新闻动态

News information

可绕过微软漏洞的恶意MSI文件感染超10万次,工控主机如何防御变种威胁?

<<返回

2023年08月24日 16:00

近期,某国外安全团队表示,在微软的SmartScreen中发现安全漏洞,允许攻击者分发Magniber 勒索软件。自2023年1月以来,这些MSI文件的下载次数超过100000次。


1.jpg

01

工作原理



攻击者使用无效但特制的 Authenticode 签名,签署并分发了MSI文件。这个格式错误的签名会导致 SmartScreen 返回错误,在访问包含网络标记(MotW)的不信任文件之后,该错误可以导致绕过向用户显示的安全警告对话框,这表明已从 Internet 下载了潜在的恶意文件。


2.jpg


02

防护建议



工控主机(也称为上位机、工控机、工作站等)是工业控制系统的重要组成部分。工控主机负责从控制器读取大量数据、控制指令的下发、生产工作流程及工艺管理、状态监控、运行数据采集、重要信息存储等工作,是整个工业控制系统的指挥中心。在工业生产中工控主机存储着大量企业的流程、工艺、运行记录等机密数据,这无疑成为黑客攻击眼中的香饽饽。


在工控主机使用黑名单机制的杀毒软件,其特征库更新具有滞后性,难以防御未知病毒,且工控主机使用程序较为固定,故而使用白名单机制进行防御更为合适。


3.png


六方云工业主机卫士软件(简称“工业卫士”)是基于“白名单”技术开发的主机防护产品,专门解决工业互联网中工控主机日益严重的信息安全问题,完全适应工业互联网环境的一款安全防护产品。能够对工业互联网中的工程师站、操作站、SCADA服务器、历史服务器、OPC服务器、接口机等工控主机进行全面的安全防护。


六方云工业卫士具有以下优势赋能工控主机防御变种威胁。


1、广泛的格式兼容

针对windows系统可编辑勾选特定的可执行文件、系统文件、脚本文件等类型,可针对文件类型进行文件防护或放行,支持20余种格式如EXE、COM、REG、DLL、OCX、BAT、VBS、MSI、PY等。另外也支持Linux、Unix和国产化操作系统。


如本次事件中利用SmartScreen中安全漏洞传播的恶意MSI文件,工业卫士白名单机制可阻止其运行,再结合端口管控,敏感行为管控(如创建系统启动项、添加用户账户、提权用户账户等行为),文件/目录进行完整性保护等综合防护手段,不依赖更新特征库实现变种威胁的防御。


2、多种白名单机制解决部署痛点

由于工业终端生产的特殊性,白环境可能面临着变化,如MES主机程序自动更新、工业控制软件使用中产生的随机脚本文件,直接部署白名单可能导致正常的工业软件和生产行为被拦截,若不能及时更新调整白名单,严重可影响生产。


六方云工业卫士软件在全国各类工业企业项目中,研发出多种白名单机制解决白名单部署痛点。除了生成的一般白名单外,还支持数字签名白名单、指纹特征白名单、MES系统白名单,并且内置主流工业软件的白名单,有效解决白名单部署痛点


3、帮助构建工业主机运维管理闭环

工业主机在工业现场通常部署分散,不便于运维管理部署的防护软控,管理人员除了需要协调安全系统之间的策略、配置之外,还要面对数量巨大、彼此割裂的安全日志和事件信息,这将使管理人员力不从心,难以构成管理闭环。


六方云工业卫士软件还具备多种功能帮助企业完善工业资产管理,配合统一监管平台系统,可实现对终端的综合管理,如白名单进行批量下发扫描、追加,日志集中审计管理,攻击态势综合分析,远程运维管理主机,组态信息管理等,形成全局性的资源协调体系,为系统的全局可控性提供有力保障。