《工業(yè)控制系統(tǒng)信息安全》課件-第十二節(jié) 工業(yè)控制系統(tǒng)綜合案例

12前言工業(yè)控制系統(tǒng)信息安全事關(guān)工業(yè)生產(chǎn)運(yùn)行、國(guó)家經(jīng)濟(jì)安全和人民生命財(cái)產(chǎn)安全，并且工控系統(tǒng)廣泛應(yīng)用于生產(chǎn)生活的方方面面。一旦工業(yè)控制系統(tǒng)出現(xiàn)安全問(wèn)題，勢(shì)必會(huì)給生產(chǎn)運(yùn)營(yíng)者和國(guó)家經(jīng)濟(jì)安全帶來(lái)重大損失。當(dāng)前工控網(wǎng)絡(luò)安全事件頻發(fā)，安全形勢(shì)十分嚴(yán)峻，工業(yè)控制系統(tǒng)急需得到有效的安全防護(hù)。背景震網(wǎng)事件目前公認(rèn)的是，美國(guó)和以色列的特工通過(guò)U盤(pán)，植入了病毒。當(dāng)病毒成功被植入伊朗核設(shè)施的控制系統(tǒng)之后，病毒就開(kāi)始了它的潛伏期。在一段時(shí)間的蟄伏過(guò)后，病毒開(kāi)始蘇醒，開(kāi)始展現(xiàn)它卓越的攻擊力。通過(guò)感染伊朗核設(shè)施中的工業(yè)控制程序，取得關(guān)鍵設(shè)備的控制權(quán)，并進(jìn)行偽裝。“網(wǎng)震”通過(guò)修改程序命令，讓生產(chǎn)濃縮鈾的離心機(jī)的異常加速，超越設(shè)計(jì)極限，致使離心機(jī)報(bào)廢。在病毒控制伊朗核設(shè)施的系統(tǒng)主動(dòng)權(quán)后，通過(guò)修改程序指令，阻止報(bào)錯(cuò)機(jī)制的正常運(yùn)行。即便離心機(jī)發(fā)生損壞，報(bào)錯(cuò)指令也不會(huì)傳達(dá)，致使伊朗核設(shè)施的工作人員明明聽(tīng)到「咚、咚、咚」的機(jī)器異常的聲音，但回頭看看屏幕顯示器卻顯示一切正常。系統(tǒng)現(xiàn)狀震網(wǎng)事件工控系統(tǒng)中通常會(huì)部署Safe系統(tǒng)（SIS），伊朗核設(shè)施工控系統(tǒng)中也部署了相關(guān)系統(tǒng)。當(dāng)現(xiàn)場(chǎng)的控制器和執(zhí)行器出現(xiàn)異常的時(shí)候Safe系統(tǒng)會(huì)運(yùn)行，防止事故發(fā)生。只有Safe系統(tǒng)被破壞的情況下，病毒才能夠隨意的控制離心機(jī)的轉(zhuǎn)速。伊朗的Safe系統(tǒng)部署可以使得過(guò)時(shí)且不可靠的離心機(jī)型號(hào)“IR-1”持續(xù)的運(yùn)轉(zhuǎn)。如果沒(méi)有它，離心機(jī)“IR-1”幾乎無(wú)用。Safe系統(tǒng)現(xiàn)狀現(xiàn)有的保障措施：伊朗核設(shè)施中存在大量離心機(jī)，若個(gè)別離心機(jī)發(fā)生故障，則可通過(guò)關(guān)閉離心機(jī)上的隔離截止閥門(mén)，將故障的離心機(jī)從現(xiàn)有的系統(tǒng)上隔離出來(lái)，而工藝流程仍然正常運(yùn)行。存在的隱患：隔離閥方案也會(huì)導(dǎo)致級(jí)聯(lián)系統(tǒng)的相關(guān)離心機(jī)運(yùn)行壓力升高。深層隱患：伊朗人在每一個(gè)鈾濃縮組里，都安裝了一個(gè)排氣閥門(mén)并用傳感器檢測(cè)。但此壓力疏導(dǎo)系統(tǒng)基于西門(mén)子S7-417系列工業(yè)控制器設(shè)計(jì)，這些控制器用來(lái)操控每個(gè)離心機(jī)上的閥門(mén)和壓力傳感器。病毒感染：震網(wǎng)病毒感染這些控制器，取得控制權(quán)。感染了病毒的控制器從真實(shí)的物理層斷開(kāi)，合法的控制邏輯變成了病毒想讓他展現(xiàn)的樣子。病毒還需要控制展示給監(jiān)控中心的物理現(xiàn)場(chǎng)的檢測(cè)數(shù)據(jù)。