今日頭條
官方微信
官方抖音
資訊頻道
近期,安全研究人員發(fā)現(xiàn)了一種新的類似震網(wǎng)病毒的惡意軟件,并將其命名為:Havex,這種惡意軟件已被用在很多針對(duì)國(guó)家基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊中。Havex病毒被發(fā)現(xiàn)的時(shí)間雖然不長(zhǎng),但是目前已經(jīng)發(fā)現(xiàn)有超過(guò)8000個(gè)能源設(shè)施被感染。
就像著名的Stuxnet蠕蟲(chóng)病毒,Havex也是被編寫來(lái)感染SCADA和工控系統(tǒng)中使用的工業(yè)控制軟件,這種惡意軟件在有效傳播之后完全有能力實(shí)現(xiàn)禁用水電大壩、使核電站過(guò)載、甚至有能力關(guān)閉一個(gè)地區(qū)和國(guó)家的電網(wǎng)。這個(gè)病毒的來(lái)源組織目前被定義為蜻蜓組織或活力熊,主要攻擊目標(biāo)以能源行業(yè)為主。
Havex攻擊傳播路徑
它的攻擊手段和攻擊路徑簡(jiǎn)單來(lái)說(shuō)一共有三種。如圖1所示。
第一種是通過(guò)篡改供應(yīng)商網(wǎng)站,使我們通過(guò)這個(gè)網(wǎng)站上下載的軟件升級(jí)包中包含惡意間諜軟件。接下來(lái)這種惡意間諜代碼就會(huì)自動(dòng)安裝到OPC客戶端,惡意間諜代碼通過(guò)OPC協(xié)議發(fā)出非法數(shù)據(jù)采集指令,OPC服務(wù)器回應(yīng)數(shù)據(jù)信息,將信息加密并傳輸?shù)紺&C (命令與控制)網(wǎng)站。據(jù)不完全統(tǒng)計(jì),目前能夠發(fā)現(xiàn)的Havex病毒用來(lái)通信的C&C服務(wù)器多達(dá)146個(gè),并且有超過(guò)1500個(gè)IP地址正在向C&C服務(wù)器發(fā)送數(shù)據(jù),這些數(shù)字還在持續(xù)增加中。
第二種攻擊路徑是通過(guò)社會(huì)工程向工程人員發(fā)送包含惡意間諜代碼的釣魚(yú)郵件,當(dāng)初震網(wǎng)病毒就是采用這種途徑傳播的。
當(dāng)然還有一種攻擊傳播途徑最為直接,那就是利用系統(tǒng)漏洞,直接將惡意代碼植入,這是針對(duì)于一些防護(hù) 能力較差的網(wǎng)絡(luò)而言。
現(xiàn)在我們發(fā)現(xiàn)已經(jīng)有三個(gè)廠商的主站以這種方式被攻入,其網(wǎng)站上提供的軟件安裝包中包含了Havex。我們懷疑還會(huì)有更多類似的情況,但是尚未確定。這三家公司都是開(kāi)發(fā)面向工業(yè)領(lǐng)域的設(shè)備和軟件,這些公司的總部分別位于德國(guó)、瑞士和比利時(shí)。其中兩個(gè)供應(yīng)商為ICS系統(tǒng)提供遠(yuǎn)程管理軟件,第三個(gè)供應(yīng)商為開(kāi)發(fā)高精密工業(yè)攝像機(jī)及相關(guān)軟件。在中國(guó)無(wú)論是能源行業(yè),還是軌道交通行業(yè),都需要下載這些軟件包,也就是說(shuō)都有被病毒攻入的危險(xiǎn)。
Havex深度解析
通過(guò)反向工程Havex程序,我們發(fā)現(xiàn)它會(huì)枚舉局域網(wǎng)中的RPC服務(wù),并尋找可連接的資源,Havex通過(guò)調(diào)用IOPCServerList和IOPCServerList2 DCOM接口來(lái)枚舉目標(biāo)機(jī)器上的OPC服務(wù),隨后Havex可以連接到OPC服務(wù)器,通過(guò)調(diào)用IOPCBrowse DCOM接口獲取敏感信息。
