本文講的是<b>工業控制網絡安全技術與實踐一3.2.2 工業控制網絡病毒</b>,在資訊技術與傳統工業融合的過程中,工業控制正面臨越來越多的網絡安全威脅,其中工控網絡病毒就是主要的威脅之一,據統計,在2014年的網絡安全事件中,因病毒事件造成的工控系統停機的企業高達19.1%。
以下是近年來活躍在工控領域的病毒介紹。
2010年10月,國内外多家媒體相繼報道了Stuxnet蠕蟲病毒對資料采集與監視控制系統進行攻擊的事件,并稱其為“超級病毒”、“超級工廠病毒”,并形容成“超級武器”、“潘多拉的魔盒”。
Stuxnet病毒在2010年7月開始爆發。它利用了微軟作業系統中至少4個漏洞,僞造驅動程式的數字簽名;通過一套完整的入侵和傳播流程,突破工業專用區域網路的實體限制;利用WinCC系統的兩個漏洞,對其開展破壞性攻擊。它是第一個直接破壞現實世界中工業基礎設施的惡意代碼。
伊朗政府已經确認該國的布什爾核電站遭到Stuxnet蠕蟲病毒的攻擊。該病毒利用了USB 使用上的管理漏洞滲透進入目标系統,進而修改西門子控制器所連接配接的變頻器,攻擊者通過檢測變頻器的工作狀态,改變了變頻器的工作參數,欺騙控制中心,使得離心機無法正常工作。
Duqu是一種複雜的木馬病毒。2011年10月14日,卡巴斯基實驗室提取了一個看上去與Stuxnet非常類似的病毒樣本,它們建立檔案都以“~DQ”作為檔案名的字首,便将這個威脅命名為“Duqu”。它的主要目的是為私密資訊的盜取提供便利,主要攻擊目标是伊朗工業控制系統,目的是盜竊資訊,手法包括收集密碼、抓取桌面截圖、暗中監視使用者操作、盜取各類檔案等。
Duqu架構所使用的語言高度專業化,能夠讓有效負荷DLL同其他Duqu子產品獨立,通過多種途徑包括Windows HTTP、網絡端口和代理伺服器同C&C建立連接配接;還能夠讓有效負荷DLL直接處理來自C&C的HTTP伺服器請求,甚至可以在網絡中的其他計算機上傳播輔助惡意代碼,實作可控制并且隐蔽的感染手段,殃及其他計算機[22]。
2012年5月,俄羅斯安全專家發現一種威力強大的計算機病毒“火焰”(Flame)在中東地區大範圍傳播。“火焰”病毒最早可能于2010年3月就被攻擊者放出,但一直未被其他網絡安全公司發現。除卡巴斯基外,匈牙利的兩家反計算機病毒實驗室和伊朗反計算機病毒機構也發現了上述全新的蠕蟲病毒。
Flame病毒是由許多獨立子產品組成的非常大的攻擊工具包。它能執行各種惡意行為,其中大部分與資料竊取和網絡間諜有關。除此之外,它還能使用計算機擴音器來錄下對話,提取應用程式細節的截屏,探測網絡流量,并能與附近的藍牙裝置進行交流。當感染被反病毒程式保護的計算機時,Flame會停止進行某種行動或執行惡意代碼,隐藏自身,以待下次攻擊。
Havex病毒的發現來源于網絡安全公司CrowdStrike的報告。Havex病毒通過垃圾郵件、漏洞利用工具、木馬植入等方式感染SCADA系統和工控系統中使用的工業控制軟體,主要攻擊對象是歐洲的許多使用和開發工業應用程式和機械裝置的公司,影響了水電、核電、能源在内的多個行業。這種木馬有可能做到禁用水電大壩,使核電站過載,甚至可以做到按一下鍵盤就能關閉一個國家的電網。
