《工業(yè)控制系統(tǒng)信息安全》課件-第十二節(jié) 工業(yè)控制系統(tǒng)綜合案例

12前言工業(yè)控制系統(tǒng)信息安全事關(guān)工業(yè)生產(chǎn)運(yùn)行、國家經(jīng)濟(jì)安全和人民生命財產(chǎn)安全，并且工控系統(tǒng)廣泛應(yīng)用于生產(chǎn)生活的方方面面。一旦工業(yè)控制系統(tǒng)出現(xiàn)安全問題，勢必會給生產(chǎn)運(yùn)營者和國家經(jīng)濟(jì)安全帶來重大損失。當(dāng)前工控網(wǎng)絡(luò)安全事件頻發(fā)，安全形勢十分嚴(yán)峻，工業(yè)控制系統(tǒng)急需得到有效的安全防護(hù)。背景震網(wǎng)事件目前公認(rèn)的是，美國和以色列的特工通過U盤，植入了病毒。當(dāng)病毒成功被植入伊朗核設(shè)施的控制系統(tǒng)之后，病毒就開始了它的潛伏期。在一段時間的蟄伏過后，病毒開始蘇醒，開始展現(xiàn)它卓越的攻擊力。通過感染伊朗核設(shè)施中的工業(yè)控制程序，取得關(guān)鍵設(shè)備的控制權(quán)，并進(jìn)行偽裝?！熬W(wǎng)震”通過修改程序命令，讓生產(chǎn)濃縮鈾的離心機(jī)的異常加速，超越設(shè)計極限，致使離心機(jī)報廢。在病毒控制伊朗核設(shè)施的系統(tǒng)主動權(quán)后，通過修改程序指令，阻止報錯機(jī)制的正常運(yùn)行。即便離心機(jī)發(fā)生損壞，報錯指令也不會傳達(dá)，致使伊朗核設(shè)施的工作人員明明聽到「咚、咚、咚」的機(jī)器異常的聲音，但回頭看看屏幕顯示器卻顯示一切正常。系統(tǒng)現(xiàn)狀震網(wǎng)事件工控系統(tǒng)中通常會部署Safe系統(tǒng)（SIS），伊朗核設(shè)施工控系統(tǒng)中也部署了相關(guān)系統(tǒng)。當(dāng)現(xiàn)場的控制器和執(zhí)行器出現(xiàn)異常的時候Safe系統(tǒng)會運(yùn)行，防止事故發(fā)生。只有Safe系統(tǒng)被破壞的情況下，病毒才能夠隨意的控制離心機(jī)的轉(zhuǎn)速。伊朗的Safe系統(tǒng)部署可以使得過時且不可靠的離心機(jī)型號“IR-1”持續(xù)的運(yùn)轉(zhuǎn)。如果沒有它，離心機(jī)“IR-1”幾乎無用。Safe系統(tǒng)現(xiàn)狀現(xiàn)有的保障措施：伊朗核設(shè)施中存在大量離心機(jī)，若個別離心機(jī)發(fā)生故障，則可通過關(guān)閉離心機(jī)上的隔離截止閥門，將故障的離心機(jī)從現(xiàn)有的系統(tǒng)上隔離出來，而工藝流程仍然正常運(yùn)行。存在的隱患：隔離閥方案也會導(dǎo)致級聯(lián)系統(tǒng)的相關(guān)離心機(jī)運(yùn)行壓力升高。深層隱患：伊朗人在每一個鈾濃縮組里，都安裝了一個排氣閥門并用傳感器檢測。但此壓力疏導(dǎo)系統(tǒng)基于西門子S7-417系列工業(yè)控制器設(shè)計，這些控制器用來操控每個離心機(jī)上的閥門和壓力傳感器。病毒感染：震網(wǎng)病毒感染這些控制器，取得控制權(quán)。感染了病毒的控制器從真實(shí)的物理層斷開，合法的控制邏輯變成了病毒想讓他展現(xiàn)的樣子。病毒還需要控制展示給監(jiān)控中心的物理現(xiàn)場的檢測數(shù)據(jù)。