Havex的可怕性
Havex病毒有很多值得關(guān)注的特征。第一,這是一個(gè)非常強(qiáng)大的職業(yè)黑客組織針對(duì)工業(yè)控制系統(tǒng)(SCADA)而專門研制的攻擊手段;第二,版本眾多無(wú)法及時(shí)有效識(shí)別(先發(fā)現(xiàn)的已經(jīng)擁有80多個(gè)不同版本),因?yàn)樗奶卣饕恢痹诓粩嘧兓晕覀儫o(wú)法實(shí)現(xiàn)有效的防御;第三,這種病毒針對(duì)能源行業(yè)的APT,一旦攻擊成功后果嚴(yán)重;第四,可以直接控制OPC客戶端對(duì)OPC服務(wù)器發(fā)出非法指令操作PLC和現(xiàn)場(chǎng)設(shè)備,而目前市場(chǎng)上流行的大多防護(hù)手段對(duì)其是束手無(wú)策的。
Havex標(biāo)志著工控網(wǎng)絡(luò)安全已經(jīng)進(jìn)入APT2.0時(shí)代
在我看來(lái),2010年出現(xiàn)震網(wǎng)病毒標(biāo)志著工業(yè)控制網(wǎng)絡(luò)安全進(jìn)入了APT1.0時(shí)代,震網(wǎng)之后又出現(xiàn)了Duqu病毒、Flame病毒等,2014年,Havex浮出水面,它的攻擊手段更先進(jìn),更隱蔽,攻擊范圍更廣闊,這標(biāo)志著工控網(wǎng)絡(luò)進(jìn)入APT2.0時(shí)代,而這些也正是APT2.0時(shí)代的病毒特征。
工控網(wǎng)絡(luò)安全事件數(shù)量統(tǒng)計(jì),如圖2所示。
工控網(wǎng)絡(luò)安全事件比例統(tǒng)計(jì),如圖3所示。
我們應(yīng)該意識(shí)到網(wǎng)絡(luò)黑客組織已經(jīng)無(wú)處不在,Havex及其背后的蜻蜓組織只是威脅工控網(wǎng)安全的黑客組織的冰山一角。
傳統(tǒng)的信息安全手段無(wú)法保護(hù)工控網(wǎng)絡(luò)
工控網(wǎng)絡(luò)的特點(diǎn)決定了基于辦公網(wǎng)和互聯(lián)網(wǎng)設(shè)計(jì)的信息安全防護(hù)手段(如防火墻、病毒查殺等)無(wú)法有效地保護(hù)工控網(wǎng)絡(luò)的安全。
尤其是針對(duì)于APT1.0時(shí)代較為傳統(tǒng)的防護(hù)手段已經(jīng)無(wú)法防御不斷升級(jí)的攻擊。北京匡恩網(wǎng)絡(luò)科技有限責(zé)任公司(以下簡(jiǎn)稱匡恩網(wǎng)絡(luò))是針對(duì)于工控網(wǎng)絡(luò)安全領(lǐng)域而建立的創(chuàng)新企業(yè),致力于為工業(yè)控制網(wǎng)絡(luò)APT2.0時(shí)代中的對(duì)抗提供有效的防御體系。
完整的解決方案
目前來(lái)看,在我國(guó)信息安全體系中還有很多工具、手段不完整,甚至整個(gè)產(chǎn)業(yè)鏈都是不完整的,需要從檢測(cè)工具、保護(hù)系統(tǒng)、安全數(shù)據(jù)庫(kù)、安全漏洞庫(kù)到安全服務(wù)整個(gè)體系的創(chuàng)新。
匡恩網(wǎng)絡(luò)的整體解決方案,如圖4所示。
