袁航
摘要:本文由一起发生在电力企业的网络安全事件为启发,系统地分析了事件产生的原因、背景以及导致事件情况恶化的因素。其中通过参考有关单位所进行的相关防护措施和事件处理方式,对此次发生在工业生产中的网络安全相关事件有了更加深刻的认识,并从中对此类安全事件的预防和处理产生了一定的思考和想法,文末对如何防止此类事件的发生和如何处理此类事件提出了自己的想法和思路。
Abstract: Inspired by an Internet security related accident happened in several power plants, we analyzed the cause, background of the accident as well as the factors that made it worse. By referring to the procedure of protection, we achieved a better understanding of such kind of cyberspace security accident as well as some thoughts of the protection and prevention of such accident. At the end of this essay, we propose some reasonable solutions and advices in order to help prevent and protect such information systems from being attacked.
关键词:网络安全;电力企业;僵尸网络;蠕虫;Fast-Flux
Key words: internet security;power plant;Botnet;Worm Virus;Fast-Flux
中图分类号:TP393.18 文献标识码:A 文章编号:1006-4311(2020)25-0198-04
1 背景概述
1.1 事件描述
本事件是一起发生在电力企业内网,计算机被当地电信部门检测到大量访问僵尸网络IP地址和恶意域名的安全风险事件。
通过企业的网络安全态势感知平台发现,某时间段内某一内网出口IP地址出现大量访问以ws为结尾的域名,在成功解析的域名中发现指向的IP地址为已知的僵尸网络控制端IP。其中,被解析的域名经过判断,均为DGA(Domain Generation Algorithm,域名生成算法)域名,具有明显的恶意特征。经过进一步的判断,该访问请求均为DNS服务请求,分析域名后显示网络内受感染的主机感染有Fast-Flux僵尸网络家族病毒。
同时,通过平台日志发现,同一出口IP在某一时间段内还在以每4-6分钟左右的频率向一恶意域名发起大量DNS连接请求。通过使用安全情报平台对域名进行分析,显示该域名为Virut僵尸网络的活跃域名。另外通过对流量抓包分析,得出所感染的病毒为Trojan.Win32.aboc.Agent,同时定位到了受感染的内网主机的IP地址。
1.2 Fast-Flux
在常规的DNS服务中,用户在较长的一段时间内,对同一个域名向DNS服务器查询得到的IP一般是不会变化的。传统的僵尸网络病毒制作者一般会直接将控制端的域名或IP地址硬编码在程序代码中,僵尸木马通过这些域名或IP地址定时访问来维持正常运行。但对于受攻击的网络管理者来说,通过逆向分析此类恶意程序,能够很轻松地找到僵尸网路控制端的真实网络地址,利用这些信息,管理员能够使用防火墙轻易阻断连接从而破坏僵尸网络的运行。为了保护僵尸网络的完整性和稳定性,新一代的僵尸网络木马作者常常会使用Fast-Flux技术来实现自我保护。
Fast-Flux技术简单来说就是一种能够动态变化域名解析结果的DNS服务。在正常合法的网络运营中,利用Fast-Flux技术,对目标网站的访问流量能够通过域名解析被动态分配到多个CDN服务器中,对于一些大型网站来说是缓解服务器压力,提高服务质量的有效方法。其技术原理如图1所示。
当应用于僵尸网络中时,该技术可以分为Single-Flux和Double-Flux两类。Single-Flux技术顾名思义,指的是单边的地址变化,僵尸网络管理员会维护一系列的控制端主机,并将控制主机的IP地址列表提供给一台域名服务器。当病毒需要连接网络时将会访问指定的DNS服务器,动态解析控制端的真实地址。Double-Flux则是双边的地址变化技术。除了提供多个控制主机IP以外,还有一系列的僵尸网络域名服务器,这些域名服务器均对应于一台根域名服务器,病毒通过访问根域名服务器来连接动态的子域名的服务器,进而获得动态的控制端服务器地址。[2]另外,處于对网络成本的考虑,僵尸网络管理员仅仅需要维护很少的几台控制主机,称之为“母体”,再利用网络内的一部分机器作为跳板进行指令的传递。从外界来看,将真实的控制主机从跳板主机中分辨出来的难度将是非常高的,往往针对某一网络的追踪结果仅仅是其中的若干跳板节点,这将使针对相关恶意行为的取证工作变得难以进行。
