行波測距裝置感染病毒導(dǎo)致網(wǎng)絡(luò)安全異常分析

Summary：開展Windows主機(jī)回顧性排查，確保端口關(guān)閉及病毒殺毒徹底。改進(jìn)專業(yè)網(wǎng)絡(luò)安全閉環(huán)管理方式，定期對常態(tài)化工作進(jìn)行統(tǒng)計(jì)、通報(bào)，促進(jìn)各單位落實(shí)到位。確保既定Windows操作系統(tǒng)（不能關(guān)閉高危端口的Windows主機(jī)）改造進(jìn)度，研究制定加快其他Windows操作系統(tǒng)設(shè)備技術(shù)改造的措施，從嚴(yán)從快推進(jìn)全部存量設(shè)備改造。本文介紹了xxx水電站暴露的問題，并得出處理方案，人員受到安全教育培訓(xùn)效果。Keys：保護(hù)裝置；感染病毒；網(wǎng)絡(luò)安全異常一、事件概述2020年3月5日，XXX水電站行波測距裝置頻繁站內(nèi)掃描135、445端口。該病毒掃描的網(wǎng)段為互聯(lián)網(wǎng)網(wǎng)段，網(wǎng)絡(luò)不可達(dá)，通過態(tài)勢感知抓包亦未發(fā)現(xiàn)有回包。安全威脅僅限于電站內(nèi)傳播，無法到達(dá)調(diào)度數(shù)據(jù)網(wǎng)。檢查電站內(nèi)部網(wǎng)絡(luò)可達(dá)范圍均未發(fā)現(xiàn)異常，行波測距裝置的業(yè)務(wù)也未受病毒行為影響。二、設(shè)備概況XXX水電站行波測距為xxx廠家XC-2000型裝置，后臺機(jī)為windows2000操作系統(tǒng)，裝置投運(yùn)于2006年12月。計(jì)劃2022年4月進(jìn)行設(shè)備改造。殺毒U盤為趨勢科技TRENDPortableSecurity2TMPS型U盤。三、處置及檢查經(jīng)過（一）現(xiàn)場處置。2020年3月5日15時30分，調(diào)度通知XXX水電站行波測距裝置頻繁站內(nèi)掃描135、445端口，要求XXX水電站按照預(yù)案處置原則采取斷網(wǎng)措施并開展排查?，F(xiàn)場裝置于20：32分?jǐn)嚅_網(wǎng)絡(luò)連接，進(jìn)入單端測距方式。（二）現(xiàn)場檢查1、端口狀態(tài)檢查：1）現(xiàn)場檢查135端口在監(jiān)聽狀態(tài)，其余端口在關(guān)閉狀態(tài)，檢查裝置的運(yùn)行程序，未發(fā)現(xiàn)異常程序運(yùn)行。2）對照廠家提供的Windows2000端口關(guān)閉手冊逐步檢查，設(shè)置無誤。2、裝置重啟后檢查：1）在裝置已經(jīng)斷網(wǎng)的情況下重啟裝置。裝置重啟后查看135端口已關(guān)閉。2）裝置重啟后，重新接入網(wǎng)絡(luò)與調(diào)度網(wǎng)安處確認(rèn)，裝置頻繁掃描135、445端口現(xiàn)象消失，隨即斷開網(wǎng)絡(luò)連接。3、查毒情況：1）3月5日現(xiàn)場對設(shè)備后臺機(jī)使用Trend專業(yè)殺毒U盤進(jìn)行第一次查殺，病毒庫更新至2019年6月11日，未發(fā)現(xiàn)病毒威脅。圖1第一次病毒查殺記錄2）3月5日調(diào)度保護(hù)處通知現(xiàn)場更新病毒庫后再次查毒，現(xiàn)場將Trend專業(yè)殺毒U盤病毒庫更新至2019年9月20日，進(jìn)行第二次查殺，未發(fā)現(xiàn)病毒。