鎖定工業(yè)主機上應用程序的運行,,阻止任何白名單外的程序運行,避免惡意代碼,、非法程序的運行,,最大限度保障工程師站、操作員站以及服務器等重要設備安全穩(wěn)定運行,。

  ◇ 系統(tǒng)鎖定

  通過安全基線管理和強制訪問控制功能,,鎖定工業(yè)主機運行環(huán)境和資源,確保工業(yè)主機上的設置符合安全基線策略要求,,并按照設定的主客體制定讀寫訪問控制策略進行訪問,。

  ◇ 網(wǎng)絡鎖定

  鎖定工業(yè)主機的網(wǎng)絡訪問環(huán)境,只允許工業(yè)主機和特定的服務器之間進行通信,,控制惡意代碼的在網(wǎng)絡內(nèi)部的傳播,、擴散。

  ◇ 外設鎖定

  鎖定外接輸入設備的使用,,只有經(jīng)過認證的安全可信的USB設備才可以在工業(yè)主機上運行,防止通過U盤等外接輸入設備引入惡意程序?qū)е赂腥静《竞托孤睹舾袛?shù)據(jù),。

  10.png

  

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點,。轉載的所有的文章,、圖片、音/視頻文件等資料的版權歸版權所有權人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權者,。如涉及作品內(nèi)容、版權和其它問題,,請及時通過電子郵件或電話通知我們,,以便迅速采取適當措施,避免給雙方造成不必要的經(jīng)濟損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]