1.3 DGA
本质上来说DGA是一种随机函数,在给定的参数下通过字典、哈希、排列组合等方式生成直观上为乱码的域名组合。[3]
在当代僵尸网路运营中,Fast-Flux技术常常和域名生成算法配合使用。一般来说,DGA会被写入僵尸木马程序中,在需要访问服务器时,木马程序会使用DGA生成一个域名列表并对其中的域名进行解析。对于木马作者来说,其只需要利用相同的DGA生成少量的若干个域名并注册使用,相应的僵尸木马在遍历域名的过程中最终都能够访问到已注册的域名,并接收控制指令。
在使用了DGA以后,僵尸网络控制端的真实域名将变得难以追踪。同时,对于该类木马感染的网络阻断也更加困难,管理员往往需要阻断DGA生成的所有域名才能有效防止木马联网。
2 事件分析
2.1 服务器A
该服务器承载的服务为基建MIS(Management Information System,管理信息系统),为提高企业的信息管理效率而设置,但由于硬件老化和信息化水平提升,MIS系统已经迁移至虚拟服务器平台,该服务器现在处于闲置但未关机断网的状态。服务器自身位于企业防火墙内且并未开放互联网访问权限,运行Windows Server 2003操作系统,同时并未部署本地防病毒软件,未进行系统漏洞修复和补丁安装,也未对高危端口进行本地限制。
对该服务器的病毒扫描检测到了飞客蠕虫病毒,该病毒利用MS08-067漏洞发起攻击。该漏洞允许当用户收到特制的RPC(远程过程调用)请求时,可以远程执行代码,因而攻击者可能在未经身份验证的前提下远程执行恶意代码。该蠕虫病毒感染主机后会访问DGA域名,并在連接成功后下载木马程序破坏系统安全。[8]
对于该台感染病毒的服务器来说,由于企业防火墙并未开放其联网权限,病毒没有成功下载其它恶意程序,没有造成实质上的破坏。同时由于网络策略的设置,同一内网中的其它主机均无法访问该服务器,故没有对局域网内的其它主机造成影响。但若不加以及时处理,病毒程序可能经过移动存储介质传播到其它计算机中,造成难以预料的后果。
2.2 服务器B
该服务器是企业内部SIS系统(Supervisory Information System in Plant Level,火电厂厂级监控信息系统)发送数据的备用服务器。服务器处于企业内网中,内网中部署有网络防毒墙产品。该服务器不可连接互联网,并在网络接口处部署有IPS设备。服务器运行Windows Server 2003系统,安装有本地杀毒软件,但长期未更新病毒库,同时未对高危端口作相关限制。
经过对系统的扫描后,在系统中检测到克邻大盗病毒。该病毒为老式病毒,近年早已不再流行。病毒感染系统后会尝试连接网络下载恶意程序,对局域网进行ARP攻击。由于感染主机不具有互联网访问权限,病毒未能成功连接恶意域名下载恶意程序,未造成实质性的危害。同时,由于内网中部署有防毒墙,且其它主机不可访问该机器,同网段下的其它业务系统并未受到影响。
2.3 服务器C
该服务器为企业内部的应用发布服务器。服务器为内网服务器,未开放互联网访问权限。服务器运行本地单机杀毒软件,定期进行离线病毒库更新。操作系统为Windows Server 2003,系统未对高危端口作一定的限制。
该服务器病毒感染情况与服务器A高度相似,通过扫描后均发现了飞客蠕虫病毒的程序,并由于局域网策略的原因未对同一网段下的其它机器造成影响。但在对系统的扫描中,发现了病毒由U盘携带传播的痕迹,包括目录中的自动播放相关配置文件等。
2.4 计算机D
该计算机为笔记本电脑,由企业员工携带,临时替换故障的办公电脑。本机系统中运行有某款常用安全管家类软件,操作系统及病毒库均为最新版本,但系统并未及时更新漏洞补丁。用户通过有线网络将计算机接入企业内网,该局域网没有部署网络准入认证系统,而是通过手动指定IP地址的方式来连接互联网。
利用杀毒软件对系统进行扫描后,发现了多个病毒,其中名称为Virus.Win32.Virut.Gen.200002的病毒程序行为与对Virut僵尸网络域名的大量访问行为相符合。该病毒属于Virut病毒家族,为文件感染型病毒,病毒会感染系统中的可执行文件,对其入口点进行修改以指向病毒代码,实现在系统中长久驻留而维持僵尸网络运行的目的。[6][7]查看安全日志后,发现用户在杀毒软件告警后手动允许了疑似病毒文件的运行,导致系统被感染,由于企业内网部署有防毒墙,病毒的网络连接被阻断,并未传染至内网中的其它机器。但如果不对此进行处理,当用户正常连接互联网时将可能导致个人信息或企业内部信息泄露,由病毒额外下载的恶意程序可能会盗取用户的网络账户信息,造成损失。
2.5 事件原因分析