病毒解析震網(wǎng)事件震網(wǎng)（Stuxnet）蠕蟲病毒，它的復(fù)雜程度遠(yuǎn)超一般電腦黑客的能力。這種病毒于2010年6月首次被檢測出來，是第一個專門定向攻擊真實(shí)世界中基礎(chǔ)（能源）設(shè)施的“蠕蟲”病毒，比如核電站、水壩、國家電網(wǎng)。病毒構(gòu)成震網(wǎng)病毒并不是一個而是一對。震網(wǎng)病毒的第一個變種“復(fù)雜功能”用來破壞用于保護(hù)離心機(jī)的Safe系統(tǒng)。而后，第二個變種“簡單功能”控制離心機(jī)的轉(zhuǎn)速，通過提高其轉(zhuǎn)速而起到破壞離心機(jī)的效果。如果沒有后來的“簡單功能”版本，老的震網(wǎng)病毒“復(fù)雜功能”可能至今沉睡在反病毒研究者的檔案中，并且不會被認(rèn)定為歷史上最具攻擊性的病毒之一。病毒解析震網(wǎng)事件病毒特點(diǎn)極具毒性和破壞力?！罢鹁W(wǎng)”代碼非常精密，主要有兩個功能，一是使伊朗的離心機(jī)運(yùn)行失控，二是掩蓋發(fā)生故障的情況，“謊報軍情”，以“正常運(yùn)轉(zhuǎn)”記錄回傳給管理部門，造成決策的誤判。在2011年2月的攻擊中，伊朗納坦茲鈾濃縮基地至少有1/5的離心機(jī)因感染該病毒而被迫關(guān)閉。具有精確制導(dǎo)的“網(wǎng)絡(luò)導(dǎo)彈”能力。它是專門針對工業(yè)控制系統(tǒng)編寫的惡意病毒，能夠利用Windows系統(tǒng)和西門子SIMATICWinCC系統(tǒng)的多個漏洞進(jìn)行攻擊，不再以刺探情報為己任，而是能根據(jù)指令，定向破壞伊朗離心機(jī)等要害目標(biāo)?！罢鹁W(wǎng)”采取了多種先進(jìn)技術(shù)，具有極強(qiáng)的隱身性。它打擊的對象是西門子公司的SIMATICWinCC監(jiān)控與數(shù)據(jù)采集（SCADA）系統(tǒng)。盡管這些系統(tǒng)都是獨(dú)立與網(wǎng)絡(luò)而自成體系運(yùn)行，也是“離線”操作的，但只要操作員將被病毒感染的U盤插入該系統(tǒng)USB接口，這種病毒就會在神不知鬼不覺的情況下取得該系統(tǒng)的控制權(quán)。病毒解析震網(wǎng)事件病毒分析（1）運(yùn)行環(huán)境Stuxnet蠕蟲在下列操作系統(tǒng)中可以激活運(yùn)行：Windows2000、WindowsServer2000、WindowsXP、WindowsServer2003WindowsVista、Windows7、WindowsServer2008。當(dāng)它發(fā)現(xiàn)自己運(yùn)行在非WindowsNT系列操作系統(tǒng)中，會即刻退出。被攻擊的軟件系統(tǒng)包括：SIMATICWinCC7.0、SIMATICWinCC6.2但不排除其他版本的WinCC被攻擊的可能。病毒解析震網(wǎng)事件（2）本地行為樣本被激活后，典型的運(yùn)行流程如圖所示。樣本首先判斷當(dāng)前操作系統(tǒng)類型，如果是Windows9X/ME，就直接退出。接下來加載一個DLL模塊，后續(xù)要執(zhí)行的代碼大部分都在其中。為了躲避反病毒軟件的監(jiān)視和查殺，樣本并不將DLL模塊釋放為磁盤文件，而是直接拷貝到內(nèi)存中，然后模擬正常的DLL加載過程。此后，樣本跳轉(zhuǎn)到被加載的DLL中執(zhí)行，衍生文件。病毒解析震網(wǎng)事件（2）本地行為具體而言，樣本先申請一塊內(nèi)存空間，然后Hookntdll.dll導(dǎo)出的6個系統(tǒng)函數(shù)：ZwMapViewOfSection，

