det365和万博

铝巨头 Norsk Hydro 遭勒LockerGoga索病毒攻击,全球系统大崩溃

作者:   深圳市网安计算机安全检测技术有限公司 2019/03/22 11:51:26 250次阅读 国际

?

一、 概述


8ed9bc537467e52494d3750e61f22515.png

? ? ? ?公司Norsk Hydro于2019年3月19日星期二遭到勒索软件袭击。据挪威国家安全局(NSM)称,攻击者使用了LockerGoga,这是一种相对较新的勒索软件,于1月首次发现。

? ? ? ?这起始于美国的网络攻击最初是由该公司的IT专家在周一晚间发现的,目前该公司正在努力并调查整起事件的全部经过。

? ? ? ?在长达18分钟的新闻发布会上,海德鲁的CFO Eivind Kallevik透露,海德鲁此次是受到一种相对较新的勒索软件(被称为LockerGoga)的攻击,该恶意软件会把计算机上的所有文件进行加密,然后勒索赎金,就像其他勒索软件一样。目前情况非常严峻。公司的整个网络都陷于瘫痪中,影响到所有生产活动和公司日常运作。

? ? ? ?在新闻发布会上,挪威国家安全局(NNSA)也表示,正在帮助海德鲁解决这一事件,同时也正在寻求其他部门和国际机构的合作。

二、 简单分析勒索恶意软件LockerGoga


? ? ? ?目前尚未知该勒索软件通过什么途径进行传播,运行后它会使用特定的文件扩展名加密文件,同时会加密特定文件夹中的文件。

? ? ? ?勒索软件的名称基于用于将源代码编译为可执行文件的路径 : X:\work\Projects\LockerGoga\cl-src-last\cryptopp\src\rijndael_simd.cpp

? ? ? ?当安全研究人员测试勒索软件时,我们发现它非常慢,这是由于每次加密文件时它都衍生另外一个进程。执行时勒索软件通常会针对DOC,DOT,WBK,DOCX,DOTX,DOCB,XLM,XLSX,XLTX,XLSB,XLW,PPT,POT,PPS,PPTX,POTX,PPSX,SLDX和PDF文件。但是,如果使用'-w'命令行参数启动勒索软件,它将以所有文件类型为目标。支持的其他开关是'-k'和'-m',用于base 64编码和提供电子邮件地址以显示在勒索票据中。勒索软件样本使用-w参数自行启动,并为其加密的每个文件生成一个新进程。这导致加密过程非常缓慢。

? ? ? ?加密文件时,勒索软件会将.locked扩展名附加到加密文件的文件名上。这意味着名为test.jpg的文件将被加密,然后重命名为test.jpg.locked,如下图所示。

a4933aa34ce4b48547ad581a350733a1.png

? ? ? ?成功感染后,LockerGoga勒索软件将赎金票据作为名为“README_LOCKED.txt”的文本文件写入受害者的桌面。


19628fe86ac567c6a0b11ff9973c4574.png
? ? ? ?

? ? ? ?正如所看到的,赎金票据表明恶意软件针对运营商公司,并提供免费解锁一些文件以证明他们拥有解密密钥。安全研究员在1月初也看到了LockerGoga的赎金记录,尽管它包含了不同的ProtonMail和O2地址。


bc5f3f3ce187f4cf10681cc77ce9e412.png
? ? ??

? ? ? ? LockerGoga恶意软件使用Sectigo颁发给ALISA LTD的证书签署的,以逃避杀毒软件查杀(目前证书已经撤销)。


d6058e60f77845c26419566cd9b64631.png
? ? ? ??

? ? ? ?从一月份首次被发现的LockerGoga到3月份的所有变种Hash均在下面的链接中 ?https://gist.github.com/Blevene/7b0221bd1d79bec57fb555fe3613e102#file-lockergoga-csv


b6ecc86512ffa1600e937a20018b56b1.png
? ? ? ? ?

? ? ? ? 从攻击时间来看,大概率是这几个样本进行了攻击。


bdf36127817413f625d2625d3133760af724d6ad2410bea7297ddc116abc268f
88d149f3e47dc337695d76da52b25660e3a454768af0d7e59c913995af496a0f
c97d9bbc80b573bdeeda3812f4d00e5183493dd0d5805e2508728f65977dda15
7bcd69b3085126f7e97406889f78ab74e87230c11812b79406d723a80c08dd26
ba15c27f26265f4b063b65654e9d7c248d0d651919fafb68cb4765d1e057f93f
eda26a1cd80aac1c42cdbba9af813d9c4bc81f6052080bc33435d1e076e75aa0
? ? ? ?