从本次网络安全事件的过程分析中,可以比较容易得出几个事件因素。首先是受到感染的服务器系统过于老旧,且忽视了相关漏洞补丁安装等维护措施。Windows Server 2003系统是2003年发布的服务器专用操作系统,集成了大量服务器专用的工具和应用,但其早在多年前已经全面终止了官方的支持和维护,不再得到官方提供的漏洞补丁。另外,作为老版本的操作系统,与当前使用的系统相比缺乏相关的用户权限管理、系统自我防护等安全特性,在面对攻击时也更加的脆弱。
其次是系统中的安全软件缺失或没有正常工作。对于老版本的操作系统而言,安全软件可以说是至关重要的安全防护工具。此次事件中部分企业拥有相应的网络版反病毒软件,能够供内网中无法连接互联网的计算机正常使用,但在本次受感染的计算机上并未安装相关的反病毒软件客户端。另外,部分计算机虽然安装有单机版杀毒软件,但是由于软件引擎防护效果较差,病毒库更新不及时等原因导致防病毒软件事实上无法正常工作。
再次,企业内网出口缺乏网络流量检测系统。事件中受感染的计算机中的病毒程序均不断向远程服务器发起连接请求,由于上级网络出口的联网权限设置而无法正常连接,同时异常流量被上级网络中的流量监测系统检测到,虽然能够发现网络中存在的安全问题,该检测方式仍然不够迅速。受感染计算机所在的内网中缺乏流量监测手段,导致了异常情况的检测出现延迟,对于工业应用系统网络的安全正常运行是不小的隐患。
最后,企业局域网出口网关没有对高危端口进行限制,而本次感染服务器的飞客蠕虫病毒正是通过445端口进行通信和传播的。继不久前爆发的WannaCry勒索病毒事件后,在网关处屏蔽135、138、139、445等高风险端口已经成为越来越多的网络管理员所必须做的一件事情。对这些端口的屏蔽,在一定程度上能从根本上阻止僵尸网络的连接和病毒的更新、扩散,对于企业内网的安全是至关重要的。
3 解决方案和预防措施
一般地,对于工业生产企业中的信息安全的相关解决方案来说,其相比于一般的互联网企业或网络运营商存在着许多不同之处。首先,在一般认为计算机资产并不属于核心生产设备的企业中,对于信息系统相关的部署、运营和维护成本会更加的敏感,在相关设备和软件的更新换代、日常维护方面往往会做出一定的妥协。另外,由工业生产的性质所决定,在涉及生产监控、生产安全保护方面的信息设备,对其运行的稳定性提出了更高的要求,这也导致其相应的信息安全解决方案会更加侧重于系统性能的冗余和长期运行的稳定性。最后,鉴于工业生产领域的企业对互联网的使用需求相对较低,网络环境较为简单,在保障安全性的前提下,企业内网的访问权限、联网准入等配置可以更加精简,不需要过多地考虑由软、硬件的多样化所带来的优化适配等问题。
3.1 操作系统
从根本上来说,当前应用于生產中的服务器更多地使用的是Linux系统。除了相关的服务器应用程序、框架协议等在Linux系统中有更加广泛的选择和适配之外,针对Linux系统的病毒程序相较于Windows来说要少得多。从本次事件来看,所有服务器感染的病毒都是较为常见的流行病毒,其开发目的和破坏手段也更多地针对的是一般的计算机使用者。因此在条件和技术允许的前提下,使用运行Linux系统的服务器是更加彻底的解决方案。
另外,即使需要运行Windows Server系统的服务器来承载网络服务,网络管理员也应该及时升级操作系统,避免使用早已停止服务的老旧版本。以最新版本的Windows Server 2019为例,其升级了系统内核,并拥有诸如Windows Defender高级威胁防护(ATP)等一系列的安全特性,利用深度平台传感器和响应操作,通过抑制恶意文件和终止恶意进程来暴露内存和内核级的安全威胁,对于系统中恶意程序的防护水准大大提高。[5]
3.2 安全软件
很显然,本次受到感染的三台服务器中有的没有本地杀毒软件,有的杀毒软件的病毒库更新不及时,都处于无法正常工作的状态,这也进一步使病毒的入侵更加简单。由于当前网络中的病毒木马程序更新速度快,这对传统杀毒软件的病毒特征库的时效性提出了很高的要求。在企业内网中,由于联网策略的原因,大部分的计算机都不具有互联网访问权限,自然也无法在第一时间获取软件开发商提供的最新病毒库,造成了一定的安全隐患。因此,在成本允许的条件下,内网中的计算机应该部署为企业设计的网络版杀毒软件,利用内网中的指定服务器分发病毒库文件,在不影响整体网络策略的同时保证内网计算机的安全。
当然,对于一般的企业来说,成本高昂的企业版杀毒软件可能是难以接受的。一般来说,安全软件的杀毒过程其实是一个特征比对的过程,通过已有的病毒特征信息,结合当前计算机中程序的行为和文件内容,找出特征匹配的程序或文件并标记为恶意文件。传统的安全软件采用的是联网更新病毒特征库的形式,每次更新的文件中都包含了新增加的病毒样本特征。这种形式在计算机正常的联网使用中表现良好,但对于处于内网中不连接互联网的服务器来说却不太适合。此时较为合适的是被称作NGAV(Next-Gen Antivirus,下一代杀毒软件)的一类较新颖的安全软件。NGAV的核心技术是机器学习,在提供了训练成熟的模型后,此类软件无需病毒样本库,即可以通过对可疑文件的特征提取和模型拟合的方式判断文件的安全性。[4]另外,一般的NGAV软件在运行过程中能够不断对本地模型进行训练,通过用户的日常使用来完善分类模型,以达到自主完善进步的过程。该类软件的技术也决定了其对联网的低需求,通过本地的学习就可提供相当可观的安全防护能力。此外,在采用此类软件的同时定期通过离线方式对软件的样本模型作更新,也能够进一步完善其检测准确率和效率。另外一方面,基于机器学习的NGAV相比于传统安全软件来说更加轻巧简单,对服务器的性能影响也更小,有助于服务器的日常稳定运行。
