電力系統(tǒng)遭受攻擊綜合分析報(bào)告

作者文檔本版本更新時(shí)間信息2016/02/11:首次發(fā)布時(shí)間2016/01/14:30初稿完成時(shí)間2016/01/17:30背景介紹聯(lián)合分析組根據(jù)對(duì)整體事件的跟蹤、電力運(yùn)行系統(tǒng)分析和相關(guān)樣本分析，認(rèn)為這是一起以電力基礎(chǔ)yTSCADAAS版權(quán)說(shuō)明目TOC\o"1-2"\h\z\u 20151223TSN24日?qǐng)?bào)道稱：80000用戶斷電?！保珺lackEnergy感染主機(jī)[3][4][5][6]。BlackEnergy2014年被黑客團(tuán)隊(duì)“沙蟲(chóng)”用于攻擊歐美SCADA工控系統(tǒng)，當(dāng)時(shí)iSIGHTPartners201617日發(fā)文，將此次斷電事件矛頭直指“沙蟲(chóng)”團(tuán)隊(duì)，而在其2014年關(guān)于“沙蟲(chóng)”的報(bào)告中，iSIGHTPartners認(rèn)為該團(tuán)隊(duì)與俄羅斯密切相關(guān)[7]。西疏俄”的方向，俄羅斯總統(tǒng)普京于2008年在北約和俄羅斯的首腦會(huì)議上指出，如果烏克蘭加入北約，俄國(guó)將會(huì)收回烏克蘭東部和克里米亞半島（1954年由當(dāng)時(shí)的蘇共領(lǐng)導(dǎo)人決定從俄羅斯劃歸到烏克蘭。在ESET外，多個(gè)安全企業(yè)和安全組織跟進(jìn)了相關(guān)系列事件，201619SANSICSSCADA系統(tǒng)被攻擊過(guò)程進(jìn)行了分析和猜測(cè)；2016115日，根據(jù)CERT-UA的消息，烏克蘭最大機(jī)場(chǎng)基輔鮑里斯波爾機(jī)場(chǎng)網(wǎng)絡(luò)遭受BlackEnergy攻擊；2016128STB電視臺(tái)攻擊的BlackEnergy相關(guān)樣本；2016216日，趨勢(shì)科技安全專家在烏克蘭一家礦業(yè)公司和鐵路運(yùn)營(yíng)商的系統(tǒng)上發(fā)現(xiàn)了BlackEnergy和KillDisk樣本。201615日建立了聯(lián)合分析小組（以下簡(jiǎn)稱“聯(lián)合分析組式啟動(dòng)對(duì)此次事件的分析；19日，完成事件相關(guān)樣本基本分析；123日，完成初步分析報(bào)告，并在中國(guó)計(jì)算機(jī)學(xué)會(huì)計(jì)算機(jī)安全專業(yè)委員會(huì)相關(guān)事件的研討活動(dòng)中進(jìn)行分發(fā)；224施為目標(biāo)；以BlackEnergy等相關(guān)惡意代碼為主要攻擊工具；通過(guò)BOTNET體系進(jìn)行前期的資料采集和環(huán)境預(yù)置；以郵件發(fā)送惡意代碼載荷為最終攻擊的直接突破入口；通過(guò)遠(yuǎn)程控制SCADA節(jié)點(diǎn)下達(dá)指令為斷電手段；以摧毀破壞SCADA系統(tǒng)實(shí)現(xiàn)遲滯恢復(fù)和狀態(tài)致盲；以DDoS服務(wù)電話作為干擾，最后達(dá)成長(zhǎng)PC環(huán)節(jié)的投放和植入達(dá)成的。其攻擊成本相對(duì)震網(wǎng)[8][9]、方程式[10][11][12]等攻圖1圖2

升壓變電站可以將交流電從不大于20KV的電圖3

圖4

圖5某500KV樞紐變電 圖6某220KV中間變電圖7某110KV地區(qū)變電 圖8某35KV終端變電110kV35kV。聯(lián)合分析組只能據(jù)此做出部分“常識(shí)性”的判斷，通常來(lái)750kV和直流±400kV500kV、330kV、220kV和DCS均屬于PCS。但對(duì)于變電站自動(dòng)化系統(tǒng)，目前仍然以人工監(jiān)控（開(kāi)環(huán)控制）為主，主要SCADA（數(shù)據(jù)采集和監(jiān)控系統(tǒng)PCS的DCS系統(tǒng)有一定相似之處，但體系結(jié)構(gòu)不完全相同，一個(gè)可能的變電站SCADA體系結(jié)構(gòu)如圖9所示。