匡恩網(wǎng)絡(luò)的技術(shù)體系,如圖5所示。
匡恩網(wǎng)絡(luò)的解決方案特點(diǎn),如圖6所示。
匡恩網(wǎng)絡(luò)解決方案及產(chǎn)品形態(tài)主要分為以下五種。
(1)風(fēng)險(xiǎn)評(píng)估平臺(tái)
風(fēng)險(xiǎn)評(píng)估平臺(tái)是針對(duì)工控系統(tǒng)中設(shè)備、協(xié)議、結(jié)構(gòu)等一系列單元的漏洞和風(fēng)險(xiǎn)開(kāi)發(fā)的測(cè)試工具,通過(guò)對(duì)漏洞在被測(cè)系統(tǒng)中的驗(yàn)證可以更好提高系統(tǒng)的茁壯性,如圖7所示。
(2)漏洞挖掘平臺(tái)
是一款針對(duì)工控系統(tǒng)研發(fā)的高端漏洞挖掘工具,用戶可以通過(guò)提供的工具箱深度挖掘出系統(tǒng)中存在的漏洞,可以減少零日漏洞等一系列的系統(tǒng)風(fēng)險(xiǎn)。
(3)智能監(jiān)控平臺(tái)
智能監(jiān)測(cè)平臺(tái)是一款針對(duì)工控系統(tǒng)設(shè)計(jì)的實(shí)時(shí)告警系統(tǒng),此平臺(tái)可以快速識(shí)別出系統(tǒng)中的非法操作、異常事件以及外部攻擊并發(fā)出告警,是一款外掛的監(jiān)測(cè)平臺(tái)。
(4)智能保護(hù)平臺(tái)
智能保護(hù)平臺(tái)是一款針對(duì)工控系統(tǒng)設(shè)計(jì)的防御系統(tǒng),此平臺(tái)可以快速識(shí)別出系統(tǒng)中的非法操作、異常事件以及外部攻擊并及時(shí)告警和阻斷非法數(shù)據(jù)包。如圖8所示。
(5)數(shù)據(jù)采集保護(hù)平臺(tái)
基于數(shù)據(jù)采集系統(tǒng)所用傳輸協(xié)議,數(shù)采保護(hù)平臺(tái)可以實(shí)時(shí)對(duì)采集的信息進(jìn)行深度解析,確保采集數(shù)據(jù)的完整性和安全性。如圖9所示。
除此之外,匡恩網(wǎng)絡(luò)還可以提供多種服務(wù)如工控網(wǎng)絡(luò)安全培訓(xùn)、工控系統(tǒng)風(fēng)險(xiǎn)評(píng)估、工控設(shè)備漏洞挖掘、演示實(shí)驗(yàn)系統(tǒng)搭建等。
作者簡(jiǎn)介
孫一桉,男,現(xiàn)任北京匡恩科技網(wǎng)絡(luò)有限責(zé)任公司總裁兼首席執(zhí)行官,公司創(chuàng)始人。曾在國(guó)際知名的網(wǎng)絡(luò)和通信企業(yè)的核心系統(tǒng)開(kāi)發(fā)部門中擔(dān)任高級(jí)技術(shù)和管理職位,具有在通信和網(wǎng)絡(luò)行業(yè)近二十年的開(kāi)發(fā)和管理經(jīng)驗(yàn)。成功領(lǐng)導(dǎo)了十幾項(xiàng)大型網(wǎng)絡(luò)安全領(lǐng)域的大型高科技創(chuàng)新項(xiàng)目。具備豐富的網(wǎng)絡(luò)安全技術(shù)和項(xiàng)目經(jīng)驗(yàn)、科技創(chuàng)新產(chǎn)業(yè)化經(jīng)驗(yàn),以及創(chuàng)新團(tuán)隊(duì)組織領(lǐng)導(dǎo)和創(chuàng)新企業(yè)管理的執(zhí)行經(jīng)驗(yàn)。
北京市公安局海淀分局備案號(hào):11010802023656號(hào)