公司新闻

优发国际:工控安全事件史上经典案例说起

时间:2022-09-11 浏览:

优发国际一、背景

当前,工业控制系统作为国家重点信息基础设施的重要组成部分,正在成为全球最新的地缘政治战场。能源、电力、核能等关键网络成为全球攻击者的首选目标,极具价值。简述工控系统安全史上几个非常典型、影响巨大的攻击事件乌克兰电力事件,如图1所示。

优发国际:工控安全事件史上经典案例说起

优发国际图 1:工业控制安全事件回顾

据统计,刚刚过去的2019年,全球工控安全事件数量逐渐增多,报告数量达到329起,涉及制造、能源、通信、核工业等15个以上行业。

面对日益严峻的工控安全问题,迫切需要从人员意识、技术和战术等方面加深认识。让我们从一个经典案例开始。

优发国际二、经典案例回顾——2015年乌克兰停电

在工控安全事件频发的今天,以史为鉴,回顾经典案例具有重要意义。

(一)乌克兰停电介绍

优发国际2015 年 12 月 23 日,乌克兰首都基辅的部分地区和乌克兰西部的 140 万居民遭受了长达数小时的大规模停电,至少影响了该国一半的三个电力区。这次袭击的背景是,在克里米亚投票加入俄罗斯联邦后,由于乌克兰和俄罗斯之间的紧张局势加剧,乌克兰在网络攻击前一个月左右关闭了克里米亚地区的电源。一个月后,乌克兰Kyivoblenergo电力公司表示,他们的公司被黑能木马网络入侵,导致7个110KV变电站和23个35KV变电站出现故障,导致停电。

(二) 攻击策略

著名的网络攻击使用鱼叉式网络钓鱼电子邮件。首先将BlackEnergy3植入某电力公司员工办公系统等“跳板机”,以“跳板机”为基地横向渗透,进而入侵监控/设备区域。关键主机。同时,在攻击者获得SCADA系统的控制能力后,BlackEnergy3继续下载恶意组件(KillDisk),并通过相关方法发出关机命令导致关机:之后,采用了覆盖MBR和部分扇区的方法,导致系统重启。它不能被引导;清除系统日志的方法增加了事件后续分析的难度;覆盖文档文件和其他重要格式文件的方法会导致大量数据丢失。这种拳打脚踢的组合,不仅使系统难以恢复,而且在失去SCADA上层故障反馈和显示能力后,工作人员“瞎了眼”,无法有效推动恢复工作。

攻击者在攻击在线变电站的同时,还离线对电力客服中心进行电话DDoS攻击,最终完成攻击者的目标。如图2所示:

优发国际:工控安全事件史上经典案例说起

图 2:攻击流程(来自参考 1)

(三) 攻击向量的主要组成部分

1. 漏洞 – CVE-2014-4114

漏洞影响范围:Microsoft Office 2007系列组件,漏洞影响从Windows Vista SP2到Win8.1的所有系统,同时影响Windows Server 2008-2012版本。XP 不受此漏洞的影响。

漏洞补丁:该漏洞由 Microsoft 于 2014 年 10 月 15 日修补。

漏洞描述:该漏洞为逻辑漏洞。该漏洞的核心是office系列组件加载Ole对象。Ole 对象可以通过 Ole 包远程下载和加载。

漏洞样本执行:漏洞样本下发到目标机器后,样本执行后会下载两个文件,一个是inf文件,一个是gif(本质上是可执行病毒文件),然后是后缀名下载的gif文件的修改。将exe添加到启动项,执行病毒文件,即木马病毒BlackEnergy3。至此,该漏洞已经完成了“突破”的任务。

2. 木马病毒 – BlackEnergy3

在乌克兰停电时,该病毒使用了 BlackEnergy 的变种 BlackEnergy3。组件是一个DLL库文件,一般通过加密的方式发送给bot,一旦组件DLL被接收解密,就会被放入分配的内存中。然后等待相应的命令。例如,您可以通过组件发送垃圾邮件、窃取用户机密信息、建立代理服务器、发起 DDoS 攻击等。关键部件介绍:

(1) Dropbear SSH 组件

攻击者篡改了SSH服务器程序,攻击者使用了VBS文件

启动SSH服务器,打开6789端口等待连接乌克兰电力事件,这样攻击者就可以连接到内网的受害者主机了。

(2) KillDisk 组件

主要目的是抹去证据,破坏系统。样例运行后,会遍历文件进行擦除操作,同时也会擦除磁盘的MBR乌克兰电力事件,销毁文件,最后强行关闭电脑。

整个入侵后状态如图3所示:

优发国际:工控安全事件史上经典案例说起

图 3:入侵后状态(来自参考 2)

这是一款以CVE-2014-4114漏洞和木马病毒BlackEnergy3等相关恶意代码为主要攻击工具的重大攻击工具,通过之前的数据采集和环境预设;将含有漏洞的邮件作为载体发送给目标,植入木马负载实现管理突破,通过远程控制SCADA节点发出断电命令,破坏和破坏SCADA系统,实现滞后恢复和状态失明;以DDoS呼叫为干扰,最终实现长期停电,制造社会混乱。具有信息战级别的网络攻击。这次攻击的突破点没有选择电力设施的纵深位置,也没有利用0-day漏洞,但继续使用传统的攻击方式,从电力公司员工主机突破,利用木马实现攻击链的构建。直接、有效的特点。

三、安全思维

通过对乌克兰停电事件的回顾和对当前工控安全状况的研判,当前工控系统网络安全状况也令人担忧。原因主要从以下几个方面考虑:

(1) 遗留系统大量用于工业控制系统环境。

工控系统与国民经济、政治、民生、命运息息相关,但大多存在年久失修、缺少补丁、防御薄弱等问题,有的甚至使用windows xp系统。一旦连接到互联网或局域网,就可能成为一个可以立即攻破的目标,为网络攻击和病毒木马的传播创造了有利环境。

(2) 工控系统设计中不考虑安全系数。

工业控制系统中的许多应用程序和协议最初是在没有考虑身份验证和加密机制以及网络攻击的情况下开发的。设备本身对过载和异常流量的处理能力较弱,攻击者会通过DDOS使设备响应中断。

(3)工控领域正在成为各国竞争的新战场。

工控领域逐渐​​成为各国争夺的新战场。在政治经济利益驱动下乌克兰电力事件,工控安全呈现多样性和复杂性乌克兰电力事件,攻防能力失衡。

优发国际本文既是对工控领域安全现状的反思,也是对攻防对策的回顾;它既是研究,也是总结。感谢全球安全研究人员为安全事业所做的不懈努力和鼓励!