圖9一個(gè)可能的變電站SCADA如果將變電站SCADA與一般工業(yè)DCS做一個(gè)比較，則過(guò)程層相當(dāng)于DCS中的現(xiàn)場(chǎng)儀表層面，直接連接斷路器、變壓器、PT、CT等一次設(shè)備，完成最終的遙測(cè)、遙控等功能；間隔層相當(dāng)于DCS中的現(xiàn)場(chǎng)控制層面，特別是繼電保護(hù)裝置屬于自動(dòng)控制，相當(dāng)于DCSDCS中HMIPC和相應(yīng)軟件實(shí)現(xiàn)。站控層網(wǎng)絡(luò)相當(dāng)于工業(yè)以太網(wǎng)（工控內(nèi)網(wǎng)對(duì)于非智能變電站，過(guò)程層與間隔層沒(méi)有標(biāo)準(zhǔn)的通信協(xié)議，一般根據(jù)過(guò)程層設(shè)備（RTU等）確定通信協(xié)通常220kV及以上等級(jí)的變電站，監(jiān)控系統(tǒng)（屬于變電站SCADA站控層）使用的操作系統(tǒng)通常是Unix、Linux等系統(tǒng)，110kV和35kV變電站，監(jiān)控系統(tǒng)操作系統(tǒng)中則有較高比例的Windows操作系統(tǒng)。現(xiàn)階段俄羅斯和其它前蘇聯(lián)加盟共和國(guó)大量存在110kV和35kV變電站，其監(jiān)控系統(tǒng)操作系統(tǒng)目前以Windows為主。需要指出的是，沒(méi)有任何操作系統(tǒng)能夠?qū)舭俜职佟懊庖摺?，任何關(guān)鍵位置的節(jié)點(diǎn)系統(tǒng)廣泛應(yīng)用，PCSCADA系統(tǒng)中，PC收集大量的實(shí)時(shí)PC根據(jù)統(tǒng)計(jì)分析數(shù)據(jù)，對(duì)電網(wǎng)進(jìn)行電力的實(shí)時(shí)負(fù)載調(diào)配，并且針對(duì)調(diào)配對(duì)電網(wǎng)下達(dá)相應(yīng)的控制指令。另外PC在SCADA系統(tǒng)中同樣可以對(duì)系統(tǒng)中DCS的相關(guān)配置進(jìn)行遠(yuǎn)程配置。實(shí)現(xiàn)的現(xiàn)場(chǎng)控制站，屬于現(xiàn)場(chǎng)控制層面；對(duì)于變電站SCADA，是繼電保護(hù)裝置（35kV及其以下電壓等級(jí)SCADA系統(tǒng)的故障，有可能全系統(tǒng)依然能夠正常運(yùn)行一段時(shí)間。這種風(fēng)險(xiǎn)控制模式的有效性是建立在應(yīng)基于環(huán)境預(yù)置、定向入侵滲透等方式取得了SCADA系統(tǒng)的控制權(quán)的情況下，僅靠這種簡(jiǎn)單的集散原則是警等功能。同時(shí)有多種方式可以通過(guò)SCADA導(dǎo)致斷電，如：當(dāng)攻擊者取得變電站SCADA系統(tǒng)的控制權(quán)（如SCADA管理人員工作站節(jié)點(diǎn)）后，可取得與SCADA操作人員完全一致的操作界面和操作權(quán)限（包括鍵盤輸入、鼠標(biāo)點(diǎn)擊、行命令執(zhí)行以及更復(fù)雜的USBKEY等登錄認(rèn)證方式的USB設(shè)備，也可能是默認(rèn)接入在設(shè)備上的。因此，攻擊API接口、或從網(wǎng)絡(luò)上劫持等方式，直接偽SCADA站控層之下的通信網(wǎng)絡(luò)，并無(wú)特別設(shè)計(jì)的安全加密通信協(xié)議。當(dāng)攻擊者獲取不同位置的控制權(quán)（SCADA站控層PC、生產(chǎn)網(wǎng)絡(luò)相關(guān)網(wǎng)絡(luò)設(shè)備等）后，可以直SCADAIEC61850通信明碼報(bào)文，IEC61850屬于公開(kāi)協(xié)議、明碼通信報(bào)文，截獲以及偽造IEC61850通信報(bào)文并不存在技術(shù)上的問(wèn)題，因此攻擊者可以構(gòu)造或魚(yú)叉式釣魚(yú)郵件或其他手段，首先向“跳板機(jī)”植入BlackEnergyBlackEnergy建立據(jù)點(diǎn)，以“跳板機(jī)”作為據(jù)點(diǎn)進(jìn)行橫向滲透，之后通過(guò)攻陷監(jiān)控/裝置區(qū)的關(guān)鍵主機(jī)。同時(shí)由于BlackEnergy已經(jīng)形攻擊者在獲得了SCADA系統(tǒng)的控制能力后，通過(guò)相關(guān)方法下達(dá)斷電指令導(dǎo)致斷電：其后，采用覆蓋MBR和部分扇區(qū)的方式，導(dǎo)致系統(tǒng)重啟后不能自舉（自舉只有兩個(gè)功能：加電自檢和磁盤引導(dǎo)；采用清SCADA的上層故障回饋和顯示能力后，工作人攻擊者一方面在線上變電站進(jìn)行攻擊的同時(shí)，另一方面在線下還對(duì)電力客服中心進(jìn)行電話DDoS攻圖10?