登录注册
请使用微信扫一扫
关注公众号完成登录
我要投稿
DCS和PLC系统部分工控机出现重启或蓝屏现象事件分析及处理
2017年8月15日,某厂发生了生产大区、管理大区等信息安全事件,相继DCS和PLC系统部分工控机出现重启或蓝屏现象。经对全厂控制系统的服务器、工程师站、历史站、接口机、操作员站进行扫描,发现病毒文件tasksche.exe、mssecsvc.exe、qeriuwjhrf存在于电脑C:\Windows目录下,且病毒程序执行时间和8月15日晚电脑蓝屏死机时间吻合。分析认为本次事件由于病毒感染引起:
(1)病毒行为分析
目前该病毒分别在电厂安全I 区、安全II 区、管理大区发现均有主机感染“变种勒索病毒”,文件信息如下:
病毒文件:mssecsvc.exe 大小: 3723264 字节
MD5:0C694193CEAC8BFB016491FFB534EB7C
该病毒变种样本据确认最早在互联网发现于2017年6月2日,感染后会释放文件:c:\windows\mssecsvc.exe、c:\windows\qeriuwjhrf、c:\windows\tasksche.exe,开启服务并运行,但由于变种版本只会通过TCP:445端口感染其它主机,出现间断性攻击主机蓝屏死机重启,影响生产控制系统运行,释放的加密程序文件tasksche.exe,经分析为文件包压缩异常,无法运行加密程序,变成真正的“勒索病毒”,所以没有导致更严重的生产系统数据加密的问题发生(包括生产资料、逻辑文件、SIS数据库加强等)。
(2)病毒体分析
分别对mssecsvc.exe、tasksche.exe和qeriuwjhrf病毒文件进行反汇编分析与测试。得到以下结论:
mssecsvc.exe创建服务mssecsvc2.0,释放病毒文件tasksche.exe和qeriuwjhrf文件并启动exe文件,mssecsvc2.0服务函数中执行感染功能,执行完毕后等待24小时退出,启动mssecsvc.exe,再循环向局域网的随机ip发送SMB漏洞利用代码。
通过对其中的发送的SMB包进行分析,此次病毒发行者正是利用了2016年盗用美国国家安全局(NSA)自主设计的Windows系统黑客工具Eternalblue。
经过对多方求证和数据重组分析得出,明确该病毒使用ms17-010漏洞进行了传播,一旦某台Windows系统主机中毒,相邻的存在漏洞的网络主机都会被其主动攻击,整个网络都可能被感染该蠕虫病毒,受害感染主机数量最终将呈几何级的增长。其完整攻击流程如下该病毒攻击流程如下:
在反汇编过程中,发现其主传播文件mssecsvc.exe其中释放出的tasksche.exe为破损文件,无法正常执行病毒程序,故此次病毒无法完成最关键动作,无法加密文件以达到勒索的目的。因此在本次安全事故中,并未造成实质性、灾害性的破坏的安全事件。
(3)事件调查
影响范围:涉及生产大区、管理大区。
生产大区情况:攻击除#1机组DCS、NCS、电量之外的I、II区几乎所有的特定版本的Windows主机,包括DCS、辅控、各接口机、SIS,由于各区域通过接口机感染,导致各接口机隔离生产系统相互交叉感染,导致病毒全面大爆发,现场确认第一次主机攻击2017年8月15日21:20左右进行。
管理大区情况:目前在办公区域员工电脑发现1台主机感染“勒索病毒变种”,感染时间在2017年8月15日 23:11,与病毒样本为生产区同一版本,该主机未打补丁及病毒库,发现多个木马病毒感染的情况;另外1台为输煤辅控监控主机为2017年8月17日 14:57,同样是未打补丁及未安装病毒软件。
由于该“勒索病毒变种”感染自身行为特点、生产大区与管理大区存在感染同一病毒的情况,分析原因如下:
a)直接攻击原因分析2种:通过移动存储介质感染和通过网络感染(这种可能性比较高),后者可能又分为2种情况:
感染病毒的主机与生产大区主机存在(临时)网络交叉,这种情况可能性比较低(只有已配置特定双网卡情况下才会发生,直连网络不可达,现场排查唯一的双网卡是值长站办公主机,但是与调度三区非同时连接)。目前已排查重点区域:值长站办公主机、NCS相关主机,包括录波,也有感染非勒索病毒)、辅控办公主机(输煤监控有1台感染勒索病毒);
感染病毒的电厂内部、工控厂家运维笔记本,及生产区电脑在管理区维护后接入生产大区网络,这种情况可能性比较高。
b)可能性高攻击路径原因分析2种情况:外部人员运维笔记本同时/非同时接入生产大区与管理大区网络并感染生产大区与管理大区主机,或内部人员运维笔记本及近期维护工控系统主机。接入过管理大区办公网的运维笔记本又接入生产大区,或接入过管理大区办公网的维护工控系统主机又接入生产大区。
注:由于外网IPS许可过期且无日志记录,内网无入侵检测设备,无法排除最早感染源。
(4)应急处理方式
a)切断一切网络连接;
b)停止系统服务里的传播服务mssecsvc2.0,及时删除C:\Windows\mssecsvc.exe、C:\Windows\tasksche.exe和C:\Windows\qeriuwjhrf病毒源文件;
以上动作在现场应急处理时采用自制程序手动完成;
c)根据不同系统版本分别安装ms17-010安全补丁程序。
d)有效性测试
按该方法对受感染的计算机进行病毒查扫之后,通过试验与测试发现,使用抓包程序抓包,并未发现有异常的网络数据请求和流量产生,此现可以证明该方法有效可行。
(5)安全建议:
a)区域防护:各安全I区的系统应该进行区域之间的加强访问控制,应实现DCS机组之间、辅控等各区域之间逻辑隔离,防火墙应该支持端口级(目前I/II防火墙需要升级,不支持自定义端口),实施后可以限制在区域范围内。
b)网络行为审计:部署管理大区及生产大区各部署入侵检测系统(目前包括管理大区核心交换未部署IDS;互联网边界有部署IPS但已过期),实施后快速定位网络攻击爆发的源头。
c)边界安全提升:加强管理区主机补丁升级、防病毒统一管理(部署终端安全软件);生产区边界非操作员站(如接口机)开启本地防火墙策略、补丁等即可以防护本次攻击,也可以考虑安全防护软件,实施后,管理区可以避免感染、快速定位主机爆发的源头;生产区主机边界如接口机有一定防护能力;
d)移动运维管控:加强内部及外部人员的笔记本技术安全管控,采用网络隔离设备防止网络攻击或专用工控运维笔记本接入。
e)主机安全提升:
加强移动介质的管理,通过设置BIOS、注册表参数禁用U盘或者采用安防系统隔离U盘,控制系统程序、数据备份采用光盘形式。
控制系统工控机禁止使用USB口或者拆除不必要的USB口,防止移动设备等通过USB口接入网络内。
检查各控制系统正常运行时电脑需开启的服务和端口,关闭不必要的服务和端口。
定期对控制系统主机进行补丁升级等。
特别声明:北极星转载其他网站内容,出于传递更多信息而非盈利之目的,同时并不代表赞成其观点或证实其描述,内容仅供参考。版权归原作者所有,若有侵权,请联系我们删除。
凡来源注明北极星*网的内容为北极星原创,转载需获授权。
4月4日,小湾电厂5号泄洪中孔控制系统改造检查调试及充压水封功能调试完成,标志着小湾电厂泄洪中孔控制系统国产化改造完成。此次国产化改造精简了闸门控制系统结构并优化了系统控制逻辑,结合信息化技术增设闸门反馈及运行定量分析等功能,优化了充压水封控制结构,大幅提升了水封系统稳压及安全保护
