工业是国家经济命脉和综合国力的体现，当前我国正处于“中国制造”向“中国智造”转型的关键期。工业控制系统（ICS）作为工业体系的核心，广泛应用于电力、航天、水利、风电等领域，其中超60%的关键设施采用ICS系统进行自动化作业。工业控制系统可分为信息技术（IT）和运营技术（OT）两个概念领域，是二者的有机结合。IT侧由系统运行时的软件、服务器、数据库组成，OT侧涵盖可编程逻辑控制器（PLC）、数据采集与监视控制系统（SCADA）、数据传输单元等底层和专属设备。

近年来，随着工业以太网、无线互联技术的发展，ICS系统由原来封闭、孤立的状态逐步走向开放、互联。原有的独立网络、专有硬件及软件控制协议的传统ICS系统所占的市场份额越来越小，取而代之的是采用以太网和各种网络通信协议，如Modbus、IEC-104、PROFINET的新型ICS系统。然而，在开放程度增大的同时，各类网络安全问题也接踵而来，以勒索病毒为代表的工控系统网络攻击的事件时有发生。根据国家工业信息安全态势感知平台数据，2021年全国低防护联网设备数量近700万台，其中物联网、工业控制系统设备占比超80%。

本文针对ICS系统勒索病毒攻击进行研究，简要介绍了勒索病毒的原理和攻击事件，而后重点从勒索病毒的分类、特征、检测方法三个方面进行了分析和阐述，并对ICS系统病毒防护进行展开讨论，旨在为工业企业网络安全防护提供一定的参考。

一、勒索病毒的分类

勒索病毒在攻入受害者主机之后，会执行不同的攻击策略以达到不同的攻击目的，或是通过加密受害者文件信息导致其无法访问这些私密文件，或是将设备与用户隔离，使受害者无法正常使用。近年来，勒索攻击呈上升、多样化趋势，按照勒索病毒功能分类，可分为文件加密型、设备锁定型、系统加密型、服务器加密型；按照勒索病毒入侵系统分类，可分为Windows系统病毒、Linux系统病毒、VMware ESXi系统病毒、Android系统病毒；按照是否为双重勒索，可分为攻击者威胁公开受害者敏感信息的双重勒索和非双重勒索；按照是否采用勒索即服务（Raas），可分为提供勒索病毒定制服务并收取一定佣金的Raas模式的病毒和未采用Raas模式的病毒。

（一）按照病毒功能分类

文件加密型病毒：此类病毒进入受害者系统后，会采用各类算法对文件进行加密，且会选择加密与工业企业业务相关的关键文件，如数据、图片、音频、视频、压缩包、文件夹、数据库等。目前的文件加密型勒索病毒大多为AES和RSA的组合，通过AES算法加密受害者文件，利用RSA算法加密AES密钥，让攻击者保留RSA私钥，使文件解密密钥与受害者完全隔离。由于AES和RSA特性只能通过暴力破解，现有算力无法在短时间内将其破解，导致受害者除了支付赎金外别无他法。文件加密型病毒是当前勒索病毒的主要类型。典型的文件加密型病毒有Play、Lockbit3.0等，其原理大同小异，除可加密文件外，还会删除卷影备份，控制系统进程，设置自启动项，利用黑白名单确定加密及不加密的文件。

设备锁定型病毒：此类病毒会对设备进行锁定，导致受害者无法正常使用。在ICS系统中，此类病毒可能针对IT侧进行攻击，锁定屏幕并显示勒索信息，使主机无法正常使用；也可能针对OT侧进行攻击，利用工控设备低漏洞、弱口令的脆弱性，获取PLC、SCADA等关键工控设备控制权，使设备无法正常工作。最终，受害者只能通过支付赎金的方式来解除锁定。EnkripsiPC是一种锁定受害者屏幕的设备锁定型病毒，它通过在Windows注册表中创建条目以持久化进攻，使自身在每次开机时自动启动，无法规避，与之类似的还有NBB、Nibiru等。