安天版權(quán)所有，歡迎無(wú)損轉(zhuǎn) 第9攻擊組織及BlackEnergyFONTCACHE.DATCLSID格式名稱的快捷方式、釋放的文件都是BlackEnergy僵尸BlackEnergy是一種頗為流行的攻擊工具，主要用于實(shí)施自動(dòng)化犯罪活動(dòng)，通常販賣于俄羅斯的地下因?yàn)锽lackEnergyDDoS攻BlackEnergy樣本，可參見(jiàn)安天“沙BlackEnergy已經(jīng)形成了BOTNET（僵尸網(wǎng)絡(luò)）體系，它成為采集相關(guān)基礎(chǔ)設(shè)施和重要目標(biāo)節(jié)點(diǎn)相關(guān)序，稱之為BlackEnergy1，主要用于實(shí)施DDoS攻擊。圖11BlackEnergy1DDoS攻擊的BlackEnergy僵尸網(wǎng)絡(luò)可以啟動(dòng)控制的“洪水”命令的參數(shù)，例如：ICMPping洪水、TCPSYN洪水、UDP流量洪水、二進(jìn)制包洪水、DNS請(qǐng)求洪水等。圖12Base64圖13表1身，伺機(jī)發(fā)動(dòng)DDoS攻擊。BlackEnergy2依然是一個(gè)具備DDoS功能的僵尸網(wǎng)絡(luò)程序，該樣本新增類加密軟件以對(duì)自身加密處后樣本連接遠(yuǎn)程服務(wù)器，下載DDoS攻擊組件，根據(jù)配置文件對(duì)目標(biāo)發(fā)起DDoS攻擊。圖14BlackEnergy2BlackEnergy3。但SYNhttpBlackEnergyDLLSYNhttpDDoS編譯ARM系統(tǒng)上運(yùn)行的DDoS表2BlackEnergy圖15BlackEnergy200720082009201020142014年10WebAccess、西門子WinCC。2014年1014SandWormiSIGHT發(fā)現(xiàn)利用CVE-2014-4114BlackEnergy樣本[14]201410月15日發(fā)布“沙蟲(chóng)（CVE-2014-4114）相關(guān)威脅綜合分析報(bào)告[13]”對(duì)相關(guān)漏洞和樣本進(jìn)行復(fù)盤分2014112014年12基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊，并造成重大物理傷害，相關(guān)報(bào)道指出該事件可能與BlackEnergy有關(guān)。安天隨后跟進(jìn)分析，于次日形成關(guān)于BlackEnergy的分析報(bào)告[15]。2015112015年12安天CERT20153月被這與我們過(guò)去看到的大量APT攻擊中出現(xiàn)的格式溢出文檔所不同的是，盡管其也使用了郵件和Office文檔作為攻擊手段，但并沒(méi)有使用0Day，甚至相關(guān)載荷都沒(méi)有使用格式溢出方式，而是類似一個(gè)傳統(tǒng)的宏病毒。這說(shuō)明高級(jí)攻擊中是否使用0Day與相關(guān)組織的作業(yè)能力、0Day儲(chǔ)備、以及對(duì)目標(biāo)的適應(yīng)性有0Day圖16烏克蘭公民組織負(fù)責(zé)人必須提供的組織示例（附件1），當(dāng)?shù)卣蛦T的列表、用戶類別。不包含烏克蘭總統(tǒng)令中附錄2和信息附錄3所列的順序動(dòng)員。圖17Excel數(shù)組，在數(shù)組中寫入二進(jìn)制數(shù)據(jù)（PE文件）備用，如下圖：圖18隨后執(zhí)行此文件，即BlackEnergyDropper，在經(jīng)過(guò)多次解密后，其會(huì)釋放BlackEnergy，并利用BlackEnergy下載插件對(duì)系統(tǒng)進(jìn)行攻擊。圖19攻擊者利用VBSSSH服務(wù)端，VBS圖20VBS這個(gè)SSH程序是攻擊者使用DropbearSSH源碼重新編譯的，在其中添加了固定密碼圖22添加后門的DropbearSSH圖21DropbearDropbearSSHSSH管理工具，假定，相關(guān)帶有后門的DropbearSSH的出現(xiàn)，也不排除是此次攻擊的環(huán)境預(yù)置的一部分。同時(shí)攻擊者使用開(kāi)源代碼為基礎(chǔ)，構(gòu)造可疑功能，可以起到躲避安全軟件的檢測(cè)的目的。