病毒解析震網(wǎng)事件震網(wǎng)（Stuxnet）蠕蟲(chóng)病毒，它的復(fù)雜程度遠(yuǎn)超一般電腦黑客的能力。這種病毒于2010年6月首次被檢測(cè)出來(lái)，是第一個(gè)專門(mén)定向攻擊真實(shí)世界中基礎(chǔ)（能源）設(shè)施的“蠕蟲(chóng)”病毒，比如核電站、水壩、國(guó)家電網(wǎng)。病毒構(gòu)成震網(wǎng)病毒并不是一個(gè)而是一對(duì)。震網(wǎng)病毒的第一個(gè)變種“復(fù)雜功能”用來(lái)破壞用于保護(hù)離心機(jī)的Safe系統(tǒng)。而后，第二個(gè)變種“簡(jiǎn)單功能”控制離心機(jī)的轉(zhuǎn)速，通過(guò)提高其轉(zhuǎn)速而起到破壞離心機(jī)的效果。如果沒(méi)有后來(lái)的“簡(jiǎn)單功能”版本，老的震網(wǎng)病毒“復(fù)雜功能”可能至今沉睡在反病毒研究者的檔案中，并且不會(huì)被認(rèn)定為歷史上最具攻擊性的病毒之一。病毒解析震網(wǎng)事件病毒特點(diǎn)極具毒性和破壞力?！罢鹁W(wǎng)”代碼非常精密，主要有兩個(gè)功能，一是使伊朗的離心機(jī)運(yùn)行失控，二是掩蓋發(fā)生故障的情況，“謊報(bào)軍情”，以“正常運(yùn)轉(zhuǎn)”記錄回傳給管理部門(mén)，造成決策的誤判。在2011年2月的攻擊中，伊朗納坦茲鈾濃縮基地至少有1/5的離心機(jī)因感染該病毒而被迫關(guān)閉。具有精確制導(dǎo)的“網(wǎng)絡(luò)導(dǎo)彈”能力。它是專門(mén)針對(duì)工業(yè)控制系統(tǒng)編寫(xiě)的惡意病毒，能夠利用Windows系統(tǒng)和西門(mén)子SIMATICWinCC系統(tǒng)的多個(gè)漏洞進(jìn)行攻擊，不再以刺探情報(bào)為己任，而是能根據(jù)指令，定向破壞伊朗離心機(jī)等要害目標(biāo)?！罢鹁W(wǎng)”采取了多種先進(jìn)技術(shù)，具有極強(qiáng)的隱身性。它打擊的對(duì)象是西門(mén)子公司的SIMATICWinCC監(jiān)控與數(shù)據(jù)采集（SCADA）系統(tǒng)。盡管這些系統(tǒng)都是獨(dú)立與網(wǎng)絡(luò)而自成體系運(yùn)行，也是“離線”操作的，但只要操作員將被病毒感染的U盤(pán)插入該系統(tǒng)USB接口，這種病毒就會(huì)在神不知鬼不覺(jué)的情況下取得該系統(tǒng)的控制權(quán)。病毒解析震網(wǎng)事件病毒分析（1）運(yùn)行環(huán)境Stuxnet蠕蟲(chóng)在下列操作系統(tǒng)中可以激活運(yùn)行：Windows2000、WindowsServer2000、WindowsXP、WindowsServer2003WindowsVista、Windows7、WindowsServer2008。當(dāng)它發(fā)現(xiàn)自己運(yùn)行在非WindowsNT系列操作系統(tǒng)中，會(huì)即刻退出。被攻擊的軟件系統(tǒng)包括：SIMATICWinCC7.0、SIMATICWinCC6.2但不排除其他版本的WinCC被攻擊的可能。病毒解析震網(wǎng)事件（2）本地行為樣本被激活后，典型的運(yùn)行流程如圖所示。樣本首先判斷當(dāng)前操作系統(tǒng)類(lèi)型，如果是Windows9X/ME，就直接退出。接下來(lái)加載一個(gè)DLL模塊，后續(xù)要執(zhí)行的代碼大部分都在其中。為了躲避反病毒軟件的監(jiān)視和查殺，樣本并不將DLL模塊釋放為磁盤(pán)文件，而是直接拷貝到內(nèi)存中，然后模擬正常的DLL加載過(guò)程。此后，樣本跳轉(zhuǎn)到被加載的DLL中執(zhí)行，衍生文件。病毒解析震網(wǎng)事件（2）本地行為具體而言，樣本先申請(qǐng)一塊內(nèi)存空間，然后Hookntdll.dll導(dǎo)出的6個(gè)系統(tǒng)函數(shù)：ZwMapViewOfSection，