? ? ? ?需要yara进行勒索软件检测的可以参考下面链接 https://pastebin.com/2wZWV4EU??,YARA是一款旨在帮助恶意软件研究人员识别和分类恶意软件样本的开源工具。

三、 安全建议


? ? ? 近年来不少工业互联网公司出现了网络安全问题,工业可以说是一个国家的重中之重,一但发生网络安全问题,后果将不堪设想,像这次Norsk Hydro勒索事件,导致好几间工厂停业,还有发生不久的委内瑞拉电厂停电,更是导致委内瑞拉全国大部分地区停电,这些网络安全事件都给不少工业互联网公司敲响了警钟,以下针对工业系统给出几点安全建议。

(一)安全软件选择与管理


? ? ? ?1、在工业主机上采用经过离线环境中充分验证测试的防病毒软件或应用程序白名单软件,只允许经过工业企业自身授权和安全评估的软件运行。

? ? ? ?2、建立防病毒和恶意软件入侵管理机制,对工业控制系统及临时接入的设备采取病毒查杀等安全预防措施。

(二)配置和补丁管理


? ? ? 1、做好工业控制网络、工业主机和工业控制设备的安全配置,建立工业控制系统配置清单,定期进行配置审计。

? ? ? 2、对重大配置变更制定变更计划并进行影响分析,配置变更实施前进行严格安全测试。

? ? ? 3、密切关注重大工控安全漏洞及其补丁发布,及时采取补丁升级措施。在补丁安装前,需对补丁进行严格的安全评估和测试验证。

(三) 边界安全防护


? ? ? ?1、分离工业控制系统的开发、测试和生产环境。

? ? ? ?2、通过工业控制网络边界防护设备对工业控制网络与企业网或互联网之间的边界进行安全防护,禁止没有防护的工业控制网络与互联网连接。

? ? ? ?3、通过工业防火墙、网闸等防护设备对工业控制网络安全区域之间进行逻辑隔离安全防护。

(四) 物理和环境安全防护


? ? ? 1、对重要工程师站、数据库、服务器等核心工业控制软硬件所在区域采取访问控制、视频监控、专人值守等物理安全防护措施。

? ? ? 2、拆除或封闭工业主机上不必要的USB、光驱、无线等接口。若确需使用,通过主机外设安全管理技术手段实施严格访问控制。

(五)身份认证


? ? ? 1、在工业主机登录、应用服务资源访问、工业云平台访问等过程中使用身份认证管理。对于关键设备、系统和平台的访问采用多因素认证。

? ? ? 2、合理分类设置账户权限,以最小特权原则分配账户权限。

? ? ? 3、强化工业控制设备、SCADA软件、工业通信设备等的登录账户及密码,避免使用默认口令或弱口令,定期更新口令。

? ? ? 4、加强对身份认证证书信息保护力度,禁止在不同系统和网络环境下共享。


(六)远程访问安全


? ? ? 1、原则上严格禁止工业控制系统面向互联网开通HTTP、FTP、Telnet等高风险通用网络服务。

? ? ? 2、确需远程访问的,采用数据单向访问控制等策略进行安全加固,对访问时限进行控制,并采用加标锁定策略。

? ? ? 3、确需远程维护的,采用虚拟专用网络(VPN)等远程接入方式进行。

? ? ? 4、保留工业控制系统的相关访问日志,并对操作过程进行安全审计。

(七)安全监测和应急预案演练


? ? ? ?1、在工业控制网络部署网络安全监测设备,及时发现、报告并处理网络攻击或异常行为。

? ? ? ?2、在重要工业控制设备前端部署具备工业协议深度包检测功能的防护设备,限制违法操作。


? ? ? ?3、制定工控安全事件应急响应预案,当遭受安全威胁导致工业控制系统出现异常或故障时,应立即采取紧急防护措施,防止事态扩大,并逐级报送直至属地省级工业和信息化主管部门,同时注意保护现场,以便进行调查取证。

? ? ? ?4、定期对工业控制系统的应急响应预案进行演练,必要时对应急响应预案进行修订。

(八)资产安全


? ? ? ? 1、建设工业控制系统资产清单,明确资产责任人,以及资产使用及处置规则。

? ? ? ? 2、对关键主机设备、网络设备、控制组件等进行冗余配置。

(九)数据安全


? ? ? ?1、对静态存储和动态传输过程中的重要工业数据进行保护,根据风险评估结果对数据信息进行分级分类管理。

? ? ? ?2、定期备份关键业务数据。


? ? ? ?3、对测试数据进行保护。

(十)供应链管理


? ? ? ?1、在选择工业控制系统规划、设计、建设、运维或评估等服务商时,优先考虑具备工控安全防护经验的企事业单位,以合同等方式明确服务商应承担的信息安全责任和义务。

? ? ? ?2、以保密协议的方式要求服务商做好保密工作,防范敏感信息外泄。

(十一)落实责任


? ? ? ?通过建立工控安全管理机制、成立信息安全协调小组等方式,明确工控安全管理责任人,落实工控安全责任制,部署工控安全防护措施。

四、参考链接


参考链接:
?https://thehackernews.com/2019/03/norsk-hydro-ransomware-attack.html
参考链接:
?https://www.bleepingcomputer.com/news/security/new-lockergoga-ransomware-allegedly-used-in-altran-attack/
参考链接:
?https://www.4hou.com/typ/16001.html
参考链接:
?https://arstechnica.com/information-technology/2019/03/severe-ransomware-attack-cripples-big-aluminum-producer/
参考链接:
?https://mp.weixin.qq.com/s/6tv5MNPbRy7NbZVoQSO6aA


指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室