ZwCreateSection

，ZwOpenFile，

ZwClose，

ZwQueryAttributesFile，

ZwQuerySection為此，樣本先修改自身進(jìn)程內(nèi)存映像中ntdll.dll模塊PE頭的保護(hù)屬性，然后將偏移0x40字節(jié)處的一段數(shù)據(jù)改寫為跳轉(zhuǎn)代碼表，用以實(shí)現(xiàn)對上述函數(shù)的hook。進(jìn)而，樣本就可以使用修改過的ZwCreateSection在內(nèi)存空間中創(chuàng)建一個新的PE節(jié)，并將要加載的DLL模塊拷貝到內(nèi)存，最后使用LoadLibraryW來獲取模塊句柄。此后，樣本跳轉(zhuǎn)到被加載的DLL中執(zhí)行，衍生下列文件：(DLL加載在內(nèi)存空間中)病毒解析震網(wǎng)事件（2）本地行為其中有兩個驅(qū)動程序mrxcls.sys和mrxnet.sys，分別被注冊成名為MRXCLS和MRXNET的系統(tǒng)服務(wù)，實(shí)現(xiàn)開機(jī)自啟動。這兩個驅(qū)動程序都使用了Rootkit技術(shù)，并使用了數(shù)字簽名。mrxcls.sys負(fù)責(zé)查找主機(jī)中安裝的WinCC系統(tǒng)，并進(jìn)行攻擊。具體地說，它監(jiān)控系統(tǒng)進(jìn)程的鏡像加載操作，將存儲%Windir%\inf\oem7A.PNF中的一個模塊注入到services.exe、S7tgtopx.exe、CCProjectMgr.exe三個進(jìn)程中，后兩者是WinCC系統(tǒng)運(yùn)行時的進(jìn)程。mrxnet.sys通過修改一些內(nèi)核調(diào)用來隱藏被拷貝到U盤的lnk文件和DLL文件病毒解析震網(wǎng)事件攻擊邏輯（1）快捷方式文件解析漏洞（MS10-046）這個漏洞利用Windows在解析快捷方式文件（例如.lnk文件）時的系統(tǒng)機(jī)制缺陷，使系統(tǒng)加載攻擊者指定的DLL文件，從而觸發(fā)攻擊行為。具體而言，Windows在顯示快捷方式文件時，會根據(jù)文件中的結(jié)構(gòu)信息尋找它所需的圖標(biāo)資源，并將其作為文件的圖標(biāo)展現(xiàn)給用戶。如果圖標(biāo)資源在一個DLL文件中，系統(tǒng)就會加載這個DLL文件。攻擊者可以構(gòu)造一個這樣快捷方式文件，使系統(tǒng)加載他指定的惡意DLL文件，從而觸發(fā)后者中的惡意代碼。快捷方式文件的顯示是系統(tǒng)自動執(zhí)行，無需用戶交互，因此漏洞的利用效果很好。病毒解析震網(wǎng)事件Stuxnet蠕蟲搜索計算機(jī)中的可移動存儲設(shè)備。一旦發(fā)現(xiàn)，就將快捷方式文件和DLL文件拷貝到其中。如果用戶將這個設(shè)備再插入到內(nèi)部網(wǎng)絡(luò)中的計算機(jī)上使用，就會觸發(fā)漏洞，從而實(shí)現(xiàn)所謂的“擺渡”攻擊，即利用移動存儲設(shè)備對物理隔離網(wǎng)絡(luò)的滲入。查找U盤拷貝文件到U盤拷貝到U盤的DLL文件有兩個：~wtr4132.tmp和~wtr4141.tmp。后者Hook了kernel32.dll和ntdll.dll中的下列導(dǎo)出函數(shù)：實(shí)現(xiàn)對U盤中l(wèi)nk文件和DLL文件的隱藏。