多起攻击工业企业的勒索软件Ryuk分析及防御建议

时间： 2020年03月20日来源：安天CERT

1 引言

工业企业网络环境主要由工业控制网络和信息网络组成，企业信息网络连接互联网环境，因此会受到互联网环境中勒索软件的攻击，而企业信息网与工业控制网络直接或间接连接，勒索软件可能会通过企业信息网络或摆渡方式传播到工控网络中，可能导致工业控制系统无法运行。勒索软件会加密计算机磁盘中的文件，影响工业企业中信息系统和工业控制系统的正常运行，所以工业企业应当重视对勒索软件的防护。

近些年来，勒索软件攻击事件呈暴发态势，攻击手段也呈多样性，向大型企业及组织的攻击逐渐增多。2020年1月至今，工业企业的生产网络或办公网络遭受数十起勒索软件攻击，其中仅Ryuk勒索软件就感染了EVRAZ、EMCOR Group、EWA等多家工业企业，加密企业关键数据信息，导致企业停工、停产，造成重大的经济损失。

因此，安天工控安全组联合安天CERT针对Ryuk勒索软件进行深度分析。通过对Ryuk勒索软分析结果，希望引起工业企业对网络信息安全的重视。同时结合工业企业典型网络结构情况，建议工业企业应加强工业信息安全建设，强化端点安全防御，建立综合的防御体系。

2 Ryuk勒索软件案例与分析

Ryuk勒索软件最早于2018年8月被首次发现，其前身是Hermes勒索软件家族，它是由黑客团伙GRIM SPIDER幕后操作运营，GRIM SPIDER是一个网络犯罪集团，至今一直活跃。近期，数个大型工控企业包括钢铁、采矿、工业建筑等行业受到Ryuk勒索软件攻击，导致企业部分服务器瘫痪、系统下线等严重后果。

Ryuk的传播方式主要通过垃圾邮件活动和僵尸网络分发。安天近两年的监测分析中发现，Ryuk的传播和TrickBot僵尸网络有着密切的关系，TrickBot是一种恶意僵尸网络程序，一旦感染了系统，就会向攻击者创建一个反向shell，用于下载其他恶意代码。

该勒索软件典型传播方式为通过垃圾邮件传播Emotet银行木马，Emotet木马下载TrickBot僵尸网络，TrickBot僵尸网络开启反向shell，从而通过shell来投放Ryuk勒索软件。下图为典型的Ryuk传播流程图。

图 2-1 Ryuk典型传播方式流程图

2.1 Ryuk勒索软件感染的案例

2020年3月8日，北卡罗来纳州达勒姆市感染Ryuk勒索软件感染，被迫关闭其网络。为了防止攻击在整个网络中传播，达勒姆市“暂时禁止了达勒姆警察局、达勒姆郡治安官办公室及其通信中心对DCI网络的所有访问^[1]。

2020年3月4日，EVRAZ北美公司遭到了勒索病毒攻击。EVRAZ是全球最大的钢铁制造商和采矿公司之一，确认是由Ryuk勒索软件感染，勒索软件的感染已经影响并破坏了该公司在北美的分支机构，其中主要包括加拿大和美国各地的钢铁生产工厂。因此，Evraz发言人Patrick Waldron告诉Leader-Post， Regina发出了临时裁员通知^[2]。

2020年3月2日，法律服务和电子搜索巨头Epiq Global遭到Ryuk勒索软件攻击^[3]，导致其全球范围内系统下线。研究人员获悉，此次攻击源于TrickBot感染。2019年12月，Epiq网络上的一台计算机感染了TrickBot恶意软件，TrickBot为Ryuk勒索软件打开了反向shell，Ryuk于2020年2月29日早上在其网络上部署，并加密受感染计算机上的文件。

2020年2月15日，从事工程和工业建筑服务的EMCOR Group（纽约证券交易所：EME，《财富》500强公司）被属于Ryuk家族的勒索软件感染，EMCOR表示，并非所有系统都受到影响，只有“某些IT系统”受到影响，因此该公司迅速关闭以控制感染^[4]。

