最新公告
  • 欢迎您光临悠哉网,本站秉承服务宗旨 履行“站长”责任,销售只是起点 服务永无止境!立即加入我们
  • 从乌克兰电网事件看工控安全态势


    即将开播:4月29日,民生银行郭庆谈商业银行金融科技赋能的探索与实践

    一、背景介绍

    目前,工控系统作为国家重点信息基础设施的重要组成部分,正在成为全世界最新的地缘政治角逐战场。诸如能源、电力、核等在内的关键网络成为全球攻击者的首选目标,极具价值。简要回顾工控系统安全史上的几起非常典型的、影响巨大的攻击事件,如图1所示。

    从乌克兰电网事件看工控安全态势

    图1:工控安全事件回顾

    据统计,在刚刚过去的2019年全球各地工控安全问题事件数量逐步上升,报告数量达到329件,涉及包括制造、能源、通信、核工业等超过15个行业。

    面对日益严峻的工控安全问题,亟需从人员意识、技战术等多方面加深认识。下面我们从一个经典案例说起。

    二、经典案例复盘—2015年乌克兰断电

    在工控安全事件频发的今天,复盘经典案例有着以史为鉴的重大意义。

    (一) 乌克兰断电事件简介

    2015年12月23日,当时乌克兰首都基辅部分地区和乌克兰西部的 140 万名居民遭遇了一次长达数小时的大规模停电,至少三个电力区域被攻击,占据全国一半地区。攻击背景是在克里米亚公投并加入俄罗斯联邦之后,因乌克兰与俄罗斯矛盾加剧,在网络攻击发生前一个月左右,乌克兰将克里米亚地区进行了断电。一个月后,乌克兰的Kyivoblenergo电力公司表示他们公司遭到木马BlackEnergy网络入侵,因此导致7个110KV的变电站和23个35KV的变电站出现故障,从而导致断电。

    (二) 攻击采用的技战术

    本起著名的网络攻击采用鱼叉式钓鱼邮件手段,首先向“跳板机”如电力公司员工的办公系统,植入BlackEnergy3,以“跳板机”作为据点进行横向渗透,之后通过攻陷监控/装置区的关键主机。同时攻击者在获得了SCADA系统的控制能力后,BlackEnergy3继续下载恶意组件(KillDisk),通过相关方法下达断电指令导致断电:其后,采用覆盖MBR和部分扇区的方式,导致系统重启后不能自举;采用清除系统日志的方式提升事件后续分析难度;采用覆盖文档文件和其他重要格式文件的方式,导致实质性的数据损失。这一组合拳不仅使系统难以恢复,而且在失去SCADA的上层故障回馈和显示能力后,工作人员被“致盲”,从而不能有效推动恢复工作。

    攻击者在线上变电站进行攻击的同时,在线下还对电力客服中心进行电话DDoS攻击,最终完成攻击者的目的。如图2所示:

    从乌克兰电网事件看工控安全态势

    图2:攻击流程(来源于参考1)

    (三) 攻击载体主要组成

    1. 漏洞– CVE-2014-4114

    该漏洞影响范围:microsoft office 2007 系列组件,漏洞影响windows Vista SP2到Win8.1的所有系统,也影响windows Server 2008~2012版本。XP不会受此漏洞影响。

    漏洞补丁:漏洞于2014年的10月15日被微软修补。

    漏洞描述:该漏洞是一个逻辑漏洞,漏洞触发的核心在于office系列组件加载Ole对象,Ole对象可以通过远程下载,并通过Ole Package加载。

    漏洞样本执行情况:将漏洞样本投递到目标机上后,样本执行之后会下载2个文件,一个为inf文件,一个为gif(实质上是可执行病毒文件),然后修改下载的gif文件的后缀名为exe加入到开机启动项,并执行此病毒文件,此病毒文件就是木马病毒BlackEnergy3。至此,漏洞完成了“打点突破”的任务。

    2. 木马病毒–BlackEnergy3

    在乌克兰断电事件中,病毒采用了BlackEnergy的变种BlackEnergy3。该组件是DLL库文件,一般通过加密方式发送到僵尸程序,一旦组件DLL被接收和解密,将被置于分配的内存中。然后等待相应的命令。例如:可以通过组件发送垃圾邮件、窃取用户机密信息、建立代理服务器、伺机发动DDoS攻击等。关键组件介绍:

    (1) Dropbear SSH组件

    一个攻击者篡改的SSH服务端程序,攻击者利用VBS文件

    启动这个SSH服务端,开启6789端口等待连接,这样攻击者可以在内网中连接到受害主机。

    (2) KillDisk组件

    主要目的是擦除证据,破坏系统。样本运行后遍历文件进行擦除操作,还会擦写磁盘MBR、破坏文件,最后强制关闭计算机。

    整个入侵后的状态如图3所示:

    从乌克兰电网事件看工控安全态势

    图3:入侵后的状态(来源于参考2)

    这是一起以CVE-2014-4114漏洞及木马病毒BlackEnergy3等相关恶意代码为主要攻击工具,通过前期的资料采集和环境预置;以含有漏洞的邮件为载体发送给目标,植入木马载荷实现打点突破,通过远程控制SCADA节点下达断电指令,摧毁破坏SCADA系统实现迟滞恢复和状态致盲;以DDoS电话作为干扰,最后达成长时间停电并制造整个社会混乱的具有信息战水准的网络攻击事件。本次攻击的突破点并没有选择电力设施的纵深位置,也未使用0day漏洞,而是沿用了传统的攻击手法,从电力公司员工主机突破,利用木马实现攻击链的构建,具有成本低,打击直接、有效的特点。

    三、安全思考

    通过对乌克兰断电事件的复盘以及对当前工控安全现状的研判,工控系统网络安全现状也实在令人忧思。其原因主要从以下方面考虑:

    (1) 工控系统环境中大量使用遗留的老式系统。

    工控系统跟国家经济、政治、民生、命运紧密相连,但是大都存在年久失修、不打补丁、防御薄弱等问题,有的甚至还使用windows xp系统。一旦接入互联网或者局域网,就可能成为一攻就破的靶子,为网络攻击和病毒、木马的传播创造了有利环境。

    (2) 工控系统设计时未考量安全因素。

    很多工控系统中的应用程序和协议最初都是在没有考虑认证和加密机制及网络攻击的情况下开发的。设备本身在处理过载和处理异常流量的能力都较弱,攻击者通过DDOS会导致设备响应中断。

    (3) 工控领域正成为各国博弈的新战场。

    工控领域逐渐成为各国博弈的新战场,政治、经济利益驱动下使得工控安全呈现多样性和复杂性,攻防能力失衡。

    本文既是对工控领域安全现状的思考,也是对攻防对抗技战法的复盘;既是学习,也是总结。感谢全球安全研究员为安全事业做出的不懈努力,共勉!

    1. 本站所有资源来源于用户上传和网络,如有侵权请邮件联系站长!
    2. 分享目的仅供大家学习和交流,您必须在下载后24小时内删除!
    3. 不得使用于非法商业用途,不得违反国家法律。否则后果自负!
    4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
    5. 如有链接无法下载、失效或广告,请联系管理员处理!
    6. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需!
    7. 如遇到加密压缩包,默认解压密码为"www.yoozai.net",如遇到无法解压的请联系管理员!
    悠哉网 » 从乌克兰电网事件看工控安全态势

    常见问题FAQ

    免费下载或者VIP会员专享资源能否直接商用?
    本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
    提示下载完但解压或打开不了?
    最常见的情况是下载不完整: 可对比下载完压缩包的与网盘上的容量,若小于网盘提示的容量则是这个原因。这是浏览器下载的bug,建议用百度网盘软件或迅雷下载。若排除这种情况,可在对应资源底部留言,或 联络我们.。
    找不到素材资源介绍文章里的示例图片?
    对于PPT,KEY,Mockups,APP,网页模版等类型的素材,文章内用于介绍的图片通常并不包含在对应可供下载素材包内。这些相关商业图片需另外购买,且本站不负责(也没有办法)找到出处。 同样地一些字体文件也是这种情况,但部分素材会在素材包内有一份字体下载链接清单。
    悠哉网 WWW.YOOZAI.NET
    悠哉网,用户消费首选的网站,喜欢你就悠哉一下。

    发表评论

    • 663会员总数(位)
    • 5161资源总数(个)
    • 177本周发布(个)
    • 20 今日发布(个)
    • 206稳定运行(天)

    提供最优质的资源集合

    立即查看 了解详情