通過(guò)圖23所示該文件的檢測(cè)歷史情況，可以ESET最早獲得樣本，而能夠獨(dú)家檢測(cè)，其圖23操作，還會(huì)擦寫磁盤MBR、破壞文件，最后強(qiáng)制關(guān)閉計(jì)算機(jī)。96.0KB98,304字節(jié)無(wú)無(wú)MicrosoftVisualC++表360轉(zhuǎn)為秒數(shù)，再使用函數(shù)RtlTimeToSecondsSince1970獲取當(dāng)前的秒數(shù)圖24圖25圖26MBR圖27圖28如圖29：圖29圖30同分為兩類，最后使用隨機(jī)數(shù)字對(duì)文件進(jìn)行擦除。圖31為部分代碼：圖31路徑存放到inList中；否則存放到outList表4inList中的文件，可見(jiàn)攻均為8.03kb。圖32圖33而在關(guān)機(jī)后，由于MBR已經(jīng)被破壞，系統(tǒng)將不能完成自舉。樣本PE樣本PE88KB(90,112字節(jié)124KB(126,976字節(jié)從16類特定后綴的文件增加到18045108KB(110,592字節(jié)96KB(98,304字節(jié)增加定時(shí)啟動(dòng)功能，增加對(duì)進(jìn)程komut.exe的判斷，增加結(jié)束進(jìn)程sec_service.exe

表5盤的前256個(gè)扇區(qū)。（MBR圖34MBR圖35MBRWinMBRWinWin表6以下測(cè)試僅針對(duì)擦寫磁盤MBR后，樣本未將磁盤文件擦除的前提下所進(jìn)行的。我們對(duì)被樣本擦寫后PTDDPartitionTableDoctorMBR進(jìn)行重建，再對(duì)分區(qū)表進(jìn)圖36MBR圖37所有位置及大小，并將這些信息寫入到MBR扇區(qū)對(duì)應(yīng)位置。圖38MBR圖39bcdedit/set{default}devicepartition=c:bcdedit/set{default}devicepartition=c:bcdedit/set{default}detecthal1表7分區(qū)項(xiàng)1中的內(nèi)容無(wú)法進(jìn)行修復(fù)，也無(wú)法開(kāi)機(jī)；若只有MBR被擦寫，可以對(duì)其修復(fù)并正常開(kāi)機(jī)。圖40正如我們開(kāi)篇指出的那樣：這是一起以BlackEnergy等相關(guān)惡意代碼為主要攻擊工具；通過(guò)BOTNET體系進(jìn)行前期的資料采集和環(huán)境預(yù)置；以郵件發(fā)送惡意代碼載荷為最終攻擊的直接突破入口；通過(guò)遠(yuǎn)程控制SCADASCADA系統(tǒng)實(shí)現(xiàn)遲滯恢復(fù)和狀態(tài)致盲；以DDoS電話作為干擾，最后達(dá)成長(zhǎng)時(shí)間停電并制造整個(gè)社會(huì)混亂的具有信息戰(zhàn)水準(zhǔn)的網(wǎng)絡(luò)攻擊事件。烏克蘭國(guó)有電力公司W(wǎng)inCC（ndosMS08-067（RPC遠(yuǎn)程執(zhí)行漏洞）USB擺渡表8的開(kāi)源工具、1Day漏洞、傳統(tǒng)的宏病毒等等，也將更多地被用于對(duì)關(guān)鍵目標(biāo)的攻擊當(dāng)中。在商業(yè)軍火和IT管理者們來(lái)說(shuō)，需要走入“物理隔離”帶來(lái)的虛假安全感：時(shí)，烏克蘭停電事件則提醒我們，隨著儀表盤和操控面板被更多的PC設(shè)備替代。PC環(huán)境已經(jīng)在工業(yè)控制SCADA等PC節(jié)點(diǎn)失守，攻擊者幾乎可以為所欲為。為有效改善基礎(chǔ)設(shè)施體系中PCTCP/IP網(wǎng)絡(luò)，需要通過(guò)網(wǎng)絡(luò)捕獲與檢測(cè)、沙箱自動(dòng)化分析、白名單+安全合，改善IT治理；需要把更多更細(xì)膩的工作放到內(nèi)部的安全策略與管理以及外部供應(yīng)鏈安全等環(huán)節(jié)中附錄二：相關(guān)樣本DropbearSSHSHA-1:VBSSHA-1:XLSwithMacro201520151223201615201616201619看是否與工控相關(guān)組態(tài)、SCADA、HMI等軟件有關(guān)，并尋找更多相關(guān)樣本20161102016111力系統(tǒng)惡意軟件BlackEnergy樣本分析報(bào)告。