2020年2月7日，佛罗里达州沃卢西亚县的图书馆发生了网络攻击^[5]，摧毁了公共访问计算机，Ryuk勒索软件已从政府和大型企业中收取了数百万美元的赎金。沃卢西亚县官员表示，他们已将这起袭击事件提交执法部门处理，但没有透露哪个部门正在调查此事。勒索软件对20台服务器和大约600台计算机进行了加密，基本上将其锁定。该县已经恢复了大约50台电脑，这些电脑是图书馆工作人员用来处理业务的，比如图书进出登记，但公共接入终端仍将关闭约两周。

2020年1月29日，政府承包商（EWA）的内部系统上周受到Ryuk 勒索软件的感染^[6]。恶意软件已对该公司的Web服务器进行加密，从而影响了其子公司的多个网站。

上述几起案例只是勒索软件Ryuk家族攻击对象的冰山一角，近年来，工控系统越来越受到勒索软件Ryuk家族的青睐，其“低投资，高回报”是Ryuk家族青睐工业企业的主要原因。勒索软件已经成为网络安全的最大威胁之一，国内企业需要对其进行针对性防护，以防止被攻击后影响企业生产安全，减少经济损失。

2.2 Ryuk勒索软件分析

以下针对2020年2月份较为活跃的一个样本进行分析，该样本基本信息如下所示：

Ryuk样本标签：

病毒名称	Trojan[Ransom]/Win32.Ryuk
原始文件名	Ix356.exe
MD5	EA0351560415B60AA010A2E9FED8B65B
处理器架构	Intel 386 or later, and compatibles
文件大小	323.50 KB (331,264 字节)
文件格式	BinExecute/Microsoft.EXE[:X86]
时间戳	2020-02-03 17:16:45
数字签名	无
加壳类型	无
编译语言	Microsoft Visual C++
VT首次上传时间	2020-02-13 10:16:46
VT检测结果	59 / 72

该样本执行后，会释放衍生文件，文件为Ryuk勒索软件主体程序。

衍生文件样本标签：

病毒名称	Trojan[Ransom]/Win32.Ryuk
原始文件名	JRCcq.exe
MD5	A37257B8DB80779BE920330B12BD6B2C
处理器架构	Intel 386 or later, and compatibles
文件大小	113.00 KB (115,712 字节)
文件格式	BinExecute/Microsoft.EXE[:X86]
时间戳	2020-02-03 17:16:39
数字签名	无
加壳类型	无
编译语言	Microsoft Visual C++
VT首次上传时间	2020-02-13 13:49:10
VT检测结果	34 / 67

样本运行主要流程如下：

（1）释放衍生文件、注入进程

Ryuk勒索软件样本执行后释放衍生文件（JRCcoq.exe），该文件执行后首先检索系统中所有进程，对特定进程名进行判断，如果进程不是csrss.exe、explorer.exe、lsass.exe这三个进程，则注入相应的恶意代码到进程中。

图 2-2创建远程线程执行代码

（2）获取系统信息、生成密钥并对密钥进行加密

获取系统版本信息，根据不同的系统版本，写入密钥的文件路径也不同。

图 2-3不同路径下写入文件

获取系统信息后，根据不同的版本生成对应的密钥。

图 2-4 生成密钥

在密钥生成后，攻击者以防被轻松解密，对生成的密钥进行加密。

图 2-5加密生成的密钥

（3）排除特定目录并生成勒索信息文件

排除指定的四个系统目录（Windows、Mozilia、Chrome、boot）不加密，加密其余目录下的文件，并在目录下生成勒索信息文件。

图 2-6排除指定目录

（4）排除特定后缀名文件并进行加密

检索系统中的文件，排除指定后缀名的文件，文件后缀包括dll、ntldr、exe、ini、lnk、bootmgr、boot、NTDETECT，对其余后缀名文件进行加密。

图 2-7对比后缀名

（5）根据文件大小采取不同方式进行加密

通过对样本的分析，发现样本针对不同大小文件采取不同加密流程。通过GetFileSizeEx函数获得64位的文件大小FileSize，高32位给local1，低32位给local2。