3月30日,气电集团自主研发的燃气发电机组新型调峰调频控制系统正式上线,并在阜宁电厂成功应用。传统的燃气发电机组协调控制系统(机组AGC)存在调节精度差、一次调频不合格、辅助调频能力偏低等不足。同时,燃气蒸汽联合循环发电机组控制系统对汽温、锅炉水位等控制要求存在响应调峰调频需求不及时的
1.风电SCADA系统概述风力发电作为一种清洁、可持续的能源形式,在世界各地得到了广泛的应用,一般一个风电场由几十台到几百台风电机组及其配套系统构成,要方便地管理这些风电机组,就需要使用到SCADA系统。在风电场的运行中,SCADA(SupervisoryControlAndDataAcquisition,监控与数据采集)系统扮演
北极星太阳能光伏网获悉,3月1日,国家知识产权局公布一项名为“光伏电站直流侧综合控制系统”的发明专利申请,申请公布号为CN117639261A,申请人为天合光能股份有限公司,申请日期为2023年11月30日。专利摘要显示,本发明提供了一种光伏电站直流侧综合控制系统,包括跟踪支架控制器,用于控制跟踪支架
北极星风力发电网讯,2月1日,禾望电气发布关于公司完成工商变更登记的公告。现经营范围为:电气产品及其软件产品的技术开发、销售、技术维护及相关项目咨询;电气电子产品的销售;经营进出口业务;电控与工控传动智能设备、风电变流器、风电变桨系统、风电整机控制系统、无功补偿装置、光伏逆变控制系
北极星电力软件网获悉,1月30日,工业和信息化部印发工业控制系统网络安全防护指南,在安全管理中,包括资产管理、配置管理、供应链安全、宣传教育;在技术防护中包括主机与终端安全、架构与边界安全、上云安全、应用安全、系统数据安全。原文如下:工业和信息化部关于印发工业控制系统网络安全防护指
近日,由浙江浩普承建的海宁马桥大都市热电有限公司4#炉脱硝智慧控制项目顺利通过验收,脱硝智慧控制系统成功投入运行并取得良好应用效果。截至目前,浩普脱硝智慧控制系统已在海宁马桥大都市热电2台机组投入运行,助力企业生产在稳定安全运行、达标排放的同时实现精准控制、减污降碳,实现智能化升级
北极星输配电网获悉,2023年,河南省出台政策明确分布式光伏公平参与运行调节,在全国率先建成省域分布式源网荷储协同控制系统,实现分布式光伏线上群调群控,2023年累计调控39天,有效保障了电网安全稳定运行。据了解,截至2023年年底,河南省可再生能源发电装机突破6700万千瓦,煤电装机占比降至50%
近日,深圳供电局建成投运国内首个主网自愈控制系统,为城市电网主网故障快速处置与风险防控提供了解决方案,将为城市电网安全运行提供“第四道防线”,将显著提升电网韧性与抗击打能力、有效支撑电网风险防控。据了解,主网自愈系统基于调度系统平台建立自愈分析计算通用模型,实时采集电网运行信息,
2023年,浙江浩普项目验收喜讯频传,浙江浩普智慧环保岛管控系统成功在多家电厂上线投运,有效地推动传统电力企业向具有安全、高效、节能、环保的智慧电厂转型升级。12月,杭州富丽达热电有限公司7#炉脱硝智慧控制系统顺利投入使用;11月,浙江天马热电有限公司6#、7#、8#锅炉成功投入脱硝智慧控制系统
近日,由浙江浩普承建的杭州富丽达热电有限公司烟气脱硝智慧控制系统项目成功通过验收,7#炉脱硝智慧控制系统顺利投入使用,有效帮助企业精准控制污染物排放,减污降碳,实现智慧运行。杭州富丽达热电有限公司(简称“富丽达热电”)始建于2001年,是本地区装机容量大、技术先进的区域性热电联产、集中
近日,经14天紧张施工,宁德发电公司完成输煤系统DCS系统改造。目前,输煤系统上煤段设备运行、监视、控制已接入DCS系统,实现安全平稳运行。经过20年运行,该公司输煤系统原程控方式已不能满足数字化、智能化运行要求,安全性能也得不到保障。自去年列入技改项目以来,该公司成立专项攻关组,精心研究