ZwCreateSection

，ZwOpenFile，

ZwClose，

ZwQueryAttributesFile，

ZwQuerySection為此，樣本先修改自身進(jìn)程內(nèi)存映像中ntdll.dll模塊PE頭的保護(hù)屬性，然后將偏移0x40字節(jié)處的一段數(shù)據(jù)改寫(xiě)為跳轉(zhuǎn)代碼表，用以實(shí)現(xiàn)對(duì)上述函數(shù)的hook。進(jìn)而，樣本就可以使用修改過(guò)的ZwCreateSection在內(nèi)存空間中創(chuàng)建一個(gè)新的PE節(jié)，并將要加載的DLL模塊拷貝到內(nèi)存，最后使用LoadLibraryW來(lái)獲取模塊句柄。此后，樣本跳轉(zhuǎn)到被加載的DLL中執(zhí)行，衍生下列文件：(DLL加載在內(nèi)存空間中)病毒解析震網(wǎng)事件（2）本地行為其中有兩個(gè)驅(qū)動(dòng)程序mrxcls.sys和mrxnet.sys，分別被注冊(cè)成名為MRXCLS和MRXNET的系統(tǒng)服務(wù)，實(shí)現(xiàn)開(kāi)機(jī)自啟動(dòng)。這兩個(gè)驅(qū)動(dòng)程序都使用了Rootkit技術(shù)，并使用了數(shù)字簽名。mrxcls.sys負(fù)責(zé)查找主機(jī)中安裝的WinCC系統(tǒng)，并進(jìn)行攻擊。具體地說(shuō)，它監(jiān)控系統(tǒng)進(jìn)程的鏡像加載操作，將存儲(chǔ)%Windir%\inf\oem7A.PNF中的一個(gè)模塊注入到services.exe、S7tgtopx.exe、CCProjectMgr.exe三個(gè)進(jìn)程中，后兩者是WinCC系統(tǒng)運(yùn)行時(shí)的進(jìn)程。mrxnet.sys通過(guò)修改一些內(nèi)核調(diào)用來(lái)隱藏被拷貝到U盤(pán)的lnk文件和DLL文件病毒解析震網(wǎng)事件攻擊邏輯（1）快捷方式文件解析漏洞（MS10-046）這個(gè)漏洞利用Windows在解析快捷方式文件（例如.lnk文件）時(shí)的系統(tǒng)機(jī)制缺陷，使系統(tǒng)加載攻擊者指定的DLL文件，從而觸發(fā)攻擊行為。具體而言，Windows在顯示快捷方式文件時(shí)，會(huì)根據(jù)文件中的結(jié)構(gòu)信息尋找它所需的圖標(biāo)資源，并將其作為文件的圖標(biāo)展現(xiàn)給用戶。如果圖標(biāo)資源在一個(gè)DLL文件中，系統(tǒng)就會(huì)加載這個(gè)DLL文件。攻擊者可以構(gòu)造一個(gè)這樣快捷方式文件，使系統(tǒng)加載他指定的惡意DLL文件，從而觸發(fā)后者中的惡意代碼?？旖莘绞轿募娘@示是系統(tǒng)自動(dòng)執(zhí)行，無(wú)需用戶交互，因此漏洞的利用效果很好。病毒解析震網(wǎng)事件Stuxnet蠕蟲(chóng)搜索計(jì)算機(jī)中的可移動(dòng)存儲(chǔ)設(shè)備。一旦發(fā)現(xiàn)，就將快捷方式文件和DLL文件拷貝到其中。如果用戶將這個(gè)設(shè)備再插入到內(nèi)部網(wǎng)絡(luò)中的計(jì)算機(jī)上使用，就會(huì)觸發(fā)漏洞，從而實(shí)現(xiàn)所謂的“擺渡”攻擊，即利用移動(dòng)存儲(chǔ)設(shè)備對(duì)物理隔離網(wǎng)絡(luò)的滲入。查找U盤(pán)拷貝文件到U盤(pán)拷貝到U盤(pán)的DLL文件有兩個(gè)：~wtr4132.tmp和~wtr4141.tmp。后者Hook了kernel32.dll和ntdll.dll中的下列導(dǎo)出函數(shù)：實(shí)現(xiàn)對(duì)U盤(pán)中l(wèi)nk文件和DLL文件的隱藏。