图 2-8获取文件大小

如果Local1=0，local<=0x365c040字节，判断为A类文件，走A类文件加密流程。

如果Local1=0，local>0x365c040字节，判断为B类文件，走B类文件加密流程。

如果Local1>0，判断为C类文件，走C类文件加密流程。

具体流程如下图所示：

图 2-9加密详细流程

3 勒索软件对工业企业的威胁

近几年，工业互联网的快速发展为工业企业的信息化水平提高起到了非常重要的助推作用。同时也将更多的工业信息系统和工业控制系统连接到互联网，导致工业企业面临大量网络安全威胁。由于工业企业是一个集成信息技术和工业技术的复合综合体，而其中包括大量传统信息技术的和通用平台的工业信息系统，导致勒索软件的危害对工业企业同样具有非常大的威胁。因为工业企业建设初期信息安全建设不足，且人员和供应链管理中缺少相应的信息安全威胁考虑，所以这也是导致勒索软件频繁感染工业企业，造成严重破坏的主要原因。

3.1 工业企业网络结构简介

工业企业是一类复杂、多样的企业，主要行业包括石油石化、制造业、电力、交通等。工业企业安全稳定的生产运行，对国家民生、社会稳定有重要的影响，如发电企业发生重大故障无法运行时，将导致部分区域乃至更大范围的电力供应不足，从而影响相应的生活生产。因此工业企业的网络安全不仅关乎企业自身经济效益，也关乎一个国家的稳定。工业企业信息网络主要由传统信息网络和工业控制网络组成，由于工业企业信息化“低延时、高可靠”的特点，导致建设过程中缺少信息安全因素考虑。同时由于工艺复杂，生产条件严格，且生产设备多、自动化程度比较高，有大量的数据采集和化检验系统需求，不仅要进行业务层的系统建设，还要考虑底层与设备相关的控制和生产管理系统。由于工业企业行业的不同导致企业的控制系统会存在一些差异，但是相同行业的企业核心网络结构存在一定的相似性，因此结合制造业的典型网络结构来介绍工业企业的整体情况。

图 3-1典型制造业网络结构

典型制造业网络结构主要分为设备层、控制层、监视层、执行层和管理层五层结构。其中设备层、控制层、监视层和执行层与工业企业生产直接相关，而管理层主要为保障工业企业正常运行的办公系统。

位于最底层的设备层和控制层与生产设备结合紧密，支撑与设备相关的自动控制和优化，包括整个生产线的过程控制和单体设备基础自动化，是整个工业企业信息化的基础。

监视层用主要用于将采集到的现场信息置入实时数据库，进行先进控制与优化计算、集中显示、过程数据的动态趋势与历史数据查询、报表打印，并统一管理和保存，通过WEB或者客户端浏览的方式向上层部门发布。

执行层，进行生产作业的计划、执行与监控以及生产实时数据的采集和管理，强调信息的时效性和准确性。

管理层主要包括ERP系统、企业OA、邮件系统、电子商务等业务管理系统，在现代企业管理理论的指导下，通过信息系统把先进的管理理念和方法实体化下来，对企业的内、外部供应链进行系统、高效的整合和管理。

在以上五层模型中，逐层之间存在着相互依赖和数据传递关系，各层间存在大量的通用系统、通用软件及通用网络技术，因此传统的信息安全威胁手段同样威胁到工业企业生产安全。如通用系统漏洞、互联网威胁、供应链攻击等方式对工业企业网络安全运行进行破坏，导致系统宕机以至于企业停产，影响工业企业的正常生产，甚至影响一个国家的安全。

3.2 工业企业面临勒索软件的多种威胁来源

由于工业企业各系统的不断完善，信息化建设也在不断提速，每年对信息化的资金投入占销售收入比重呈上升趋势。在信息化快速发展的同时，工业企业对于网络安全的关注度也逐年提高。但相对于信息建设的投入，工业企业对于网络安全的投入相对较少，尤其针对工业控制网络安全的投入就更加有限。由于工业企业防护薄弱，而且入侵工业企业产生的影响巨大，针对工业企业的勒索软件也越来越多。如肆虐全球的WannaCry、攻击海德鲁铝业的LockerGaga、攻击EVRAZ北美公司的Ryuk等勒索软件的曝光，使工业企业意识到勒索软件对工业企业的巨大危害。因此工业企业需要防范来自互联网威胁，提升企业人员网络安全意识，加强供应链的管理，强化端点防御，建立综合防御体系。