病毒解析震網(wǎng)事件因此，Stuxnet一共使用了兩種措施（內(nèi)核態(tài)驅(qū)動程序、用戶態(tài)HookAPI）來實(shí)現(xiàn)對U盤文件的隱藏，使攻擊過程很難被用戶發(fā)覺，也能一定程度上躲避殺毒軟件的掃描。病毒解析震網(wǎng)事件（2）RPC遠(yuǎn)程執(zhí)行漏洞（MS08-067）與提升權(quán)限漏洞這是2008年爆發(fā)的最嚴(yán)重的一個微軟操作系統(tǒng)漏洞，具有利用簡單、波及范圍廣、危害程度高等特點(diǎn)。具體而言，存在此漏洞的系統(tǒng)收到精心構(gòu)造的RPC請求時，可能允許遠(yuǎn)程執(zhí)行代碼。在Windows2000、WindowsXP和WindowsServer2003系統(tǒng)中，利用這一漏洞，攻擊者可以通過發(fā)送惡意構(gòu)造的網(wǎng)絡(luò)包直接發(fā)起攻擊，無需通過認(rèn)證地運(yùn)行任意代碼，并且獲取完整的權(quán)限。因此該漏洞常被蠕蟲用于大規(guī)模的傳播和攻擊。病毒解析震網(wǎng)事件Stuxnet蠕蟲利用這個漏洞實(shí)現(xiàn)在內(nèi)部局域網(wǎng)中的傳播。利用這一漏洞時，如果權(quán)限不夠?qū)е率?，還會使用一個尚未公開的漏洞來提升自身權(quán)限，然后再次嘗試攻擊。截止本報告發(fā)布，微軟尚未給出該提權(quán)漏洞的解決方案。病毒解析震網(wǎng)事件（3）打印機(jī)后臺程序服務(wù)漏洞（MS10-061）這是一個0day漏洞，首先發(fā)現(xiàn)于Stuxnet蠕蟲中。Windows打印后臺程序沒有合理地設(shè)置用戶權(quán)限。攻擊者可以通過提交精心構(gòu)造的打印請求，將文件發(fā)送到暴露了打印后臺程序接口的主機(jī)的%System32%目錄中。成功利用這個漏洞可以以系統(tǒng)權(quán)限執(zhí)行任意代碼，從而實(shí)現(xiàn)傳播和攻擊。Stuxnet蠕蟲利用這個漏洞實(shí)現(xiàn)在內(nèi)部局域網(wǎng)中的傳播。如圖所示，它向目標(biāo)主機(jī)發(fā)送兩個文件：winsta.exe、sysnullevnt.mof。后者是微軟的一種托管對象格式（MOF）文件，在一些特定事件驅(qū)動下，它將執(zhí)行winsta.exe，也就是蠕蟲自身。利用打印服務(wù)漏洞病毒解析震網(wǎng)事件（4）攻擊行為Stuxnet蠕蟲查詢兩個注冊表鍵來判斷主機(jī)中是否安裝WinCC系統(tǒng)（圖8）：HKLM\SOFTWARE\SIEMENS\WinCC\SetupHKLM\SOFTWARE\SIEMENS\STEP7查詢注冊表，判斷是否安裝WinCC一旦發(fā)現(xiàn)WinCC系統(tǒng)，就利用其中的兩個漏洞展開攻擊：一是WinCC系統(tǒng)中存在一個硬編碼漏洞，保存了訪問數(shù)據(jù)庫的默認(rèn)賬戶名和密碼，Stuxnet利用這一漏洞嘗試訪問該系統(tǒng)的SQL數(shù)據(jù)庫。二是在WinCC需要使用的Step7工程中，在打開工程文件時，存在DLL加載策略上的缺陷，從而導(dǎo)致一種類似于“DLL預(yù)加載攻擊”的利用方式。病毒解析最終，Stuxnet通過替換Step7軟件中的s7otbxdx.dll，而將原來的同名文件修改為s7otbxsx.dll，并對這個文件的導(dǎo)出函數(shù)進(jìn)行一次封裝，從而實(shí)現(xiàn)對一些查詢、讀取函數(shù)的Hook。