病毒解析震網(wǎng)事件因此，Stuxnet一共使用了兩種措施（內(nèi)核態(tài)驅(qū)動(dòng)程序、用戶態(tài)HookAPI）來(lái)實(shí)現(xiàn)對(duì)U盤(pán)文件的隱藏，使攻擊過(guò)程很難被用戶發(fā)覺(jué)，也能一定程度上躲避殺毒軟件的掃描。病毒解析震網(wǎng)事件（2）RPC遠(yuǎn)程執(zhí)行漏洞（MS08-067）與提升權(quán)限漏洞這是2008年爆發(fā)的最嚴(yán)重的一個(gè)微軟操作系統(tǒng)漏洞，具有利用簡(jiǎn)單、波及范圍廣、危害程度高等特點(diǎn)。具體而言，存在此漏洞的系統(tǒng)收到精心構(gòu)造的RPC請(qǐng)求時(shí)，可能允許遠(yuǎn)程執(zhí)行代碼。在Windows2000、WindowsXP和WindowsServer2003系統(tǒng)中，利用這一漏洞，攻擊者可以通過(guò)發(fā)送惡意構(gòu)造的網(wǎng)絡(luò)包直接發(fā)起攻擊，無(wú)需通過(guò)認(rèn)證地運(yùn)行任意代碼，并且獲取完整的權(quán)限。因此該漏洞常被蠕蟲(chóng)用于大規(guī)模的傳播和攻擊。病毒解析震網(wǎng)事件Stuxnet蠕蟲(chóng)利用這個(gè)漏洞實(shí)現(xiàn)在內(nèi)部局域網(wǎng)中的傳播。利用這一漏洞時(shí)，如果權(quán)限不夠?qū)е率。€會(huì)使用一個(gè)尚未公開(kāi)的漏洞來(lái)提升自身權(quán)限，然后再次嘗試攻擊。截止本報(bào)告發(fā)布，微軟尚未給出該提權(quán)漏洞的解決方案。病毒解析震網(wǎng)事件（3）打印機(jī)后臺(tái)程序服務(wù)漏洞（MS10-061）這是一個(gè)0day漏洞，首先發(fā)現(xiàn)于Stuxnet蠕蟲(chóng)中。Windows打印后臺(tái)程序沒(méi)有合理地設(shè)置用戶權(quán)限。攻擊者可以通過(guò)提交精心構(gòu)造的打印請(qǐng)求，將文件發(fā)送到暴露了打印后臺(tái)程序接口的主機(jī)的%System32%目錄中。成功利用這個(gè)漏洞可以以系統(tǒng)權(quán)限執(zhí)行任意代碼，從而實(shí)現(xiàn)傳播和攻擊。Stuxnet蠕蟲(chóng)利用這個(gè)漏洞實(shí)現(xiàn)在內(nèi)部局域網(wǎng)中的傳播。如圖所示，它向目標(biāo)主機(jī)發(fā)送兩個(gè)文件：winsta.exe、sysnullevnt.mof。后者是微軟的一種托管對(duì)象格式（MOF）文件，在一些特定事件驅(qū)動(dòng)下，它將執(zhí)行winsta.exe，也就是蠕蟲(chóng)自身。利用打印服務(wù)漏洞病毒解析震網(wǎng)事件（4）攻擊行為Stuxnet蠕蟲(chóng)查詢兩個(gè)注冊(cè)表鍵來(lái)判斷主機(jī)中是否安裝WinCC系統(tǒng)（圖8）：HKLM\SOFTWARE\SIEMENS\WinCC\SetupHKLM\SOFTWARE\SIEMENS\STEP7查詢注冊(cè)表，判斷是否安裝WinCC一旦發(fā)現(xiàn)WinCC系統(tǒng)，就利用其中的兩個(gè)漏洞展開(kāi)攻擊：一是WinCC系統(tǒng)中存在一個(gè)硬編碼漏洞，保存了訪問(wèn)數(shù)據(jù)庫(kù)的默認(rèn)賬戶名和密碼，Stuxnet利用這一漏洞嘗試訪問(wèn)該系統(tǒng)的SQL數(shù)據(jù)庫(kù)。二是在WinCC需要使用的Step7工程中，在打開(kāi)工程文件時(shí)，存在DLL加載策略上的缺陷，從而導(dǎo)致一種類(lèi)似于“DLL預(yù)加載攻擊”的利用方式。病毒解析最終，Stuxnet通過(guò)替換Step7軟件中的s7otbxdx.dll，而將原來(lái)的同名文件修改為s7otbxsx.dll，并對(duì)這個(gè)文件的導(dǎo)出函數(shù)進(jìn)行一次封裝，從而實(shí)現(xiàn)對(duì)一些查詢、讀取函數(shù)的Hook。