3.2.1 来自互联网的威胁

攻击者可以通过钓鱼邮件、钓鱼网站、系统漏洞等方式欺骗企业员工运行恶意程序，同时还可以利用信息网络作为跳板，逐步渗透到控制网络中。通过对信息网络和控制网络一系列的渗透和攻击，加密企业关键数据，致使企业无法正常运行，停工、停产，严重的还能获取企业重要的生产资料、关键配方，甚至是随意更改控制仪表的开关状态，恶意修改控制量，造成重大的生产事故，影响企业安全，甚至影响人身生命安全。

3.2.2 人员意识淡薄

大多数企业缺少信息安全相关的管理制度，员工缺少信息安全培训，企业网络系统运营人员可能会携带自己的私人设备进入企业网络系统中，例如迷你WiFi、手机U盘等移动设备，当带有恶意程序的移动介质连接到办公主机、工程师站或操作员站时，恶意程序通过移动介质摆渡到主机内部，自动运行恶意程序对企业关键数据进行加密、窃取，甚至对控制设备进行恶意攻击或恶意指令下置。一方面造成恶意程序在企业各个网络层面自动传播和感染，致使业务系统和控制系统性能的下降，从而影响企业监测、统筹、决策能力。另一方面对特定控制系统或设备进行恶意更改其实际控制量，造成生产事故。

3.2.3 来自供应链的威胁

供应链安全事件逐步增多，一方面，针对供应链攻击比较隐秘，不容易被发现；另一方面，针对供应链攻击影响范围更广，更容易满足攻击者的窃密意图。工业企业中除了运营管理人员，供应链上游的软、硬件供应商也能将网络威胁带入企业中，攻击者很可能预先用恶意代码感染供应商设备，在企业网络中安装、更新设备时，再利用木马、蠕虫等病毒在企业网络中进行横向渗透，感染企业网络中存在漏洞和脆弱性等问题的系统设备。供应商掌握企业网络结构、设备型号、版本等敏感信息，如果这些敏感信息泄露，可能导致APT组织对企业进行定向攻击，从而达到更隐蔽、破坏性更大的攻击。

4 工业企业防御勒索的建议

勒索软件主要通过系统漏洞、钓鱼邮件、钓鱼网站及可移动设备等方式进行传播，其主要目的是加密受害者设备上的数据，向用户索要解密赎金。勒索软件的“低风险、高收益”及较低的技术门槛吸引了越来越多的攻击者加入到勒索阵营中。如FIN6组织^[7]利用钓鱼邮件向企业定点投放勒索软件（LockerGoga、Ryuk等），因此敌对国家、竞争对手等可能采用勒索软件的方式定向攻击企业，已达到特定目的。

工业企业网络系统在设计之初并未考虑接入到互联网中，但随着工业互联网的发展，越来越多的工业设备及系统暴露在互联网上，通过互联网实施攻击的可能性也越来越高。并且每年新发现的SCADA系统、DCS系统、PLC设备等工业控制系统及设备的漏洞越来越多，而这些都为工业企业网络安全带来了巨大的安全隐患。在工业企业中，无论信息系统还是工业控制系统都由第三方供应商负责运行维护，因此工业企业对其合作的第三方供应商的信息关系，在引入产品或设备过程中缺乏严格的审查机制，导致攻击者有机可乘。因为工业企业的系统及设备大量暴露在互联网中，同时其系统及设备采用通用软件、通用网络技术，所以勒索软件也同样会威胁到工业企业，从而造成企业停工、停产，造成大量经济损失，甚至影响国家社会的稳定。针对以上分析给出以下几点建议，帮助企业提升网络安全防护水平，提升企业人员安全意识，减少企业遭受勒索软件攻击的概率。

4.1 工业企业应保证区域划分

工业企业应该针对本企业每个系统访问范围进行必要分区划分，每个系统之间进行逻辑隔离。同样每个系统内部也需要做必要的分区，避免发生安全威胁事件时造成大面积系统瘫痪。办公系统具有多样性，同时也与互联网系统交互频繁。因此办公系统内部需要做到严格的分区与管控，避免办公系统的通用病毒感染工业控制系统，造成工业系统瘫痪。随着移动办公越来越普遍，企业员工的大量移动设备接入企业内网需要做到严格管控，避免安全威胁通过移动设备传入企业内网。同样应在企业内网不同区域之间建立网络监控机制，及时发现、处置不同区域之间网络安全事件，避免网络安全事件危害扩大。针对本次事件中集团型的大企业，在每个分公司之间连接部分做好相应管控措施，防止安全威胁事件从一个分公司传播到整个集团。集团企业之间进行互联时，应按照独立企业访问的原则建立互通访问权限，以最小权限访问最小资源的形式进行互联互通。