震網(wǎng)事件查詢WinCC的數(shù)據(jù)庫病毒解析震網(wǎng)事件它是專門針對工業(yè)控制系統(tǒng)編寫的惡意病毒，能夠利用Windows系統(tǒng)和西門子SIMATICWinCC系統(tǒng)的多個漏洞進(jìn)行攻擊，不再以刺探情報為己任，而是能根據(jù)指令，定向破壞伊朗離心機(jī)等要害目標(biāo)。壓力疏導(dǎo)系統(tǒng)基于西門子S7-417系列工業(yè)控制器設(shè)計，這些控制器用來操控每個離心機(jī)上的閥門和壓力傳感器。震網(wǎng)病毒感染這些控制器，并取得控制權(quán)。感染了震網(wǎng)病毒的控制器從真實(shí)的物理層斷開了，合法的控制邏輯變成了震網(wǎng)病毒想讓他展現(xiàn)的樣子?？刂齐x心機(jī)的轉(zhuǎn)速，通過提高其轉(zhuǎn)速而起到破壞離心機(jī)的效果。震網(wǎng)病毒以21秒為周期，記錄級聯(lián)保護(hù)系統(tǒng)的傳感器數(shù)據(jù)，然后在攻擊執(zhí)行時以固定的循環(huán)重復(fù)著21秒鐘的傳感器數(shù)據(jù)。在控制室，一切看起來都正常病毒解析震網(wǎng)事件本節(jié)綜合介紹樣本在上述復(fù)制、傳播、攻擊過程中，各文件的衍生關(guān)系。樣本的來源有多種可能。對原始樣本、通過RPC漏洞或打印服務(wù)漏洞傳播的樣本，都是exe文件，它在自己的.stud節(jié)中隱形加載模塊，名為“kernel32.dll.aslr.<隨機(jī)字>.dll”。對U盤傳播的樣本，當(dāng)系統(tǒng)顯示快捷方式文件時觸發(fā)漏洞，加~wtr4141.tmp文件，后者加載一個名為“shell32.dll.aslr.<隨機(jī)數(shù)字>.dll”的模塊，這個模塊將另一個文件~wtr4132.tmp加載為“kernel32.dll.aslr.<隨機(jī)字>.dll”。模塊“kernel32.dll.aslr.<隨機(jī)數(shù)字>.dll”負(fù)責(zé)實(shí)現(xiàn)后續(xù)的大部分攻擊行為，它導(dǎo)出了22個函數(shù)來完成惡意代碼的主要功能；在其資源節(jié)中，包含了一些衍生文件，它們以加密的形式被保存。其中，第16號導(dǎo)出函數(shù)用于衍生一些本地文件，包括資源編號201的mrxcls.sys和編號242的mrxnet.sys兩個驅(qū)動程序，以及4個.pnf文件。第17號導(dǎo)出函數(shù)用于攻擊WinCC系統(tǒng)的第二個漏洞，它釋放一個s7otbxdx.dll。第19號導(dǎo)出函數(shù)負(fù)責(zé)利用快捷方式解析漏洞進(jìn)行傳播。它釋放多個lnk文件和兩個擴(kuò)展名為tmp的DLL文件。第22號導(dǎo)出函數(shù)負(fù)責(zé)利用RPC漏洞和打印服務(wù)漏洞進(jìn)行傳播。它釋放的文件中，資源編號221的文件用于RPC攻擊、編號222的文件用于打印服務(wù)攻擊、編號250的文件用于提權(quán)。病毒解析震網(wǎng)事件樣本文件衍生的關(guān)系事件總結(jié)震網(wǎng)事件目前網(wǎng)絡(luò)攻擊多以獲取經(jīng)濟(jì)利益為主要目標(biāo)，但針對工業(yè)控制網(wǎng)絡(luò)和現(xiàn)場總線的攻擊，可能破壞企業(yè)重要裝置和設(shè)備的正常測控，由此引起的后果可能是災(zāi)難性的。