LogicLocker是一种锁定工业PLC系统的设备锁定型病毒，利用API接口扫描工控系统中存在漏洞的设备，通过感染和绕过方式突破安全机制，从而修改PLC代码并锁定设备，其主要攻击对象为发电厂或水处理设施。系统加密型病毒：此类病毒加密系统层面的内容，如系统磁盘主引导记录、卷引导记录等。主引导记录是计算机开机后访问硬盘时必须要读取的扇区，勒索病毒会加密硬盘文件分配表、更改电脑主引导记录从而中断电脑的正常启动，如Petya病毒。还有一种磁盘级别加密的病毒如THT，会在获取主机控制权后利用合法磁盘加密软件Best Crypt Volume Encryption加密并卸载磁盘，实现勒索。

服务器加密型病毒：此类病毒针对网络服务器上的文件进行加密。它通常利用内容管理系统中已知漏洞，对公网上企业计算机服务器端口进行RDP攻击，使得与服务器相连的软件和文件全部无法正常打开，mkp、master就属于服务器病毒。工控系统中IT层中服务器一般与多个设备相连，工控网络与通信网络边界模糊，缺少网络隔离。而大部分病毒具备了蠕虫的能力，它们大多可以利用网络进行复制和传播，从IT侧服务器到OT侧生产网络再到工控设备进行传播，最终使所有接入网络、有通信行为的设备都难以幸免。

（二）按照入侵系统分类

Windows系统病毒：此类病毒攻击Windows系统，通过Windows系统中各类漏洞实现初步入侵，利用系统自带的RDP和Windows管理规范（WMI）访问及控制操作系统、应用程序以及设备信息。Windows系统是勒索病毒侵入的首选。根据安全评测机构AV-Test的数据，针对Windows系统的攻击大约占到全部攻击的95%，是第二多的Linux系统的36倍，同时针对Linux、VMwareESXi等系统进行攻击的病毒大多也会有针对Windows系统的变体。Linux系统病毒：由于Linux系统具有开源、免费、可裁剪、隔离性好等特点而广泛应用于嵌入式系统当中，因此Linux系统勒索病毒是工控系统安全防护的重点之一。不同于Windows系统多样的病毒分发策略，Linux系统病毒分发有效载荷的方式通常为RDP和漏洞攻击，从而从公开的服务上获得合法的凭据。

Linux系统病毒在侵入系统后会利用漏洞进行提权，获得受害者主机上的root权限，以加密更多的受害者文件。与Windows系统病毒不同，Linux系统病毒主要针对Web、云端服务器进行攻击，典型Linux系统勒索病毒有Sodinokibi，其利用过时的VPN设备或弱密码的RDP侵入系统，使用Salsa20和RSA-2048算法加密受害者网络中的文件并进行勒索。除此之外，Linux系统勒索病毒还包括Erebus、QNAPCrypt、KillDisk等。VMwareESXi系统病毒：由于VMware ESXi虚拟机资源处理效率更高，企业会使用ESXi来存储数据和托管关键应用程序，此类病毒专门加密VMwareESXi虚拟机，利用已知漏洞投放载荷并手动执行，获取虚拟机监视器的完全管理权限或访问凭证。侵入虚拟机后，病毒在网络内横向移动以寻求更多的受害者，在加密前杀死系统进程并关闭虚拟机。

ESXi系统病毒加密虚拟机元数据的文件包括.vmdk、.vmem、.vswp等特定扩展名的文件，其余的加密算法、赎金策略与Windows勒索病毒相类似。Cheerscrypt、ESXi Args和fcker.py是典型的主要针对VMware ESXi系统进行攻击的勒索病毒。目前，常见的勒索病毒均不拘泥于单一的系统进行攻击，而是开发出具有针对性的各种变体，如上文提到的LockBit、Play都有针对Windows、Linux和ESXi系统的变体。

Android系统病毒：此类病毒以Android智能设备作为目标，而Android设备允许用户通过第三方平台下载开源的应用程序，因此Android勒索病毒可以通过伪装成合法软件的形式来展开攻击。除了加密文件外，此类病毒还根据Android系统设备特性进行以下操作：一是锁定设备桌面屏幕；二是利用木马窃取关键数据，如Anubis通过钓鱼页面获取敏感信息，并能屏蔽用户信息、远程控制设备；三是使用未授权的权限，如使用SYSTEM_ALERT_WINDOW在其他应用程序上层显示；四是重置设备PIN，以防止受害者对设备的访问，如Lockerpin。类似的，CovidLock利用BIND_DEVICE_ADMIN获取设备的完全控制权。