4.2 对重要系统、数据和配置进行重点防护

根据企业自身特点确定企业系统、数据和配置文件的重要性，针对不同重要性采取不同的备份策略，定期针对备份信息有效性进行确认。企业更应针对特别重要信息系统和工业控制系统采用热备份机制，保障系统的稳定性。工业企业的数据是企业生产情况统计、分析的关键信息，对企业的整体生产计划部署具有重要作用，针对重要生产数据采用加密、备份的机制，保证数据完整性。同样针对配置信息进行备份处理，并进行配置信息恢复测试。对重要系统、数据和配置的备份机制，是为在当有网络安全事件紧急情况发生时，能快速恢复相应的系统，保障企业正常运行。同时应加固这些系统的防护策略，避免这些系统被通用病毒或通用技术手段攻击而造成严重危害。根据企业特点加强员工安全风险意识，避免常见病毒通过邮件、U盘等方式传入内网，对重要系统造成重大破坏。

4.3 加强工业企业安全管理

工业企业中的设备来自不同供应商，因此在运行维护时，需供应商技术人员提供技术支持。企业与供应商应签订保密协议，明确保密内容、保密时限、违约责任等内容。供应商技术人员提供技术支持时，应对其使用工具如电脑、存储介质等，进行安全检测，确保其中不存在恶意程序，确保工业企业不遭受恶意程序入侵。同时通过建立完善的管理制度和组织结构加强企业管理，并做好相应的监督机制，保障制度有效的落地执行。既要定期对企业进行网络安全评估，不断提升企业网络安全防护水平，也要定期针对相关人员进行网络安全培训，提升全员的信息安全防范意识。

4.4 加强工业信息安全建设，强化端点安全防御

工业企业整体资产比传统企业规模更大，单体资产价值更高，导致越来越多的攻击者将目标转向了工业企业。工业企业遭受安全威胁时造成的经济损失、人身安全风险、政治影响更大，也是相关APT组织重点攻击的目标。工业企业主要由传统信息系统、生产管理系统和工业控制系统组成，而每一部分系统中都有大量的通用操作系统存在。即使是工业控制系统中，相应的SCADA系统、工程师站和操作员站都是以通用操作系统为承载平台。通用操作系统的安全威胁，直接影响到工业企业相应的系统正常运行，从而导致工业企业发生停工、停产等后果。工业控制系统的安全威胁会造成严重的生产事故，导致更大影响的安全事故。工业控制系统特有威胁由于技术难度和攻击成本较高，具有很大的差异性，一般会发生在相关APT攻击时。而通用操作系统威胁具有更大的通用性，技术难度和攻击成本更低，具有更大的影响范围。由于工业企业的控制系统是运行在通用操作系统之上，所以除了要关注工业控制系统特有威胁，更要关注通用操作系统的安全威胁，加强工业信息安全建设，强化端点安全防御及时处置终端威胁。

5 总结

综合分析来看，大多数勒索软件通过通用的网络技术感染企业，并加密了相关文件从而破坏相应的网络及系统，导致企业相关系统无法正常运行。而工业企业系统主要是由信息系统和工业控制系统组成，信息系统和工业控制系统中信息系统会采用通用的技术及运行平台，所以勒索软件同样对工业企业有巨大危害。因此，工业企业的信息安全防护需要建立适配工业企业场景的防御体系。同时结合工业企业典型网络结构情况，建议工业企业应加强工业信息安全建设，强化端点安全防御，及时联动处置相关威胁事件，避免发生大规模网络安全事件；同时加强管理体系的建设，增强人员和供应链的管理，提高人员的网络安全意识；针对企业进行系统和数据进行分类、分级，根据不同分类和等级加强分类、分级管理体系建设；即使工业企业已经建立了相应的防御能力，但仍然需要根据企业情况建立重大网络事件应急、响应预案。随着网络威胁不断变化，工业企业需通过不断完善防御体系，进而抵御来自多方面的威胁，从而保障企业免遭信息安全威胁的影响，保证企业的安全运行。