震網(wǎng)事件查詢WinCC的數(shù)據(jù)庫(kù)病毒解析震網(wǎng)事件它是專門(mén)針對(duì)工業(yè)控制系統(tǒng)編寫(xiě)的惡意病毒，能夠利用Windows系統(tǒng)和西門(mén)子SIMATICWinCC系統(tǒng)的多個(gè)漏洞進(jìn)行攻擊，不再以刺探情報(bào)為己任，而是能根據(jù)指令，定向破壞伊朗離心機(jī)等要害目標(biāo)。壓力疏導(dǎo)系統(tǒng)基于西門(mén)子S7-417系列工業(yè)控制器設(shè)計(jì)，這些控制器用來(lái)操控每個(gè)離心機(jī)上的閥門(mén)和壓力傳感器。震網(wǎng)病毒感染這些控制器，并取得控制權(quán)。感染了震網(wǎng)病毒的控制器從真實(shí)的物理層斷開(kāi)了，合法的控制邏輯變成了震網(wǎng)病毒想讓他展現(xiàn)的樣子?？刂齐x心機(jī)的轉(zhuǎn)速，通過(guò)提高其轉(zhuǎn)速而起到破壞離心機(jī)的效果。震網(wǎng)病毒以21秒為周期，記錄級(jí)聯(lián)保護(hù)系統(tǒng)的傳感器數(shù)據(jù)，然后在攻擊執(zhí)行時(shí)以固定的循環(huán)重復(fù)著21秒鐘的傳感器數(shù)據(jù)。在控制室，一切看起來(lái)都正常病毒解析震網(wǎng)事件本節(jié)綜合介紹樣本在上述復(fù)制、傳播、攻擊過(guò)程中，各文件的衍生關(guān)系。樣本的來(lái)源有多種可能。對(duì)原始樣本、通過(guò)RPC漏洞或打印服務(wù)漏洞傳播的樣本，都是exe文件，它在自己的.stud節(jié)中隱形加載模塊，名為“kernel32.dll.aslr.<隨機(jī)字>.dll”。對(duì)U盤(pán)傳播的樣本，當(dāng)系統(tǒng)顯示快捷方式文件時(shí)觸發(fā)漏洞，加~wtr4141.tmp文件，后者加載一個(gè)名為“shell32.dll.aslr.<隨機(jī)數(shù)字>.dll”的模塊，這個(gè)模塊將另一個(gè)文件~wtr4132.tmp加載為“kernel32.dll.aslr.<隨機(jī)字>.dll”。模塊“kernel32.dll.aslr.<隨機(jī)數(shù)字>.dll”負(fù)責(zé)實(shí)現(xiàn)后續(xù)的大部分攻擊行為，它導(dǎo)出了22個(gè)函數(shù)來(lái)完成惡意代碼的主要功能；在其資源節(jié)中，包含了一些衍生文件，它們以加密的形式被保存。其中，第16號(hào)導(dǎo)出函數(shù)用于衍生一些本地文件，包括資源編號(hào)201的mrxcls.sys和編號(hào)242的mrxnet.sys兩個(gè)驅(qū)動(dòng)程序，以及4個(gè).pnf文件。第17號(hào)導(dǎo)出函數(shù)用于攻擊WinCC系統(tǒng)的第二個(gè)漏洞，它釋放一個(gè)s7otbxdx.dll。第19號(hào)導(dǎo)出函數(shù)負(fù)責(zé)利用快捷方式解析漏洞進(jìn)行傳播。它釋放多個(gè)lnk文件和兩個(gè)擴(kuò)展名為tmp的DLL文件。第22號(hào)導(dǎo)出函數(shù)負(fù)責(zé)利用RPC漏洞和打印服務(wù)漏洞進(jìn)行傳播。它釋放的文件中，資源編號(hào)221的文件用于RPC攻擊、編號(hào)222的文件用于打印服務(wù)攻擊、編號(hào)250的文件用于提權(quán)。病毒解析震網(wǎng)事件樣本文件衍生的關(guān)系事件總結(jié)震網(wǎng)事件目前網(wǎng)絡(luò)攻擊多以獲取經(jīng)濟(jì)利益為主要目標(biāo)，但針對(duì)工業(yè)控制網(wǎng)絡(luò)和現(xiàn)場(chǎng)總線的攻擊，可能破壞企業(yè)重要裝置和設(shè)備的正常測(cè)控，由此引起的后果可能是災(zāi)難性的。