（三）其他分类

按照是否为双重勒索，病毒可分为攻击者威胁公开受害者敏感信息的双重勒索和非双重勒索。双重勒索出现于2019年，是指除了加密受害者文件进行勒索外，还通过向公众公开受害者的敏感信息进行二次勒索，以此给受害者施压并赚取更高额的赎金。假如受害者在规定的时间内未支付赎金，黑客将会售卖并公布这些敏感信息。受害者多为知名企业，出于自身经营和声誉角度，它们较之单一的勒索方式更容易支付赎金。Maze是第一个采用双重勒索的病毒，其受害者包括韩国电子大厂LG、美国企业施乐，由于两者均拒绝了Maze的赎金要求，LG多款产品固件源代码与施乐客户服务数据被公开。

按照是否采用勒索即服务（Raas），病毒又可分为提供勒索病毒定制服务并收取一定佣金的Raas模式的病毒和没有采用Raas模式的病毒。Raas是一种新型的商业化运作模式，勒索软件开发者负责开发和维护软件工具及设施，不具备开发能力的订阅者支付一定租金就可以直接使用勒索软件进行勒索。这种模式极大地推动了勒索病毒从单一化、简单化向模块化、产业化的转变。

根据Dragos的数据，2024年2季度针对工业企业的攻击共有312起，涉及29个组织，周期内统计的勒索病毒虽然没有针对ICS系统的OT流程进行特定攻击，而是集中在IT侧展开攻击，但由于通信网络的中断使OT侧也受到影响。本文对其中攻击次数最多的20大勒索病毒进行统计分类，见表1。

表 1 2024 年 2 季度攻击次数较多的勒索病毒及其分类

二、ICS系统勒索病毒的特征

（一）针对性强，破坏性大

针对ICS系统的勒索病毒攻击受害者多为具有大量数据资产的大型工业企业或服务部门。与传统的针对个人受害者以及非工业企业的IT系统勒索病毒攻击相比，针对ICS系统的病毒攻击具有强烈的指向性。在分发阶段，传统IT勒索病毒主要采用无针对性的电子钓鱼邮件等方式进行传播，而ICS系统病毒利用定制化漏洞工具分发有效负载。并且，传统勒索病毒的目标是文档、照片等数据文件，对其加密向受害者索要赎金；ICS系统病毒在进行加密的同时还针对系统中设备如PLC、RTU进行锁定或者开展逻辑炸弹攻击，使之停止工作[8]。由于ICS系统与生产制造、设备及人员安全、公共服务紧密相关，因此ICS系统勒索病毒造成的破坏更大，会使工业企业生产停滞、设备遭受不可逆的破坏，使公共服务受到影响，如停水停电。Dragos的数据显示，2024年2季度主要受害者包括互联网服务提供商FrontierCommunications（运营中断）、希洪生物能源厂（SCADA遭加密和泄露，废物和能源管理流程被破坏）。

（二）加密算法复杂，系统恢复困难

ICS系统勒索病毒为追求加密速度、质量，所采用的加密算法越来越复杂，大致可分为对称式和非对称式加密算法两大类。对称式加密算法是指加密及解密都使用一个密钥，其优点是计算量小、速度快、适配性好，缺点是存在单方面的密钥泄露。AES、3DES、RC4是典型的对称加密算法，其中AES应用最为广泛。

AES是美国政府于2002年采用的一种加密标准，具有128、192、256三种密钥长度。若采用256位密钥，密钥存在的组合共有2265个。利用世界第一、计算峰值1.206EFlop/s的Frontier超级计算机进行计算也需要2.629×1051年，因此可认为AES无法被暴力破解。非对称式加密算法中，加密与解密不是用同一个密钥，而是分为公钥和私钥，公钥用于加密，私钥用于解密。

