一场说走就走的“应急”行动——某石化公司遭挖矿病毒熏染后的48小时

宣布时间 2019-05-23

5月10日22:00

“滴铃铃铃~~~”c7c7娱乐平台工业互联网事业部工程师的电话响起！

“我们两套横河DCS系统的操作员站、工程师站和OPC效劳器的主机突然蓝屏！重新启动系统后，，，，仍然无法恢复，，，，追求紧迫手艺援助！”

来自某石化公司仪控部的事情职员电话里的声音异常急促……

解决客户的网络清静问题，，，，就是c7c7娱乐平台使命！

c7c7娱乐平台工业互联网清静事业部联合c7c7娱乐平台集团旗下辰信领创公司连忙组建5人专项小组，，，，营业、手艺、产品线职员迅速开启救援行动，，，，远程指导客户举行系统救援及�；；；；；；は殖〔《狙臼荨！�。。

5月11日破晓1:00

救援事情争分多秒，，，，历经3个小时的远程支持后，，，，基本确定事务原由于MsraMiner病毒熏染。。。。

远程支持一连举行，，，，但现场情形较量特殊，，，，思量到工控系统的重大性及DCS系统的专业性，，，，应急团队决议乘坐当日最早航班飞往客户现场。。。。

5月11日早6:40

妥妥地一场说走就走的应急效劳。。。。

经由48小时的不懈起劲，，，，系统获得了修复，，，，客户的生产完全恢复了正常。。。�？？？？？？突Ц蓖哦臃⒗戳苏娉系男恍恍牛�，，，并约请商讨后期的加固步伐与相助。。。。

事务剖析

凭证对审查现场情形以及系统中数据剖析，，，，网络中的主机确以为MsraMiner挖矿病毒的变种病毒熏染，，，，此挖矿病毒使用“永恒之蓝”误差举行撒播，，，，在撒播历程中，，，，由于在Windows XP系统上误差使用失败，，，，导致机械蓝屏。。。。其病毒破损原理为：

挖矿病毒MsraMine最新变种的病毒母体运行后释放效劳�？？？？？？椋�，，，释放的效劳�？？？？？？槊扑婊醇�，，，天生XXX.dll，，，，效劳名称和释放的效劳dll文件名称相同。。。。

病毒效劳名字会凭证天生的dll名字命名，，，，可是其形貌一样平常都为Enable a commin infterace and object xxxx病毒文件，，，，并将攻击C:\Windows\NetworkDistribution 目录下所有文件（攻击的主要文件），，，，主挖矿文件C:\Windows\system32\dllhostex.exe（或其他被注入的svchost的子历程）。。。。

另外特选择其中一个IP审查其所有会话，，，，并对其毗连端口举行统计，，，，除445端口外，，，，26931、45560端口毗连量占比也相当可观，，，，并且该端口不属于正常营业所需端口。。。。随即对该主机的外地文件与历程举行视察和剖析，，，，发明大宗恶意文件。。。。经太过析判断，，，，26931、45560两个端口划分为Webserver端口和矿池毗连端口。。。。其中Webserver提供响应组件下载，，，，挖矿历程为“TrustedHostServices.exe”。。。。

病毒的熏染流程为：受害主机某工程师站中的病毒程序包括两部分，，，，划分为攻击程序以及“挖矿”程序。。。。其中攻击程序会释放出“永恒之蓝”程序，，，，同时搭建web效劳器，，，，通过c7c7娱乐平台的TSOC-NBA可以发明受害主机工程师站向受害主机操作员站以及OPC效劳的445端口提倡攻击，，，，被熏染病毒的主机向受害主机的web效劳器26931端口提倡下载请求，，，，

请求内容为MsraReportDataCache32.tlb，，，，该程序会释放出攻击程序以及“挖矿”程序；；；；；；同时，，，，挖矿历程Trusted Host Services . exe举行挖矿，，，，与矿池xmr.pool. minergate . com: 45560 建设毗连，，，，程序运行时代会会见响应的domain以举行程序更新与矿池毗连，，，，在毗连失败后导致系统蓝屏。。。。