Havex被命名為W32/Havex.A,存在超過88個變種,其通信用的C&C伺服器多達146個,并且有1500多個IP位址向C&C伺服器通信。Havex利用OPC DA協定來收集網絡和聯網裝置的資訊,然後将這些資訊回報到C&C伺服器上,其通信行為如圖3-3所示。OPC DA是一種基于Windows 作業系統的DCOM通信擴充的應用标準,它允許基于Windows的SCADA應用與過程控制硬體進行互動。
國外廠商iSIGHT Partners 2014年10月14日釋出公告稱發現了Sandworm(沙蟲)漏洞。Sandworm病毒利用的漏洞幾乎影響所有微軟Windows Vista以上裝有Microsoft Office軟體的主機作業系統,通俗地說,這類攻擊是通過發送附件文檔的方式發起的,受害者隻要打開文檔就會自動中招,也就是隻要計算機中安裝了Microsoft Office軟體,都有可能受到該漏洞的影響,輕則資訊遭到竊取,嚴重的則成為進階可持續威脅的攻擊跳闆。該漏洞還具有繞開常見的防毒軟體的特點,漏洞風險性較高。
TrendMicro報告發現Sandworm病毒發起後續攻擊的惡意載荷包含了對工控企業的人機界面軟體的攻擊(主要是GE Cimplicity HMI),目的是進一步控制HMI,并且放置木馬。該攻擊利用了GE Cimplicity HMI軟體的一個漏洞,打開攻擊者惡意構造的.cim 或者.bcl檔案,允許在使用者機器上執行任意代碼,以及安裝木馬檔案.cim 或者.bcl檔案。
2014年12月,一名黑客通過Twitter向南韓水電與核電公司發出嚴重警告,要求官方立即停止運作核電站,同時黑客還公開了包括兩座核電站部分設計圖在内的4份壓縮檔案。這次事件中所用的木馬是格盤病毒——MBR Wiper。
格盤病毒通過發送釣魚郵件,使用大量的社會工程學誘使受害者打開這些檔案,進而感染病毒。格盤病毒分為兩部分,一部分是系統的感染程式,另一部分是MBR區的改寫程式。系統感染程式結束使用者系統指定程序,删除系統資料庫中“安全模式”相關的項,使系統無法進入安全模式,同時進行映像劫持,在使用者執行被劫持的程式時,會運作指定的程式。感染程式還能篡改系統檔案,關閉Windows系統檔案保護,同時查找安全軟體程序,運作後删除自身,利用輸入法機制,注入檔案到指定程序。MBR區的改寫程式主要修改磁盤MBR,該手法常被病毒用于擷取更早的控制權,同時查找安全軟體程序并終止,最後提升系統權限,查找指定程序,啟動指定服務。
作為破壞力強大的網絡攻擊組織,“方程式”擁有一個龐大而強悍的攻擊武器庫。傳統的病毒往往是單兵作戰,攻擊手段單一,傳播途徑有限,而“方程式”動用了多種病毒工具協同作戰,發動全方位立體進攻,其影響行業包括工業、軍事、能源、通信、金融、政府等基礎設施和重要機構。
“方程式”組織病毒在攻擊時,首先誘使使用者點選某個網站連結,當使用者上當點選後,病毒就會被下載下傳到使用者計算機或iPhone、iPad 等手持裝置上。然後,病毒會将自己隐藏到計算機硬碟之中,并将自己的藏身之處設定為不可讀,避免被防毒軟體探測到。隐藏起來的病毒就是“方程式”攻擊的核心程式——Grayfish,這是一個攻擊平台,其他攻擊武器都通過該程式展開。它會釋放另一些程式以收集使用者的密碼等資訊,發送回Grayfish 存儲起來。同時,病毒也會通過網絡和USB接口傳播。病毒修改了計算機和手持裝置的驅動程式,一旦探測到有U盤插入,病毒就會自動傳染到U盤上,并且同樣把自己隐藏起來。當U盤又被插入到另一個網絡時,如一個與外界隔離的工業控制網絡,病毒就被引入到那個網絡,并逐漸傳遍整個網絡。