圖2第二次病毒查殺記錄四、現(xiàn)場行波測距裝置網(wǎng)絡(luò)安全工作開展情況1、2017年6月開展端口封堵工作，工作票見下圖：圖3關(guān)閉行波測距高危端口工作票2、根據(jù)《關(guān)于進(jìn)一步做好南方電網(wǎng)并網(wǎng)電廠電力監(jiān)控系統(tǒng)涉網(wǎng)部分網(wǎng)絡(luò)安全排查與整改工作的通知》（調(diào)網(wǎng)安[2018]1號），XXX水電站于2018年5月開展了全站的網(wǎng)絡(luò)安全排查，包括Windows主機(jī)的關(guān)端口和殺毒，反饋情況如下：圖4站內(nèi)Windows主機(jī)開展主機(jī)加固記錄3、根據(jù)《關(guān)于做好保護(hù)專業(yè)電力監(jiān)控系統(tǒng)再并網(wǎng)網(wǎng)絡(luò)安全管控工作的通知》（繼電保護(hù)處[2019]44號），XXX水電站于2019年7月開展了行波測距裝置的再并網(wǎng)安全評估，對端口關(guān)閉情況進(jìn)行了再核實(shí)，并進(jìn)行了系統(tǒng)病毒查殺，反饋情況如下：圖5行波測距裝置再并網(wǎng)安全評估圖6開展行波測距病毒查殺工作票五、2019年度行波測距工作1、使用U盤拷貝文件記錄。2019年5月29日使用專用U盤拷貝xx線路故障測距文件；行波測距裝置應(yīng)用程序日志顯示2019年5月29日有應(yīng)用程序登錄事件（拷行波測距文件）。圖7行波測距應(yīng)用程序日志部分截圖2、護(hù)網(wǎng)后按要求開展殺毒后再并網(wǎng)。2019年7月5日殺毒U盤對行波測距裝置進(jìn)行病毒查殺，共發(fā)現(xiàn)387個威脅全部修復(fù)。圖8

7月5日殺毒日志3、配合開展雙平面改造。2019年8月21-23日配合開展調(diào)度數(shù)據(jù)網(wǎng)雙平面切割工作，在行波測距裝置上按網(wǎng)安要求做Pingip測試。六、事件原因分析1、比對殺毒U盤日志記錄、行波測距系統(tǒng)日志記錄、行波測距應(yīng)用程序日志記錄，記錄一致，行波測距裝置在2019年5月29日拷貝過波形文件、7月5日開展病毒查殺、8月21-23日配合網(wǎng)安專業(yè)進(jìn)行Pingip測試，此后裝置無其它操作。若7月5日病毒清理徹底，裝置沒有機(jī)會再感染病毒。2、殺毒工作。分析2019年7月5日的殺毒日志，當(dāng)日發(fā)現(xiàn)并修復(fù)了387個威脅，均為WORM_LOCAREA.A或WORM_NEERIS.A類型的蠕蟲病毒。其中，WORM_NEERIS.A型蠕蟲病毒可發(fā)起高危端口掃描。在C:\DocumentsandSettings\DefaultUser\LocalSettings\TemporaryInternetFiles\Content.IE5\路徑的緩存文件夾中發(fā)現(xiàn)279個病毒文件為WORM_NEERIS.A型蠕蟲病毒，判斷對135、445的掃描是此類蠕蟲病毒發(fā)起的。圖9殺毒日志截圖3、查閱行波測距日志，7月5日無“eventlog”記錄，判斷病毒查殺完未進(jìn)行電腦重啟，殺毒工作未能嚴(yán)格按照“保護(hù)專業(yè)系統(tǒng)主機(jī)加固和查殺工作指引（試行）”要求的完整流程：“殺毒---重啟電腦---再次殺毒確認(rèn)”執(zhí)行。4、綜合以上分析，現(xiàn)場開展了病毒查殺工作，但是在殺毒后沒有重啟電腦再次確認(rèn)，雖然殺毒U盤顯示“已全部修復(fù)”，但是修復(fù)不徹底，導(dǎo)致蠕蟲病毒掃描行為還在繼續(xù)。七、暴露問題1、電站運(yùn)維人員網(wǎng)絡(luò)安全技能不足、電站在網(wǎng)絡(luò)安全排查過程中存在工作漏洞。在2019年7月開展的病毒查殺中，未按要求對殺毒結(jié)果進(jìn)行確認(rèn)。2、電站網(wǎng)絡(luò)安全工作開展不規(guī)范，未按照相關(guān)要求定期（不超過6個月）開展病毒查殺，也未對專用殺毒U盤進(jìn)行病毒庫定期更新。八、下一步工作1、組織電站現(xiàn)場運(yùn)維人員認(rèn)真學(xué)習(xí)《指引》，確保作業(yè)人員熟悉端口關(guān)閉及病毒查殺工作要求。2、組織開展Windows主機(jī)回顧性排查，確保端口關(guān)閉及病毒殺毒徹底。改進(jìn)專業(yè)網(wǎng)絡(luò)安全