針對工業(yè)控制網(wǎng)絡(luò)的攻擊可能破壞反應(yīng)器的正常溫度/壓力測控，導(dǎo)致反應(yīng)器超溫/超壓，最終就會導(dǎo)致沖料、起火甚至爆炸等災(zāi)難性事故，還可能造成次生災(zāi)害和人道主義災(zāi)難。因此，這種襲擊工業(yè)網(wǎng)絡(luò)的惡意代碼一般帶有信息武器的性質(zhì)，目標(biāo)是對重要工業(yè)企業(yè)的正常生產(chǎn)進(jìn)行干擾甚至嚴(yán)重破壞，其背景一般不是個人或者普通地下黑客組織。防護(hù)方案震網(wǎng)事件依據(jù)伊朗震網(wǎng)病毒攻擊的整個流程，可從病毒攻擊的各個環(huán)節(jié)進(jìn)行安全防護(hù)。安全防護(hù)需要實(shí)現(xiàn)以下六大防護(hù)效果，以達(dá)到從震網(wǎng)病毒傳播到攻擊的各個環(huán)節(jié)進(jìn)行有效防護(hù)。將采集操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、安防設(shè)備等網(wǎng)絡(luò)資產(chǎn)的脆弱性和安全事件信息結(jié)合數(shù)據(jù)關(guān)聯(lián)需要對各類工控網(wǎng)絡(luò)進(jìn)行安全檢查和風(fēng)險評估，對網(wǎng)絡(luò)資產(chǎn)、流量、廠區(qū)無線、惡意代碼、系統(tǒng)基線、異常網(wǎng)絡(luò)行為等方面進(jìn)行安全風(fēng)險評估能夠檢測出工業(yè)控制設(shè)備(例如PLC)、工業(yè)控制系統(tǒng)(例如DCS、SCADA)、工業(yè)控制網(wǎng)絡(luò)中的安全保護(hù)設(shè)備(例如工控防火墻、網(wǎng)關(guān))，以及工控軟件(例如WinCC)存在的各類已知漏洞和缺陷，能利用智能模糊測試引擎等多種手段來挖掘潛在的未知漏洞。能對常用工控協(xié)議做指令級監(jiān)測與審計根據(jù)業(yè)務(wù)判斷異常，能夠?qū)た鼐W(wǎng)絡(luò)中網(wǎng)絡(luò)攻擊、用戶誤操作、違規(guī)操作、設(shè)備非法接入以及蠕蟲病毒等惡意軟件的傳播進(jìn)行監(jiān)測和審計，實(shí)現(xiàn)對工控網(wǎng)絡(luò)環(huán)境實(shí)時監(jiān)測、實(shí)時告警、安全審計等功能?？梢蕴峁I(yè)協(xié)議的數(shù)據(jù)級深度過濾，阻斷來自網(wǎng)絡(luò)的病毒傳播、黑客攻擊等行為，提供Dos/DDos攻擊防護(hù)、異常數(shù)據(jù)包攻擊防護(hù)、掃描防護(hù)等功能，能夠有效防止網(wǎng)絡(luò)病毒擴(kuò)散，有效隔離病毒擴(kuò)散源。能夠?qū)I(yè)主機(jī)環(huán)境、應(yīng)用、主機(jī)接口外部設(shè)備、文件、網(wǎng)絡(luò)通信等，進(jìn)行安全檢查及安全過濾，對用戶操作、主機(jī)活動進(jìn)行記錄和審計；防范惡意攻擊，保障主機(jī)運(yùn)行安全。防護(hù)方案震網(wǎng)事件圖11-5方案網(wǎng)絡(luò)部署圖烏克蘭電力事件2015年12月23日，烏克蘭電力部門遭受到惡意代碼攻擊，烏克蘭新聞媒體TSN在24日報道稱：“至少有三個電力區(qū)域被攻擊，并于當(dāng)?shù)貢r間15時左右導(dǎo)致了數(shù)小時的停電事故”；攻擊者入侵了監(jiān)控管理系統(tǒng)，超過一半的地區(qū)和部分伊萬諾-弗蘭科夫斯克地區(qū)斷電幾個小時。