針對(duì)工業(yè)控制網(wǎng)絡(luò)的攻擊可能破壞反應(yīng)器的正常溫度/壓力測(cè)控，導(dǎo)致反應(yīng)器超溫/超壓，最終就會(huì)導(dǎo)致沖料、起火甚至爆炸等災(zāi)難性事故，還可能造成次生災(zāi)害和人道主義災(zāi)難。因此，這種襲擊工業(yè)網(wǎng)絡(luò)的惡意代碼一般帶有信息武器的性質(zhì)，目標(biāo)是對(duì)重要工業(yè)企業(yè)的正常生產(chǎn)進(jìn)行干擾甚至嚴(yán)重破壞，其背景一般不是個(gè)人或者普通地下黑客組織。防護(hù)方案震網(wǎng)事件依據(jù)伊朗震網(wǎng)病毒攻擊的整個(gè)流程，可從病毒攻擊的各個(gè)環(huán)節(jié)進(jìn)行安全防護(hù)。安全防護(hù)需要實(shí)現(xiàn)以下六大防護(hù)效果，以達(dá)到從震網(wǎng)病毒傳播到攻擊的各個(gè)環(huán)節(jié)進(jìn)行有效防護(hù)。將采集操作系統(tǒng)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備、安防設(shè)備等網(wǎng)絡(luò)資產(chǎn)的脆弱性和安全事件信息結(jié)合數(shù)據(jù)關(guān)聯(lián)需要對(duì)各類(lèi)工控網(wǎng)絡(luò)進(jìn)行安全檢查和風(fēng)險(xiǎn)評(píng)估，對(duì)網(wǎng)絡(luò)資產(chǎn)、流量、廠區(qū)無(wú)線、惡意代碼、系統(tǒng)基線、異常網(wǎng)絡(luò)行為等方面進(jìn)行安全風(fēng)險(xiǎn)評(píng)估能夠檢測(cè)出工業(yè)控制設(shè)備(例如PLC)、工業(yè)控制系統(tǒng)(例如DCS、SCADA)、工業(yè)控制網(wǎng)絡(luò)中的安全保護(hù)設(shè)備(例如工控防火墻、網(wǎng)關(guān))，以及工控軟件(例如WinCC)存在的各類(lèi)已知漏洞和缺陷，能利用智能模糊測(cè)試引擎等多種手段來(lái)挖掘潛在的未知漏洞。能對(duì)常用工控協(xié)議做指令級(jí)監(jiān)測(cè)與審計(jì)根據(jù)業(yè)務(wù)判斷異常，能夠?qū)た鼐W(wǎng)絡(luò)中網(wǎng)絡(luò)攻擊、用戶誤操作、違規(guī)操作、設(shè)備非法接入以及蠕蟲(chóng)病毒等惡意軟件的傳播進(jìn)行監(jiān)測(cè)和審計(jì)，實(shí)現(xiàn)對(duì)工控網(wǎng)絡(luò)環(huán)境實(shí)時(shí)監(jiān)測(cè)、實(shí)時(shí)告警、安全審計(jì)等功能。可以提供對(duì)工業(yè)協(xié)議的數(shù)據(jù)級(jí)深度過(guò)濾，阻斷來(lái)自網(wǎng)絡(luò)的病毒傳播、黑客攻擊等行為，提供Dos/DDos攻擊防護(hù)、異常數(shù)據(jù)包攻擊防護(hù)、掃描防護(hù)等功能，能夠有效防止網(wǎng)絡(luò)病毒擴(kuò)散，有效隔離病毒擴(kuò)散源。能夠?qū)I(yè)主機(jī)環(huán)境、應(yīng)用、主機(jī)接口外部設(shè)備、文件、網(wǎng)絡(luò)通信等，進(jìn)行安全檢查及安全過(guò)濾，對(duì)用戶操作、主機(jī)活動(dòng)進(jìn)行記錄和審計(jì)；防范惡意攻擊，保障主機(jī)運(yùn)行安全。防護(hù)方案震網(wǎng)事件圖11-5方案網(wǎng)絡(luò)部署圖烏克蘭電力事件2015年12月23日，烏克蘭電力部門(mén)遭受到惡意代碼攻擊，烏克蘭新聞媒體TSN在24日?qǐng)?bào)道稱：“至少有三個(gè)電力區(qū)域被攻擊，并于當(dāng)?shù)貢r(shí)間15時(shí)左右導(dǎo)致了數(shù)小時(shí)的停電事故”；攻擊者入侵了監(jiān)控管理系統(tǒng)，超過(guò)一半的地區(qū)和部分伊萬(wàn)諾-弗蘭科夫斯克地區(qū)斷電幾個(gè)小時(shí)。