其优点是安全性高、便于管理，缺点是计算量大，常见的非对称加密算法有RSA、ECC等。RSA的原理是一个大的质数相乘，较为容易，但其逆向分解却极其困难。受限于计算资源和技术壁垒，RSA与AES一样，目前无法被破解。此外，还有一些其他的加密算法：散列算法又称为Hash函数，是一种单项的函数，接受输入消息并输出摘要，确保不同文件输出的摘要不同，以此来标识，常见的散列有MD5以及SHA；Base64算法，严格来说是一种编码字节的方式，将原文转换为base64编码，从而可实现加密。为使受加密文件难以恢复，勒索病毒除采用对称式和非对称加密算法相结合的策略进行加密外，还使用三种甚至三种以上加密算法的组合，并且较完善的病毒在其内部封装有集成的加密模块，能够根据对象和进程特点切换加密算法，如链接到一些加密库，如Crypto++、MbedTLS、libntri，从而选取合适的加密算法发起进攻。

（三）攻击路径广泛，攻击手段多样

ICS系统勒索病毒不仅会对通信及工控网络发起传统的加密攻击，还会对现场设备发起攻击，包括PLC、RTU、SCADA等，以锁定设备使之停止工作，或是对其发起物理攻击，如逻辑攻击破坏设施、修改参数欺骗运维人员。除此之外，还会对ICS系统所采用的Modbus、PROFINET、ZigBee等通信协议展开攻击，利用Modbus协议在数据完整性和可用性方面的安全机制不同进行数据注入和Dos攻击，利用ZigBee网络协调不限制请求数量的缺点进行关联泛洪攻击等。

近年来，新出现了诸多新型攻击手段和工具，如离地攻击、供应链攻击等。离地攻击利用目标受害者自身资源如脚本、软件、有效载荷发起攻击，是一种无载荷投放的攻击，通过减少攻击痕迹来提升攻击检测及防御的困难性。供应链攻击是指上游供应商提供的服务或产品被感染，导致下游企业遭到勒索病毒入侵。与孤立的安全攻击相比，供应链攻击规模大、影响严重。2023年，针对Progress公司MOVEit工具的供应链攻击导致下游三大工业控制器制造商均受到勒索，席卷32国、2000多家企业。对于勒索病毒，无法避之不谈的一点是，在攻击手段和工具进化的同时，病毒反分析和规避技术也同时提高了，代码混淆与打包、多态性与变形、反虚拟化、防调试、防API挂钩等常见的反分析和规避技术从提升代码复杂性和防止样本捕获两方面为ICS系统病毒的检测和防护带来难题。

三、针对ICS系统的勒索病毒攻击检测与识别

ICS系统现有的安全机制是反应机制，但由于具有异构设备的ICS系统安全性较弱且勒索病毒反分析和规避技术在不断增强，许多工业企业未意识到系统中可能存在一些隐藏的攻击，它们的安全设备以及机密数据在不知不觉中就被入侵和泄露了，因此对勒索病毒的检测与识别方法提出了更高的要求。现有的方法包括：一是基于签名的静态检测，该法通过对病毒样本静态参数特征如关键字、可疑函数调用进行提取，从而识别出能标识病毒的唯一签名；二是基于动态行为的检测，该法通过对病毒运行过程中的行为特征进行分析识别，所利用的行为特征包括文件类型、恶意IP等。上述两种方法都是被动、消极地进行攻击检测，无法获取攻击完整信息。基于模型的攻击识别方法能主动出击，做到知己知彼，将病毒攻击扼杀在摇篮中。此类方法有痛苦金字塔、钻石模型、网络杀伤链、ATT&CK（入侵者战术、技术和共有知识库）框架，其中应用最广泛、技术刻画细粒度最高的为ATT&CK框架，下文将重点讲述。

（一）基于静态签名的检测

通过逆向工程分析本地勒索病毒程序中的一些无须运行即可获取的静态特征，包括：

病毒文件中关键字，如“ransomware”“encrypt”；与文件加密解密、进程控制相关的可疑函数；恶意域名和IP地址；MD5码。该检测法基于这些静态特征进行扫描生成唯一签名，并将其与数据库上的签名进行比较从而识别出勒索病毒的类别。这种方法的优点是快速高效，但是需要事先捕获到完整的病毒样本，并且样本采用代码混淆技术时会导致特征难以获取，因此其应用场景和频率没有其他方法广泛。