以上攻擊方式中,尤其值得一提的是“方程式”開創了入侵硬碟的病毒技術。當它感染使用者計算機後,會修改計算機硬碟的固件程式,在硬碟扇區中開辟一塊區域,将自己存儲于此,并将這塊區域标記為不可讀。這樣,無論是作業系統重裝,還是硬碟格式化,都無法觸及這塊區域,是以也就無法删除病毒。隻要硬碟仍在使用,病毒就可以永遠存活下去,并感染其所在的網絡以及任何插入該計算機的U盤。
“方程式”組織的武器庫中的Fanny蠕蟲建立于2008年,它利用USB裝置傳播蠕蟲,可攻擊實體隔離網絡并回傳收集到的資訊。
“方程式”組織的武器庫中的DoubleFantasy是攻擊前導元件,它用來确認被攻擊目标,如果被攻擊的目标“方程式”組織感興趣,那麼就會從遠端注入更複雜的其他元件。DoubleFantasy會檢測13種安全軟體,包括瑞星(Rising)和360。鑒于360安全衛士和瑞星的使用者均在中國,這也進一步驗證了中國是“方程式”組織的攻擊目标之一。
“方程式”組織的病毒家族如表3-2所示。
BlackEnergy是一款自動化的網絡攻擊工具,出現于2007年,2010年已經添加到病毒樣本庫,主要影響行業是電力、軍事、通信、政府等基礎設施和重要機構。BlackEnergy被各種幫派使用多年。其用戶端采用了插件的方式進行擴充,第三方開發者可以通過增加插件針對攻擊目标進行組合,實作更多攻擊能力,例如,有些人利用它發送垃圾郵件,另一些人用它來盜取銀行憑證。BlackEnergy工具帶有一個建構器(builder)應用程式,可生成感染受害者機器的用戶端。同時該工具還配備了伺服器腳本,用于建構指令及控制(C&C)伺服器。這些腳本也提供了一個接口,攻擊者可以通過它控制“僵屍機”。該工具有簡單易用的特點,意味着任何人隻要能接觸到這個工具,就可以利用它來建構自己的“僵屍”網絡。
以烏克蘭電網受攻擊事件為例,該病毒的攻擊者在微軟Office檔案(一個.xls文檔)中嵌入了惡意宏檔案,并以此作為感染載體來對目标系統進行感染。攻擊者通過釣魚郵件的方式,将惡意文檔以附件形式發送到目标使用者,目标使用者在接收到這封含有惡意檔案的釣魚郵件之後,系統就會被病毒感染。攻擊者将該郵件的發送位址進行了僞裝,使使用者認為這些郵件來自于合法管道。在惡意檔案中還包含一些文字資訊,這樣才能欺騙使用者來運作文檔中的宏。
如果攻擊者成功地欺騙了目标使用者,那麼他們的計算機系統将會感染BlackEnergy惡意程式,再通過BlackEnergy釋放出具有破壞性的KillDisk元件和SSH後門。KillDisk插件能夠破壞計算機硬碟驅動器中的核心代碼,并删除指定的系統檔案。利用SSH後門黑客可通過一個預留的密碼(passDs5Bu9Te7)來遠端通路并控制電力系統的運作,最終通過執行shutdown指令關機,此時系統遭到嚴重破壞,關機之後已經無法重新開機,導緻電力系統無法恢複運作,緻使出現大面積的斷電事件。
除了以上提到的工控網絡病毒之外,造成重大影響的著名工控網絡病毒還有以下幾種。
紅色十月(Red October)病毒。
沙蒙(Shamoon)病毒。
雷因(Regin)病毒。
剁肉刀(Cleaver)系列病毒。
原文标題:工業控制網絡安全技術與實踐一3.2.2 工業控制網絡病毒