5月10日22:00

“滴铃铃铃~~~”启明星辰工业互联网事业部工程师的电话响起！

“我们两套横河DCS系统的操作员站、工程师站和OPC服务器的主机突然蓝屏！重新启动系统后，仍然无法恢复，寻求紧急技术援助！”

来自某石化公司仪控部的工作人员电话里的声音异常急促……

解决客户的网络安全问题，就是我们的使命！

启明星辰工业互联网安全事业部联合启明星辰集团旗下辰信领创公司立即组建5人专项小组，业务、技术、产品线人员火速开启救援行动，远程指导客户进行系统救援及保护现场病毒样本数据。

5月11日凌晨1:00

救援工作争分多秒，历经3个小时的远程支持后，基本确定事件原因为MsraMiner病毒感染。

远程支持持续进行，但现场情况比较特殊，考虑到工控系统的复杂性及DCS系统的专业性，应急团队决定乘坐当日最早航班飞往客户现场。

5月11日早6:40

妥妥地一场说走就走的应急服务。

经过48小时的不懈努力，系统得到了修复，客户的生产完全恢复了正常。客户给应急团队发来了真诚的感谢信，并邀请商讨后期的加固措施与合作。
 

事件分析

根据对查看现场环境以及系统中数据分析，网络中的主机确认为MsraMiner挖矿病毒的变种病毒感染，此挖矿病毒利用“永恒之蓝”漏洞进行传播，在传播过程中，由于在Windows XP系统上漏洞利用失败，导致机器蓝屏。其病毒破坏原理为：

挖矿病毒MsraMine最新变种的病毒母体运行后释放服务模块，释放的服务模块名称随机拼凑，生成XXX.dll，服务名称和释放的服务dll文件名称相同。
 

 病毒服务名字会根据生成的dll名字命名，但是其描述一般都为Enable a commin infterace and object xxxx病毒文件，并将攻击C:\Windows\NetworkDistribution 目录下所有文件（攻击的主要文件），主挖矿文件C:\Windows\system32\dllhostex.exe（或其他被注入的svchost的子进程）。

另外特选择其中一个IP查看其全部会话，并对其连接端口进行统计，除445端口外，26931、45560端口连接量占比也相当可观，并且该端口不属于正常业务所需端口。随即对该主机的本地文件与进程进行调查和分析，发现大量恶意文件。 经过分析判断，26931、45560两个端口分别为Webserver端口和矿池连接端口。其中Webserver提供相应组件下载，挖矿进程为“TrustedHostServices.exe”。

病毒的感染流程为：受害主机某工程师站中的病毒程序包括两部分，分别为攻击程序以及“挖矿”程序。其中攻击程序会释放出“永恒之蓝”程序，同时搭建web服务器，通过启明星辰的TSOC-NBA可以发现受害主机工程师站向受害主机操作员站以及OPC服务的445端口发起攻击，被感染病毒的主机向受害主机的web服务器26931端口发起下载请求，

请求内容为MsraReportDataCache32.tlb，该程序会释放出攻击程序以及“挖矿”程序；同时，挖矿进程Trusted Host Services . exe进行挖矿，与矿池xmr.pool. minergate . com: 45560 建立连接，程序运行期间会访问相应的domain以进行程序更新与矿池连接，在连接失败后导致系统蓝屏。

解决方案

1、应急处理：手工清除

1) 安装启明星辰专有“永恒之蓝”补丁或使用附件中的热补丁工具；

2) 关闭445，139，135、3389等端口服务；

3) 删除描述为Enable a commin infterace and object xxxx的服务；

4) 删除此服务对应的动态链接库文件；

5) 结束svchost.exe进程（TaskIndexer.exe或dllhostex.exe进程的父进程）；

6) 结束TaskIndexer.exe或dllhostex.exe进程，并删除其文件；

7) 删除C:\Windows\NetworkDistribution目录下所有文件；

8) 安装杀毒软件保持防御开启，及时升级病毒库。

手动安装“永恒之蓝”漏洞补丁请访问以下页面：

https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

http://www.catalog.update.microsoft.com/search.aspx?q=kb4012212

其中WinXP，Windows Server 2003用户请访问：

https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

部分工具：

启明星辰的永恒之蓝热修复工具

启明星辰PChunter恶意软件手工检测工具

2、工控系统专业查杀工具

工业控制系统在防病毒建设上普遍存在：设备性能普遍偏低、windows老版本操作系统居多、硬件或业务软件在实施防病毒后不得受任何影响、防病毒软件必须能够有效防御病毒等问题，启明星辰为满足工控行业防病毒需求，研发出景云安全能力轻量化工控防护版。采用全程无驱动无hook、只扫不杀以及进程/网络白名单等符合工控环境的机制，帮助工控企业在防御各种新型病毒和蠕虫的攻击的同时，能够兼顾工控设备的稳定运行，保障用户业务。

1) 集中管控：通过景云级联中控平台，提供可伸缩的跨平台病毒防护，集中管控各级各类泛终端，满足企业级用户对防病毒软件统一管理的需求。

2) 海量云查：可为用户按需定制云知识库，智能自运营云端病毒特征，使用户在拥有等同于公有云的病毒查杀能力的同时，又通过私有化的方式彻底杜绝数据泄露。

3) 智能鉴毒：将机器学习和大数据方法融入到防病毒系统中，能够为大型用户实现自动的样本捕获、样本分类、样本特征提取、病毒库更新流程，以便能够快速响应互联网层出不穷的计算机病毒。

4) 强效性能：在降低用户终端资源消耗同时，结合人工智能和大数据技术，能使病毒查杀更迅速、更精准。能够有效防御最流行的病毒木马、黑客入侵和0day、APT等未知威胁，更有利于实施，更方便安装和维护。

5) 智能自学习：通过即时取样、历史数据分析、多规则合并等方式建立进程/网络白名单规则。在设定标准设备之后，景云支持自动调整规则内容以适应业务系统升级造成的白名单列表扩容等需求，帮助用户快速建立符合自身工控环境的白名单。

3、主机加固

采用启明星辰的“天珣内网安全风险管理与审计系统”，功能如图：

这只是众多应急响应工作中的一件，启明星辰始终将客户的安全放在首位，在面对突发的网络安全事件时，坚持以及时、专业、认真、高效的态度解决客户的问题，赢得了客户极大的信任。

安全无小事

向奋斗在一线的应急服务人员致敬！