解决计划

1、应急处置惩罚：手工扫除

1) 装置c7c7娱乐平台专有“永恒之蓝”补丁或使用附件中的热补丁工具；；；；；；
2) 关闭445，，，，139，，，，135、3389等端口效劳；；；；；；
3) 删除形貌为Enable a commin infterace and object xxxx的效劳；；；；；；
4) 删除此效劳对应的动态链接库文件；；；；；；
5) 竣事svchost.exe历程（TaskIndexer.exe或dllhostex.exe历程的父历程）；；；；；；
6) 竣事TaskIndexer.exe或dllhostex.exe历程，，，，并删除其文件；；；；；；
7) 删除C:\Windows\NetworkDistribution目录下所有文件；；；；；；
8) 装置杀毒软件坚持防御开启，，，，实时升级病毒库。。。。

手动装置“永恒之蓝”误差补丁请会见以下页面：
https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx
http://www.catalog.update.microsoft.com/search.aspx?q=kb4012212

其中WinXP，，，，Windows Server 2003用户请会见：
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

部分工具：
c7c7娱乐平台的永恒之蓝热修复工具
c7c7娱乐平台PChunter恶意软件手工检测工具

2、工控系统专业查杀工具

工业控制系统在防病毒建设上普遍保存：装备性能普遍偏低、windows老版本操作系统居多、硬件或营业软件在实验防病毒后不得受任何影响、防病毒软件必需能够有用防御病毒等问题，，，，c7c7娱乐平台为知足工控行业防病毒需求，，，，研发出景云清静能力轻量化工控防护版。。。。接纳全程无驱动无hook、只扫不杀以及历程/网络白名单等切合工控情形的机制，，，，资助工控企业在防御种种新型病毒和蠕虫的攻击的同时，，，，能够兼顾工控装备的稳固运行，，，，包管用户营业。。。。

1) 集中管控：通过景云级联中控平台，，，，提供可伸缩的跨平台病毒防护，，，，集中管控各级种种泛终端，，，，知足企业级用户对防病毒软件统一治理的需求。。。。

2) 海量云查：可为用户按需定制云知识库，，，，智能自运营云端病毒特征，，，，使用户在拥有等同于公有云的病毒查杀能力的同时，，，，又通过私有化的方法彻底杜绝数据泄露。。。。

3) 智能鉴毒：将机械学习和大数据要领融入到防病毒系统中，，，，能够为大型用户实现自动的样本捕获、样天职类、样本特征提取、病毒库更新流程，，，，以便能够快速响应互联网层出不穷的盘算机病毒。。。。

4) 强效性能：在降低用户终端资源消耗同时，，，，连系人工智能和大数据手艺，，，，能使病毒查杀更迅速、更精准。。。。能够有用防御最盛行的病毒木马、黑客入侵和0day、APT等未知威胁，，，，更有利于实验，，，，更利便装置和维护。。。。

5) 智能自学习：通过即时取样、历史数据剖析、多规则合并等方法建设历程/网络白名单规则。。。。在设定标准装备之后，，，，景云支持自动调解规则内容以顺应营业系统升级造成的白名单列表扩容等需求，，，，资助用户快速建设切合自身工控情形的白名单。。。。

3、主机加固

接纳c7c7娱乐平台的“天珣内网清静危害治理与审计系统”，，，，功效如图：

这只是众多应急响应事情中的一件，，，，c7c7娱乐平台始终将客户的清静放在首位，，，，在面临突发的网络清静事务时，，，，坚持以实时、专业、认真、高效的态度解决客户的问题，，，，赢得了客户极大的信任。。。。

清静无小事
向斗争在一线的应急效劳职员致敬！

7*24小时效劳热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

c7c7娱乐平台

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后效劳

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系c7c7娱乐平台

关于c7c7娱乐平台

一场说走就走的“应急”行动——某石化公司遭挖矿病毒熏染后的48小时

关于c7c7娱乐平台

解决计划

清静研究

联系c7c7娱乐平台

7*24小时效劳热线