您当前的位置:首页 >> 文化
某电厂辅网重启事件分析
发布时间:2019-10-07
 
JZGKCHINA
工控技术分享平台

一、 重启事件现象说明

某电厂辅网控制系统进行硬件升级,服务器由window sever 2000升级成window sever 2012和五台window xp系统的操作员站升级成window 7系统,对这些升级电脑和服务器中的监控软件由ifix3.5升级成为ifix5.8,驱动和通讯协议均使用原先协议,根据多个类似的项目经验,以及和ifix软件厂家与戴尔电脑硬件厂家沟通后确定,这种升级不存在软件冲突情况而引起其它电脑重启或者蓝屏。


第一次重启现象说明:

将操作员站电脑(win7系统)配置完成后,首先接入新配置服务器进行测试,此时服务器已经通过交换机联入电厂辅网,正常运行,后将新操作员站1替换掉老操作员站1,第二天将新操作员站2进行替换,新操作员站2替换后半小时内辅控网系统内的所有window2000系统出现重启现象,每次重启时间间隔不超过十分钟。

紧急处理方法:

将新接入辅网的服务器和电脑全部退出辅网,并重装正版系统和软件,再将辅网中原存在的win7电脑重装正版系统,接入辅网后window2000正常运行。可能是原先win7电脑或本次增加的服务器或操作员站带入病毒,对防御能力薄弱的window2000进行攻击,导致操作系统重启。


第二次重启现象说明:

全部格式化和杀毒后的服务器和电脑接入辅网正常运行半个月后,进行了SIS系统改造升级,SIS系统进入辅网系统不久后,辅控网系统异常,1.2号电除尘系统操作电脑重启(window2000系统),每次重启时间间隔为5-10分钟;3.4号机电除尘系统(xp系统)上位机画面数据断断续续,时而恢复正常,时而通讯异常。


紧急处理方法:

考虑到第二次事故发生离第一次事故发生时间间隔为22天,且事故前SIS系统接入辅网,所以断定事故原因并非单一由新升级系统所造成。

综合两次事件情况,怀疑两次出现window2000系统重启现象均为病毒攻击引起。这种现象只在window2000系统的电脑出现原因如下:

(1)window2000系统已经在微软停止服务, 无任何系统补丁可补,本身该系统的已经运行10年以上,也没有经过任何的升级及对该系统的做一些防护措施(电脑上安装过期的瑞星杀毒软件无法进行安全防护且没有硬件网络安全设备的隔离),辅控网其他的系统大部分为XP或者WIN7系统本身防御性要高于window2000系统,系统防御病毒的补丁相对也齐全一些。两次出现的现象均发生在window2000系统,病毒就是利用系统抵御能力差,操作系统存在漏洞,在window2000系统开启运行,病毒文件开启服务并运行,由于病毒只会通过TCP:445端口感染其它主机,出现间断性攻击主机蓝屏或者死机重启。

(2)病毒通过开放的445端口对window2000系统进行攻击,理由为:其一,用netstat –a命令和arp –a命令查找445端口数据通讯情况,发现通过445端口进行数据传送的IP地址都是虚拟的,有异常虚拟IP,这是系统内存在高危端口,是病毒攻击操作系统的首选端口,并在精处理两台操作系统做了以下试验,把一台445端口开放,另一台关闭,其中开放445端口的间隔性重启,关闭445端口的操作系统运行正常。  


二、 处理办法

在电厂支持下,在工程师站旁边增加一台精处理Win2000系统和工程师操作站利用Wireshark进行交换机镜像数据抓包分析,通过数据包分析当有以下IP(为210.210.0.4—2号服务器、210.210.0.18—化学制水、210.210.0.22—老工程师站1、210.210.0.48—老POC站5、210.210.0.180—一期导电滤槽)的电脑通过445端口发送大量数据时精处理Win2000系统电脑就会出现重启,为了验证是否只有这5个IP的电脑会对精处理电脑导致重启现象,专门在精处理电脑上策略中对这5个IP电脑的445端口逐个开放和禁止,通过几个小时试验后,最终可以确定只有这个5个IP电脑当通过445这个端口传输大量数据时就会导致精处理电脑重启,出现这种现象的唯一可能就是病毒感染。

后面对导电滤槽电脑(IP为210.210.0.180)进行备份,安装专业的工控的杀毒软件进行查毒处理,查后发现病毒数达五十余种。将全部病毒压缩备份后查杀清除。同时开放精处理电脑接受导电滤槽的445端口数据,此时发现精处理2000系统的电脑没有出现重启现象,但是未杀毒的导电滤槽电脑出现了重启,关闭导电滤槽电脑445端口后恢复正常。

后面对病毒源文件的分析比对,得知源文件中的“wmassrv.dll”“EnrollCertXaml.dll”两个木马通过445端口进行攻击,该木马为“永恒之蓝”漏洞引起的。“wmassrv.dll”“EnrollCertXaml.dll”两个文件通过MS17-010(永恒之蓝)漏洞进行传播,定时和C&C进行连接命令和更新模块,若在没有MS17—010补丁系统上查杀该病毒,会对系统文件进行更改而引起系统死机或重启现象。在其它四台具备病毒攻击的电脑上用同样方法杀毒,也查杀到了“wmassrv.dll”“EnrollCertXaml.dll”两个木马文件,查杀完后再开放445端口电脑数据,此时win2000电脑没发生重启。

通过近一个星期对整个辅网近40台电脑进行杀毒,把所有查到的病毒文件跟相关技术人员进行沟通核实后,可以确定2000系统重启现象由永恒之蓝漏洞引起。


工业安全防范建议如下:

1、关闭445等危险端口,及时安装和升级正版补丁能够避免攻击。

2、安装工控网络专业杀毒软件,预防和查杀病毒(需更新最新病毒库)。

3、封闭所有工控局域网内电脑不使用的USB接口,防止病毒入侵。

4、工控网络内部数据传输需使用专备的移动硬盘或者U盘,该移动硬盘或者U盘不可与外界电脑连接使用。

5、专业网络维护和管理。


作者介绍:
蒋大成   湖南先步信息股份有限公司蒋大成  火电厂水煤灰控制改造一朵花,妙手回春的改造手法犹如华佗再世。


喜欢请打赏!