3.3 网络管理
从本次事件分析中可见,发生事件的企业未在其内网出口部署IPS设备,导致异常流量流经上级网络时才被发现,拖延了事件处理的时间。对于事关社会正常运行的工业企业来说,与生产相关的信息化设备的安全稳定运行是极为重要的,尤其是处于局域网中的服务器设备,在不承载对外服务时更应该确保其与外网的有效隔离,防止受到潜在的感染和攻击。对于中型或大型企业来说,在互联网入口设置的IPS设备是极为重要的,其能够检测双向连接中的可疑流量并在需要的时候进行拦截并定位流量来源,这对及时发现并处理网络中的安全隐患是至关重要的。另外,各级网关和各计算机设备也应该及时封禁高风险端口,阻断病毒可能的传播途径。
此外,对于此类安全要求较高的局域网络来说,完善联网身份验证和内网隔离也是不可或缺的安全措施。一些较小型的企业可能会选择手动指定IP地址的方式访问外网,以控制内网中的联网情况。但该措施缺乏对联网设备信息的鉴别和联网人员身份的认证,难以确保由于人为原因造成的涉密设备联网的泄密隐患。因此对于高安全要求的企业网络来说及时部署网络准入系统,通过用户身份信息与联网设备的物理地址信息来确保联网人员和设备的可控性,保证涉密设备或高安全等级设备的隔离。同时,在企业内部也应该通过多级网关的设置,依据设备安全等级要求来划分不同的VLAN,对不同安全等级的VLAN执行不同的网络权限设置,确保内网数据的安全。
3.4 资产管理
在本次事件中,服务器A是企业内部的闲置服务器,没有承载相关服务。在确认闲置状态后,该服务器没有及时断电关机,而是保持开机和局域网联网状态工作,同时缺乏相关的系统软件维护操作。对于企业来说,此类闲置计算机设备在存放使应保证其为关机断网状态,防止出现无人维护的安全隐患。
其次,本次计算机感染的病毒中出现了以移动存储为媒介的种类,这也意味着企业内部对移动存储介质的管理不够规范和严格。对于高安全等级的内网计算机来说,使用的移动存储介质应必须是可信、可控的,在使用之前必须经过相关的全面安全扫描。另外受感染的计算机中未禁用自动播放的相关功能,导致移动存储器中的病毒程序自动执行并感染。在正常使用中,该功能必须加以禁用,防止潜在的病毒传播。
另外,对于本次受感染的计算机D来说,其作为普通个人用计算机,在接入企业网络前没有经过相关的安全审查和认证,由于企业网络中防毒墙的存在而没有成功感染网络中的其他设备。在封闭性较高的企业内网中,对于此类非常用内网设备的准入审查应该更加严格,包括严格的全面安全扫描和网络准入认证,从源头上切断外来安全威胁的流入渠道。
参考文献:
[1]Fast flux Wikipedia. https://en.wikipedia.org/wiki/Fast_flux.
[2]浅谈僵尸网络利器:Fast-flux技术. https://www.freebuf.com/articles/network/136423.html.
[3]Domain generation algorithm Wikipedia. https://en.wikipedia.org/wiki/Domain_generation_algorithm.
[4]Next Generation Antivirus (NGAV) vs Traditional Subscription Antivirus. https://cipher.com/blog/next-generation-antivirus-ngav-vs-traditional-subscription-antivirus/.
[5]Threat Protection Windows Security. https://docs.microsoft.com/en-us/windows/security/threat-protection/.
[6]Virut Wikipedia. https://en.wikipedia.org/wiki/Virut.
[7]Nitol家族韓国僵尸网络变种分析及其威胁情报. https://www.freebuf.com/articles/network/147591.html.
[8]Conficker Wikipedia. https://en.wikipedia.org/wiki/Conficker.