Kyivoblenergo電力公司發(fā)布公告稱：“公司因遭到入侵，導(dǎo)致7個(gè)110KV的變電站和23個(gè)35KV的變電站出現(xiàn)故障，導(dǎo)致80000用戶斷電。烏克蘭電力事件系統(tǒng)現(xiàn)狀俄羅斯和其它前蘇聯(lián)加盟共和國(guó)大量存在110kV和35kV變電站，其監(jiān)控系統(tǒng)操作系統(tǒng)目前以Windows為主。需要指出的是，沒(méi)有任何操作系統(tǒng)能夠?qū)舭俜职佟懊庖摺?，任何關(guān)鍵位置的節(jié)點(diǎn)系統(tǒng)及其上的軟件與應(yīng)用，必然會(huì)面臨安全挑戰(zhàn)。1.存在通過(guò)惡意代碼直接對(duì)變電站系統(tǒng)的程序界面進(jìn)行控制的威脅2.存在通過(guò)惡意代碼偽造和篡改指令來(lái)控制電力設(shè)備的威脅當(dāng)攻擊者取得變電站

SCADA系統(tǒng)的控制權(quán)（如SCADA管理人員工作站點(diǎn)）后，可取得與SCADA操作人員完全一致的操作界面和操作權(quán)限（包括鍵盤(pán)輸入、鼠標(biāo)點(diǎn)擊、行命令執(zhí)行以及更復(fù)雜的基于界面交互的配置操作），操作員在本地的各種鑒權(quán)操作（如登錄口令等），也是可以被攻擊者通過(guò)技術(shù)手段獲取的，而采用USBKEY等登錄認(rèn)證方式的USB設(shè)備，也可能是默認(rèn)接入在設(shè)備上的。除直接操作界面這種方式外，攻擊者還可以通過(guò)本地調(diào)用API接口、或從網(wǎng)絡(luò)上劫持等方式，直接偽造和篡改指令來(lái)控制電力設(shè)備。目前變電站SCADA站控層之下的通信網(wǎng)絡(luò)，并無(wú)特別設(shè)計(jì)的安全加密通信協(xié)議。當(dāng)攻擊者獲取不同位置的控制權(quán)（如SCADA站控層PC、生產(chǎn)網(wǎng)絡(luò)相關(guān)網(wǎng)絡(luò)設(shè)備等）后，可以直接構(gòu)造和篡改SCADA監(jiān)控軟件與間隔層設(shè)備的通信烏克蘭電力事件病毒解析BlackEnergy是一種頗為流行的攻擊工具，主要用于實(shí)施自動(dòng)化犯罪活動(dòng)，通常販賣(mài)于俄羅斯的地下網(wǎng)絡(luò)，其最早出現(xiàn)的時(shí)間可追溯到2007年。BlackEnergy1，主要用于實(shí)施DDoS攻擊。BlackEnergy2依然是一個(gè)具備DDoS功能的僵尸網(wǎng)絡(luò)程序，該樣本新增類(lèi)加密軟件以對(duì)自身加密處理，防止反病毒軟件查殺。并且已經(jīng)出現(xiàn)新的變種稱之為BlackEnergy3，但目前對(duì)該版本的攻擊事件，還并不常見(jiàn)。烏克蘭電力事件病毒解析攻擊組件多樣BlackEnergy組件是DLL庫(kù)文件，一般通過(guò)加密方式發(fā)送到僵尸程序，一旦組件DLL被接收和解密，將被置于分配的內(nèi)存中。然后等待相應(yīng)的命令。例如：可以通過(guò)組件發(fā)送垃圾郵件、竊取用戶機(jī)密信息、建立代理服務(wù)器、伺機(jī)發(fā)動(dòng)DDoS攻擊等。烏克蘭電力事件病毒解析攻擊邏輯首先攻擊者在一封郵件中嵌入一個(gè)惡意文檔發(fā)送給目標(biāo)，如果目標(biāo)主機(jī)存在安全隱患，則在打開(kāi)附件時(shí)就會(huì)自動(dòng)運(yùn)行宏代碼，附件（Excel）打開(kāi)，為了誘導(dǎo)受害者啟用宏，攻擊者還使用烏克蘭語(yǔ)進(jìn)行了提醒，圖中文字含義為：“注意！該文檔由較新版本的Office創(chuàng)建，為顯示文檔內(nèi)容，必須啟用宏?！