（二）基于动态行为的检测

动态行为检测是指对病毒程序运行过程中的文件、流量等行为特征进行检测，识别出勒索病毒的类型。动态行为检测通常在蜜罐等虚拟化平台上进行，并利用检测工具对病毒样本运行状态进行行为分析，提取行为特征，而后利用机器学习算法进行分类。可被利用的动态行为特征包括四类。

一是文件：病毒运行前后，文件类型、扩展名、文件内容变化等指标会随之更改；二是异常流量：包括分析系统与外部C&C的数据交互，或对DGA（动态生成域名技术）产生的大量DNS（静态域名）查询进行检测；三是CPU资源：样本运行时会占用大量CPU资源，分析平均CPU利用率、RAM量等指标以确定是否感染；四是API调用：例如可从窗口捕获信息的API函数GetWindowDC。基于动态行为的检测的困难之处在于行为的定义以及特征提取识别的相似性与差异。

（三）基于ATT&CK框架的攻击识别

ATT&CK是一个由MITRE公司提出的包括网络攻击策略、技术、程序（TTP）的安全知识库。ATT&CK框架整合已有APT（高级可持续性威胁）攻击策略和技术，形成了描述黑客行为的通用语言和抽象知识库框架，从攻击者视角观察真实世界的网络攻击。适用于ICS系统的ATT&CK出现于2020年，从ICS的监控层、现场控制层和物理层的原理和特征入手，对常见的工业攻击进行汇总和分析，归纳出了包括初始访问、执行、持久化、权限提升、规避、发现、横向移动、收集、命令与控制、抑制响应功能、损害过程控制、影响在内的12种策略以及94种战术。ICSATT&CK矩阵如图1所示。

图1 ICS ATT&CK 框架

利用ATT&CK可对ICS系统勒索病毒进行攻击全生命周期的特征分析。

（1）初始访问：病毒向受害者主机投放有效载荷；

（2）执行：执行病毒附件所携带的代码，如PowerShell、CMD等系统组件；

（3）持久化：在ICS环境中保持对目标主机的访问及控制权限；

（4）权限提升：病毒在该阶段获取更高的权限，包括系统级别、管理员权限；

（5）规避：利用一些系统工具规避杀毒软件；

（6）发现：攻击者获取目标网络拓扑信息，发现更多服务器和设备；

（7）横向移动：在服务器及设备间进行移动，扩大感染对象；

（8）收集：获取受害者更多高价值数据及资产信息；

（9）命令和控制：攻击者与ICS系统建立网络通信以及远程交互；

（10）抑制响应功能：攻击者阻止受害者对ICS系统或设备故障、危险或不安全状态的反应与保障；

（11）损害过程控制：病毒通过破坏控制逻辑、操纵响应信息最终对被控制的过程产生消极影响；

（12）影响：ICS系统、数据或环境受到控制、中断或破坏。

对上文提到的20种勒索病毒所采用的TTP进行ATT&CK策略及技术统计，如图2所示，使用频繁的技术包括“利用面向公众的应用程序”（T0819）、“网络钓鱼”（T0865）、“脚本”（T0853）。具体来看，一种针对西门子S7PLC的ICS系统病毒（PLC-Blaster）的TTP攻击画像如图3所示。PLC-Blaster首先停止目标执行的用户程序，将自身复制到目标中（T0858）；随后保持自身在目标上的原始代码不变（T0821），并且使用功能块销毁与其他系统的TCP连接（T0834）；PLC-Blaster将自身复制到设备上各程序组织单元（T0889）以实现持久化;扫描系统内其他西门子设备目标（T0846），利用PLC通信和管理API实现横向移动（T0843）;最终实现Dos攻击（T0814）和操纵PLC任何输出（T0835），以进行勒索。