Kyivoblenergo電力公司發(fā)布公告稱：“公司因遭到入侵，導(dǎo)致7個110KV的變電站和23個35KV的變電站出現(xiàn)故障，導(dǎo)致80000用戶斷電。烏克蘭電力事件系統(tǒng)現(xiàn)狀俄羅斯和其它前蘇聯(lián)加盟共和國大量存在110kV和35kV變電站，其監(jiān)控系統(tǒng)操作系統(tǒng)目前以Windows為主。需要指出的是，沒有任何操作系統(tǒng)能夠?qū)舭俜职佟懊庖摺?，任何關(guān)鍵位置的節(jié)點(diǎn)系統(tǒng)及其上的軟件與應(yīng)用，必然會面臨安全挑戰(zhàn)。1.存在通過惡意代碼直接對變電站系統(tǒng)的程序界面進(jìn)行控制的威脅2.存在通過惡意代碼偽造和篡改指令來控制電力設(shè)備的威脅當(dāng)攻擊者取得變電站

SCADA系統(tǒng)的控制權(quán)（如SCADA管理人員工作站點(diǎn)）后，可取得與SCADA操作人員完全一致的操作界面和操作權(quán)限（包括鍵盤輸入、鼠標(biāo)點(diǎn)擊、行命令執(zhí)行以及更復(fù)雜的基于界面交互的配置操作），操作員在本地的各種鑒權(quán)操作（如登錄口令等），也是可以被攻擊者通過技術(shù)手段獲取的，而采用USBKEY等登錄認(rèn)證方式的USB設(shè)備，也可能是默認(rèn)接入在設(shè)備上的。除直接操作界面這種方式外，攻擊者還可以通過本地調(diào)用API接口、或從網(wǎng)絡(luò)上劫持等方式，直接偽造和篡改指令來控制電力設(shè)備。目前變電站SCADA站控層之下的通信網(wǎng)絡(luò)，并無特別設(shè)計的安全加密通信協(xié)議。當(dāng)攻擊者獲取不同位置的控制權(quán)（如SCADA站控層PC、生產(chǎn)網(wǎng)絡(luò)相關(guān)網(wǎng)絡(luò)設(shè)備等）后，可以直接構(gòu)造和篡改SCADA監(jiān)控軟件與間隔層設(shè)備的通信烏克蘭電力事件病毒解析BlackEnergy是一種頗為流行的攻擊工具，主要用于實(shí)施自動化犯罪活動，通常販賣于俄羅斯的地下網(wǎng)絡(luò)，其最早出現(xiàn)的時間可追溯到2007年。BlackEnergy1，主要用于實(shí)施DDoS攻擊。BlackEnergy2依然是一個具備DDoS功能的僵尸網(wǎng)絡(luò)程序，該樣本新增類加密軟件以對自身加密處理，防止反病毒軟件查殺。并且已經(jīng)出現(xiàn)新的變種稱之為BlackEnergy3，但目前對該版本的攻擊事件，還并不常見。烏克蘭電力事件病毒解析攻擊組件多樣BlackEnergy組件是DLL庫文件，一般通過加密方式發(fā)送到僵尸程序，一旦組件DLL被接收和解密，將被置于分配的內(nèi)存中。然后等待相應(yīng)的命令。例如：可以通過組件發(fā)送垃圾郵件、竊取用戶機(jī)密信息、建立代理服務(wù)器、伺機(jī)發(fā)動DDoS攻擊等。烏克蘭電力事件病毒解析攻擊邏輯首先攻擊者在一封郵件中嵌入一個惡意文檔發(fā)送給目標(biāo)，如果目標(biāo)主機(jī)存在安全隱患，則在打開附件時就會自動運(yùn)行宏代碼，附件（Excel）打開，為了誘導(dǎo)受害者啟用宏，攻擊者還使用烏克蘭語進(jìn)行了提醒，圖中文字含義為：“注意！該文檔由較新版本的Office創(chuàng)建，為顯示文檔內(nèi)容，必須啟用宏?！