台积电中毒“想哭”的事件分析与防护方案

百家 作者:绿盟科技 2018-08-09 09:51:00

 

台湾半导体制造公司(台积电)——全球最大的半导体和处理器制造商,为许多业界最大的科技公司生产处理器和其他芯片,包括Apple、AMD、NVDIA、Qualcomm等。

○ 北京时间2018年8月3日晚,台积电由于技术人员软件安装过程的误操作,导致内部网络感染病毒引起部分工厂生产中断。


○ 北京时间2018年8月4日,绿盟科技安全团队开始关注此事件。


○ 北京时间2018年8月5日14:00,80%受影响的系统恢复运营。


○ 北京时间2018年8月5日晚,台积电发布声明,简要描述了受影响的状况,并预计北京时间2018年8月6日全面恢复生产运营。


北京时间2018年8月6日下午,生产线已经全部恢复生产。


根据台积电的消息,已经确定所感染的病毒为WannaCryptor(又名WannaCry)的变种类型。台积电官方发布了事件影响:1.  没有信息泄露;2.  出货时间会有延迟;3.  预计损失为2.56亿美元。


WannaCry的攻击原理

主要通过扫描计算机的445端口(与SMB服务相关),利用NSA泄露的工具(原理主要是利用了微软SMB漏洞MS17-010)进行负载攻击,注入勒索软件并执行。

检测与防护处置方案

检测与防护

1)由于该攻击利用了微软官方的SMB漏洞(MS17-010),用户可以先启动Windows防火墙并关闭系统445端口来组织外部的连接,同时检查系统中是否已经安装了微软发布的相关补丁。不同版本的相应补丁编号如下表:

如果系统中找不到上述对应的补丁,用户需及时下载安装相应版本进行防护,请参考文末附录A中MS17-010补丁对应下载列表。

 

2)使用绿盟科技网络入侵防护系统(IPS)进行流量特征分析并进行告警。

http://update.nsfocus.com/update/listIps

3)使用绿盟科技远程安全评估系统(RSAS)进行漏洞扫描,找出受影响的主机设备。

http://update.nsfocus.com/aurora/index.html


处置方案

针对也已经感染的主机,首先应进行断网隔离,根据已加密文件的重要性来决定是否格式化磁盘重装系统,还是进行清除等操作。


病毒清除可以参考以下步骤:

1、关闭进程:tasksche.exe, mssecsvc.exe,以及下图中可执行文件涉及的进程


2、删除相关服务

a)   删除服务mssecsvc2.0,服务路径为:

C:/WINDOWS/tasksche.exe

或者

C:/WINDOWS/mssecsvc.bin -m security


b)   删除服务hnjrymny834(该服务可能使用随即命名),查找响应路径,删除路径下可执行文件


c)  清除注册表项,删除以下键值HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunhnjrymny834 "C:ProgramDatahnjrymny834tasksche.exe"

或者

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunhnjrymny834


d)   删除病毒文件,释放的目录位于:

C:ProgramDatahnjrymny834

C:UsersAll Usershnjrymny834

同时删除病毒的可执行文件:

C:WINDOWStasksche.exe

C:ProgramDatahnjrymny834tasksche.exe

C:UsersAll Usershnjrymny834tasksche.exe


更详细的处置方案,可以参考绿盟科技发布的“WannaCry”勒索事件处置手册:http://blog.nsfocus.net/wannacry-blackmail-event-disposal-handbook/

 

工业控制系统安全方案建设建议

• 从管理层面加强安全管理,培养人员的安全意识。

从技术层面增加数据安全处理流程,保证网络与数据的可信。

从网络层面划分网络边界,保证IT的高可信任以及OT的高可用性。

建立应急响应体系,及时发现与解决问题,降低因安全事件受到的影响。

建立自有的安全运营团队或者合作的安全运营团队,处理企业网络与信息安全。

从体系方案上需要建立纵向加密与横向隔离相辅相承的全工业控制网络安全解决方案。

关键数据进行周期性备份,降低数据损坏带来的损失。



声明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。


由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。


绿盟科技拥有对此安全公告的修改和解释权。


如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

关于绿盟科技


北京神州绿盟信息安全科技股份有限公司(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。


基于多年的安全攻防研究,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。


北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市交易,股票简称:绿盟科技,股票代码:300369


点击“阅读原文”查看完整内容




请点击屏幕右上方“…”

关注绿盟科技公众号
NSFOCUS-weixin

↑↑↑长按二维码,下载绿盟云APP


关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接