图 2 20 种 ICS 勒索病毒所采用的策略及技术

图 3 PLC-Blaster 攻击画像

基于以上，可知利用ATT&CK框架进行ICS系统勒索病毒攻击识别可从整体上对攻击进行全面地分析，有效地刻画攻击链条，覆盖病毒攻击从识别到入侵再到实施的全生命周期。这种以抽象化语言来统一描述病毒行为从而刻画网络攻击基本画像的方式，能够分析攻击全生命周期的特征，识别攻击者所采用的技术及方法，这是上述两类攻击检测方法所不具有的。而在基于模型的四种方法内，痛苦金字塔难以获取高价值的IOCs（攻击指标）；钻石模型尽管外观简单，但其建模求解过程却很复杂；杀伤链模型的攻防不对称、不均匀，虽然ATT&CK也存在战术与策略匹配缺乏线性、分组或层次结构的问题，但由于其出色的统一架构和细粒化技术刻画而被广泛应用。

四、ICS系统勒索病毒防护

（一）防护现状

随着ICS系统网络开放程度的不断扩大，传统IT系统存在的网络安全问题在ICS系统上也日益凸显。勒索病毒可通过ICS系统的IT侧企业网络、服务器、OT侧通信网络、设备展开攻击，使人防不胜防。目前，ICS系统主要存在以下安全问题：一是防护能力薄弱，低防护ICS系统设备占比超80%；二是隔离性不足，容易造成病毒横向移动、IT/OT边界模糊，使边界防护能力不足；三是存在大量漏洞，在权衡经济与安全因素后，发现漏洞难以维护；四是工业协议存在缺陷，数据传输缺乏认证、授权及加密等保护机制。以上种种不足使ICS系统在遭受勒索病毒攻击时难以招架。

传统通用的ICS系统病毒防护方法包括备份、避免弱口令、定期安全培训、关闭非必要共享端口、规划及明确响应策略及职责等。

（二）防护建议

在分析ICS系统中勒索病毒功能、特征、检测方法的基础上，针对工业控制系统低防护、弱隔离、多漏洞等不足，本文提出了一些系统性防护对策。

（1）增强身份验证。对外部运维设备、内部服务器、工控设备、边缘网关等ICS系统各层级、各端点采用多因素认证及强口令验证。

（2）进行边界防护。将ICS划分为不同隔离区域进行管理，如根据普渡控制层次模型将其划分五个区域，然后部署防火墙、静态路由，并通过网络分段建立权限管理、执行策略相同并具有统一的信任级别的安全域，从而最大限度地减少访问敏感信息，避免病毒大规模传播。

（3）实施漏洞管理。设置维护时段，分阶段根据资产优先级维护漏洞，从而平衡生产及安全需求，优先级由大到小分别为：工业防火墙、工业交换机、服务器、工程工作站、HMI服务器。

（4）有效监控包括系统状态监控和关键流量监控。对异常启动的进程、补丁、关键日志进行监控，建立IP及域名的黑白名单，对敏感流量进行分析，确保对这些关键信息的掌控。

（5）主动出击，进行威胁识别。包括评估潜在脆弱性、威胁向量，构建风险场景，模拟病毒入侵，获取威胁情报，最终将病毒扼杀在萌芽阶段。

五、总结

ICS系统的网络安全对于关键基础设施的正常运行至关重要，不仅涉及相关人员的人身安全，还会影响公众居民的公共服务。其中，勒索病毒是ICS系统所面临的最严重的网络安全问题。随着ICS系统接入互联网程度的不断扩大,IT侧与OT侧之间的边界越来越模糊和脆弱，为勒索病毒攻击提供了便利。复杂多变的勒索病毒对ICS系统包括IT、PLC、SCADA、通信协议在内的各个层级均可发起攻击，这对勒索病毒检测与防护提出了更高、更全面的要求。MITRE公司的ICSATT&CK框架战术描述性好、应用范围广，可应用于全生命周期的ICS系统勒索病毒攻击检测与识别。进一步，ATT&CK还可应用于病毒威胁搜寻、网络安全管理上，从而将检测与防护相结合，这是未来发展趋势之一。

原文刊载于《数字化转型》第2期 2025年 作者：莫小磊 苗勇 佟勇 童志明 隋天举