3月27日,“玲龙一号”安全级DCS(“龙鳞”平台)设备顺利通过出厂验收,至此,“玲龙一号”DCS全部机柜通过出厂验收,标志着中核集团自主化DCS“龙鳞”+“龙鳍”平台在“玲龙一号”小堆示范工程实现供货。海南核电、中核工程、中核控制共34人参与本次安全级DCS出厂验收活动,验收团队由采购、设计、质
3月10日上午9点28分,京宜热电2号机组完成DCS受电,标志着2号机组热控系统调试已具备全面启动条件,为后续其他节点目标实现奠定了坚实的基础。DCS控制系统是电厂过程控制的“大脑”和“中枢神经”,公司DCS系统为全国产化产品,为保证DCS系统在计划工期时间内成功受电,公司会同参建各方科学策划、通力
新春伊始,中核集团自主研发的“龙”系列产品实现强强联合!3月1日,全球首个陆上商用模块化小堆玲龙一号示范工程非安全级DCS龙鳍平台设备顺利通过出厂验收。这是龙鳍平台继华龙一号海南昌江核电3号机组首台套大规模应用后,在玲龙一号全球首堆示范工程的首台套应用,为后续“龙鳍+龙鳞”平台多样化堆
2月26日,在惠州核电、核鹏监理、中核二三公司的共同见证下,太平岭核电项目一期2号机组首批2台非安全级DCS(数字化控制系统)盘柜顺利引入电子设备间。核电DCS(DigitalControlSystem),一种基于计算机网络的控制系统,它相当于人类的大脑和神经,其包含安全级和非安全级两个部分。DCS可以控制和监测
近日,华能山东分公司黄台电厂10号机组DCS控制系统升级改造项目中标候选人公示,详情如下:华能山东分公司黄台电厂10号机组DCS控制系统升级改造项目中标候选人公示(招标编号:HNZB2024-01-2-057-01)一、评标情况标段(包)[HNZB2024-01-2-057-01]华能山东分公司黄台电厂10号机组DCS控制系统升级改造
为提高应对突发性DCS失电的处置能力,2月18日,国能(泉州)热电有限公司开展DCS系统失电事故应急桌面演练。为保证演练的真实性,该公司演练班组提前组织学习了相关事故案例,根据机组设备实际运行情况,制定了详细的演练方案。本次演练过程模拟1号机组DCS系统失电,造成1号机所有操作员站电脑黑屏,无
1月14日,中国能建天津电建承建的天津国电盘山创新升级及延寿改造项目1号机组DCS受电一次成功,系统运行稳定,受电各项技术指标均符合要求。该项目位于天津市蓟州区别山镇,项目为国内最大的整体创新升级及延寿改造,实现参数跨代升级,入选国家示范项目,为国内老旧煤电机组创新技术升级和延寿提供了
1月7日,小湾电厂顺利完成500千伏1号母线保护国产化改造并成功投运,至此,小湾电厂实现华能睿渥全系列保护装置国产化投运。华能睿渥全系列国产化保护装置的投运,提升了小湾电厂核心控制系统的国产化率,为小湾电厂实现控制系统全站国产化打下坚实基础。
12月2日,国家电投内蒙古公司霍林河坑口发电公司2×660兆瓦机组完成“DCS+DEH”100%国产一体化改造,成功并网。这是继9月29日完成贵州金元纳雍电厂300兆瓦机组首次应用、11月19日完成江西公司景德镇电厂660兆瓦机组首次成功应用后,国家电投自主可控DCS迎来的又一里程碑节点。至此,自主可控DCS已基本
北极星电力网获悉,12月8日电投能源公告,公司向七届十一次董事会提交了《关于子公司通辽霍林河坑口发电有限责任公司参与开展“火电自主可控分散控制系统研究与开发”科研项目暨关联交易的议案》。经核实,电投能源子公司通辽霍林河坑口发电有限责任公司拟参与开展“火电自主可控分散控制系统研究与开
请使用微信扫一扫
关注公众号完成登录
姓名: | |
性别: | |
出生日期: | |
邮箱: | |
所在地区: | |
行业类别: | |
工作经验: | |
学历: | |
公司名称: | |
任职岗位: |
我们将会第一时间为您推送相关内容!