《电子技术应用》
您所在的位置:首页 > 通信与网络 > 业界动态 > 突发!!Incaseformat蠕虫病毒爆发 工业企业用户无需慌张

突发!!Incaseformat蠕虫病毒爆发 工业企业用户无需慌张

2021-01-14
来源: 威努特工控安全

  2021年1月13日,威努特技术服务部接到大量服务过的企业用户电话咨询,咨询内容主要是网络上爆发的Incaseformat蠕虫病毒是否会对企业工业控制系统有影响,已经安装了主机卫士的工程师站、上位机是否能够防御这类病毒。

  1

  病毒描述

  威努特攻防专家团队立即对这类病毒样本进行分析,发现该病毒属于蠕虫病毒,由于被删除文件分区根目录下均存在名为incaseformat.log的空文件,因此网络上才将此病毒命名为Incaseformat病毒。该蠕虫病毒主要通过U盘等方式进行传播,当其感染U盘后,U盘下的原文件夹将被隐藏,病毒会伪装成原文件夹的图标。

  2.png

  当用户插入受感染U盘并点击运行后该蠕虫病毒会自动复制到系统盘Windows目录下,并创建注册表自启动,而一旦用户重启主机,病毒会立即感染除C盘之外其他磁盘上的文件夹,并在指定时间段内删除系统中C盘之外磁盘上的所有数据。

  3.png

  值得注意的是,这并不是一个新病毒,至少是个2014年的老病毒,杀毒软件厂商均将此病毒命名为Worm.Win32.Autorun,通过名称可以判断该病毒是在Windows平台下通过移动介质传播的蠕虫病毒。

  4.png

  该样本作为一个老病毒,直到2021年1月13日才触发删除用户文件,主要原因是该病毒所使用的delphi库中的DateTimeToTimeStamp 函数中 IMSecsPerDay 变量的值错误,最终导致 DecodeDate 计算转换出的系统当前时间错误。不仅如此,该病毒设定的删除日期不止今天(1月13日),最近的下一次删除时间为1月23日。

  2

  解决方案

  经过威努特攻防专家组验证,由于该病毒只有在Windows目录下执行时会触发删除文件行为,而重启是病毒在Windows目录下启动主要途径,因此,已经安装主机卫士的产品可以拦截Incaseformat蠕虫病毒的执行,或通过强制访问控制策略阻止其删除行为,保障工业主机持续稳定运行。

  5.png

  图 1 本地执行

  6.png

  图 2 拦截日志

  由于病毒本身只能通过U盘等移动介质进行传播,并无相关网络传播特征,也可以利用主机卫士的移动介质管控功能对U盘的使用进行严格把控,防止因非法滥用导致的病毒引入。

  7.png

  图 3 外设控制

8.png  

  图 4 外设管控日志


  3

  病毒排查

  第一步:

  排查工业控制系统内Windows目录下是否存在图标为文件夹的tsay.exe和ttry.exe文件,若存在这两个文件,及时删除即可,删除前切勿对主机执行重启操作。

  第二步:

  排查工业控制系统Windows的任务管理器是否有tsay.exe或ttry.exe进程,如果有,则可手动关闭。

  第三步:

  排查工业控制系统Windows目录下是否有驻留的文件tsay.exe和ttry.exe及注册表相关启动项(RunOnce)。

  注:已经安装工控主机卫士的企业用户,建议核查相关策略是否正常开启。

  4

  安全建议

  工业控制系统大部分应用于国家关键信息基础设施领域,而工业控制系统内关键工程师站、上位机、数据库中所存储的数据更是对工业控制系统有着重要的价值,一旦被删除,将会导致生产停滞,甚至在各别工业场景中会导致生产安全事故,所以工业企业要尤为重视对于工业主机的安全防护。

  威努特工控主机卫士通过“四重锁定,七大核心功能”构建工业主机安全计算环境。

  9.png

  ◇ 应用锁定

  采用“白名单”防护机制,锁定工业主机上应用程序的运行,阻止任何白名单外的程序运行,避免恶意代码、非法程序的运行,最大限度保障工程师站、操作员站以及服务器等重要设备安全稳定运行。

  ◇ 系统锁定

  通过安全基线管理和强制访问控制功能,锁定工业主机运行环境和资源,确保工业主机上的设置符合安全基线策略要求,并按照设定的主客体制定读写访问控制策略进行访问。

  ◇ 网络锁定

  锁定工业主机的网络访问环境,只允许工业主机和特定的服务器之间进行通信,控制恶意代码的在网络内部的传播、扩散。

  ◇ 外设锁定

  锁定外接输入设备的使用,只有经过认证的安全可信的USB设备才可以在工业主机上运行,防止通过U盘等外接输入设备引入恶意程序导致感染病毒和泄露敏感数据。

  10.png

  

本站内容除特别声明的原创文章之外,转载内容只为传递更多信息,并不代表本网站赞同其观点。转载的所有的文章、图片、音/视频文件等资料的版权归版权所有权人所有。本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如涉及作品内容、版权和其它问题,请及时通过电子邮件或电话通知我们,以便迅速采取适当措施,避免给双方造成不必要的经济损失。联系电话:010-82306118;邮箱:aet@chinaaet.com。