苯?jīng)分析人員對(duì)宏代碼進(jìn)行提取分析，發(fā)現(xiàn)宏代碼主要分為兩個(gè)部分，首先通過(guò)25個(gè)函數(shù)定義768個(gè)數(shù)組，在數(shù)組中寫(xiě)入二進(jìn)制數(shù)據(jù)（PE文件）備用。然后通過(guò)一個(gè)循環(huán)將二進(jìn)制數(shù)據(jù)寫(xiě)入到指定的磁盤(pán)文件，對(duì)應(yīng)的路徑為：%TEMP%\vba_macro.exe，隨后執(zhí)行此文件，即BlackEnergyDropper，在經(jīng)過(guò)多次解密后，其會(huì)釋放BlackEnergy，并利用

BlackEnergy下載插件對(duì)系統(tǒng)進(jìn)行攻擊。烏克蘭電力事件攻擊剖析這是一起以BlackEnergy等相關(guān)惡意代碼為主要攻擊工具，通過(guò)BOTNET體系進(jìn)行前期的資料采集和環(huán)境預(yù)置；以郵件發(fā)送惡意代碼載荷為最終攻擊的直接突破入口，通過(guò)遠(yuǎn)程控制制SCADA節(jié)點(diǎn)下達(dá)指令為斷電手段；以摧毀破壞SCADA系統(tǒng)實(shí)現(xiàn)遲滯恢復(fù)和狀態(tài)致盲；以DDoS電話作為干擾，最后達(dá)成長(zhǎng)時(shí)間停電并制造整個(gè)社會(huì)混亂的具有信息戰(zhàn)水準(zhǔn)的網(wǎng)絡(luò)攻擊事件。BlackEnergy攻擊事件主要針對(duì)三種HMI產(chǎn)品展開(kāi)攻擊：GECimplicity、Advantech/BroadwinWebAccess、西門(mén)子WinCC。（1）通過(guò)程序惡意破壞HMI這種軟件監(jiān)視管理系統(tǒng)，監(jiān)視管理系統(tǒng)都是被安裝在商業(yè)的操作系統(tǒng)當(dāng)中(很多企業(yè)當(dāng)中還用的是WindowsXP)。很容易通過(guò)0day進(jìn)入操作系統(tǒng)后對(duì)監(jiān)視管理軟件進(jìn)行惡意破壞。（2）通過(guò)U盤(pán)帶入傳播。很多工控系統(tǒng)的維護(hù)是由第三方公司來(lái)完成的，而第三方公司的工程師一般是用自帶U盤(pán)來(lái)攜帶維護(hù)和檢測(cè)工具的。（3）使用PLCRootkit感染可編程邏輯控制器PLC。典型的如震網(wǎng)Stuxnet蠕蟲(chóng)?？梢愿腥疚鏖T(mén)子公司的SIMATICWinCC7.0和SIMATICWincc6.2兩個(gè)版本的PLC組件。主要攻擊目標(biāo)烏克蘭電力系統(tǒng)關(guān)聯(lián)被攻擊目標(biāo)烏克蘭最大機(jī)場(chǎng)基輔鮑里斯波爾機(jī)場(chǎng)烏克蘭礦業(yè)公司烏克蘭鐵路運(yùn)營(yíng)商烏克蘭國(guó)有電力公司UKrenergo烏克蘭TBS電視臺(tái)作用目標(biāo)辦公機(jī)（Windows）、上位機(jī)（Windows）核心攻擊原理通過(guò)控制SCADA系統(tǒng)直接下達(dá)斷電指令攻擊入口郵件發(fā)送帶有惡意代碼宏的文檔抗分析能力相對(duì)比較簡(jiǎn)單，易于分析惡意代碼模塊情況模塊體系，具有復(fù)用性攻擊成本相對(duì)較低烏克蘭電力事件安全防護(hù)工控主機(jī)防護(hù)系統(tǒng)安全防護(hù)范圍工控主機(jī)防護(hù)系統(tǒng)采用基于內(nèi)核的安全機(jī)制為核心技術(shù)，以白名單為主要思路，對(duì)主機(jī)環(huán)境、應(yīng)用、主機(jī)接口外部設(shè)備、文件、網(wǎng)絡(luò)通信等，進(jìn)行安全檢查及安全過(guò)濾，對(duì)用戶操作、主機(jī)活動(dòng)進(jìn)行記錄和審計(jì)；通過(guò)最小權(quán)限的細(xì)粒度安全配置策略，實(shí)現(xiàn)主機(jī)及應(yīng)用運(yùn)行在可信環(huán)境之中