2016111日-1520161142016117201611820161232016224烏克蘭媒體報(bào)道：Из-захакерскойатакиобесточилополовинуИвано-Франковскойобластиcys-centrum：КиберугрозаBlackEnergy2/3.ИсторияатакнакритическуюИТинфраструктуруУкраины/ru/news/blackenergy23ESET：BlackEnergybytheSSHBearDoor:attacksagainstUkrainiannewsmediaandelectricindustryBlackEnergytrojanstrikesagain:AttacksUkrainianelectricpowerBlackEnergyandtheUkrainianpoweroutage:WhatwereallyknowNewwaveofcyberattacksagainstUkrainianpowerindustryarstechnica報(bào)道：Firstknownhacker-causedpoweroutagesignalstroublingescalation/response/stuxnet/ReportontheWormStuxnetAttack維基百科：EquationGroup/wiki/EquationGroup/response/EquationpartofthecomponentanalysisofcryptographiciSIGHTdiscoverszero-dayvulnerabilityCVE-2014-4114usedinRussiancyber-espionagecampaignSSHDropBears7zJj2gs78FvHHIAn0H0Qgt0BDhVkHb/response/flame/AnalysisontheCurrentReportingontheCyberAttackinUkraineResultinginPowerOutagePotentialSampleofMalwarefromtheUkrainianCyberAttackUncoveredSANS:ConfirmationofaCoordinatedAttackontheUkrainianPowerGrid啟明星辰 /adlab/blackenergy%E6%94%BB%E5%87%BB%E8%87%B4%E4%B9%8C%E5%85%ce=tuicool&utm1223120151230萬(wàn)諾-弗蘭科夫斯克州附件周攻擊了遠(yuǎn)程管理系統(tǒng)”（220151231SANSICS3201611ICS非常嚴(yán)重的,必須小心處理,4201614 “weliveSecurity201614日稱，2015123TSN電視臺(tái)的報(bào)道，此次系烏克蘭停電的破壞性DisakilDisakilKillDisk6201615（rojan.Disakil的電腦在十月下旬被Disakil7201615SCADA工8201615的烏克蘭伊萬(wàn)諾-克蘭新聞通訊社TSN9201616據(jù)稱,黑客攻擊了位于烏克蘭伊萬(wàn)諾-弗蘭科夫斯克的電力系日有一半以上的地區(qū)停電幾小201617Sandworm團(tuán)隊(duì)與烏克蘭電力部“isightpartners”201617日稱，Sandworm團(tuán)隊(duì)，在歷史次事件與Sandworm團(tuán)隊(duì)聯(lián)系了BlackEnergy3，而201619SANSICS201619日明確宣稱,本次事件確定為“網(wǎng)絡(luò)協(xié)同攻擊”造成的烏克grid?utmsource=hsemail&utmmedium=email&utmcontent=25135530&hsenc=pO4lPcVAPgHLmDrj7w&2016114就證實(shí)了于2007年首先開(kāi)發(fā)的BlackEnergy惡意軟件包，是罪魁最初BlackEnergy是一個(gè)簡(jiǎn)單的木2016116惡意軟件有關(guān)但工控系統(tǒng)的確上月末，烏克蘭當(dāng)局控訴俄羅斯發(fā)動(dòng)網(wǎng)絡(luò)攻擊致使其大規(guī)模停20161192016120weliveSecurity網(wǎng)20日?qǐng)?bào)道，安全研究人員發(fā)現(xiàn)了2016131“Freebuf”2016131當(dāng)?shù)貢r(shí)間16:51和16:56分，兩封號(hào)稱從:“Ukrenergo”發(fā)送至 sp@.ua的201625