苯?jīng)分析人員對宏代碼進(jìn)行提取分析，發(fā)現(xiàn)宏代碼主要分為兩個部分，首先通過25個函數(shù)定義768個數(shù)組，在數(shù)組中寫入二進(jìn)制數(shù)據(jù)（PE文件）備用。然后通過一個循環(huán)將二進(jìn)制數(shù)據(jù)寫入到指定的磁盤文件，對應(yīng)的路徑為：%TEMP%\vba_macro.exe，隨后執(zhí)行此文件，即BlackEnergyDropper，在經(jīng)過多次解密后，其會釋放BlackEnergy，并利用

BlackEnergy下載插件對系統(tǒng)進(jìn)行攻擊。烏克蘭電力事件攻擊剖析這是一起以BlackEnergy等相關(guān)惡意代碼為主要攻擊工具，通過BOTNET體系進(jìn)行前期的資料采集和環(huán)境預(yù)置；以郵件發(fā)送惡意代碼載荷為最終攻擊的直接突破入口，通過遠(yuǎn)程控制制SCADA節(jié)點(diǎn)下達(dá)指令為斷電手段；以摧毀破壞SCADA系統(tǒng)實(shí)現(xiàn)遲滯恢復(fù)和狀態(tài)致盲；以DDoS電話作為干擾，最后達(dá)成長時間停電并制造整個社會混亂的具有信息戰(zhàn)水準(zhǔn)的網(wǎng)絡(luò)攻擊事件。BlackEnergy攻擊事件主要針對三種HMI產(chǎn)品展開攻擊：GECimplicity、Advantech/BroadwinWebAccess、西門子WinCC。（1）通過程序惡意破壞HMI這種軟件監(jiān)視管理系統(tǒng)，監(jiān)視管理系統(tǒng)都是被安裝在商業(yè)的操作系統(tǒng)當(dāng)中(很多企業(yè)當(dāng)中還用的是WindowsXP)。很容易通過0day進(jìn)入操作系統(tǒng)后對監(jiān)視管理軟件進(jìn)行惡意破壞。（2）通過U盤帶入傳播。很多工控系統(tǒng)的維護(hù)是由第三方公司來完成的，而第三方公司的工程師一般是用自帶U盤來攜帶維護(hù)和檢測工具的。（3）使用PLCRootkit感染可編程邏輯控制器PLC。典型的如震網(wǎng)Stuxnet蠕蟲。可以感染西門子公司的SIMATICWinCC7.0和SIMATICWincc6.2兩個版本的PLC組件。主要攻擊目標(biāo)烏克蘭電力系統(tǒng)關(guān)聯(lián)被攻擊目標(biāo)烏克蘭最大機(jī)場基輔鮑里斯波爾機(jī)場烏克蘭礦業(yè)公司烏克蘭鐵路運(yùn)營商烏克蘭國有電力公司UKrenergo烏克蘭TBS電視臺作用目標(biāo)辦公機(jī)（Windows）、上位機(jī)（Windows）核心攻擊原理通過控制SCADA系統(tǒng)直接下達(dá)斷電指令攻擊入口郵件發(fā)送帶有惡意代碼宏的文檔抗分析能力相對比較簡單，易于分析惡意代碼模塊情況模塊體系，具有復(fù)用性攻擊成本相對較低烏克蘭電力事件安全防護(hù)工控主機(jī)防護(hù)系統(tǒng)安全防護(hù)范圍工控主機(jī)防護(hù)系統(tǒng)采用基于內(nèi)核的安全機(jī)制為核心技術(shù)，以白名單為主要思路，對主機(jī)環(huán)境、應(yīng)用、主機(jī)接口外部設(shè)備、文件、網(wǎng)絡(luò)通信等，進(jìn)行安全檢查及安全過濾，對用戶操作、主機(jī)活動進(jìn)行記錄和審計；通過最小權(quán)限的細(xì)粒度安全配置策略，實(shí)現(xiàn)主機(jī)及應(yīng)用運(yùn)行在可信環(huán)境之中