一、背景介绍目前,工控系统作为国家关键信息基础设施的重要组成部分,正在成为全球最新的地缘政治战场。能源、电力、核能等关键网络已成为全球攻击者的首选目标,价值极高。简要回顾工控系统安全史上影响巨大的几起非常典型的攻击事件,如图1所示。图1:工控安全事件回顾据统计,全球工控安全事件数量已在过去的2019年逐渐增多,报告数量达到329起,涉及制造、能源、通信、核工业等15个以上行业。面对日益严峻的工控安全问题,迫切需要从人员意识、技术战术等方面加深认识。先从一个经典案例说起。2、经典案例回顾——2015年乌克兰停电在工控安全事件频发的今天,回顾经典案例具有重要的历史借鉴意义。(一)乌克兰停电事件简介2015年12月23日,乌克兰首都基辅部分地区140万居民和乌克兰西部地区140万居民发生持续数小时的大面积停电。至少三个势力区遭到袭击,占据半壁江山。此次袭击发生的背景是,在克里米亚公投加入俄罗斯联邦后,由于乌俄冲突加剧,乌克兰在网络攻击发生前一个月左右切断了克里米亚地区的电力供应。一个月后,乌克兰Kyivoblenergo电力公司表示,他们公司被木马BlackEnergy入侵,导致7座110KV变电站和23座35KV变电站出现故障,导致停电。(2)进攻中使用的技战术。众所周知的网络攻击使用鱼叉式网络钓鱼电子邮件。首先,将BlackEnergy3植入到电力公司员工办公系统等“跳板机”中,以“跳板机”为基础进行横向渗透,然后通过攻击监控/设备区域的关键主机。同时,攻击者获得SCADA系统的控制能力后,BlackEnergy3继续下载恶意组件(KillDisk),并通过相关方法下发关机命令导致关机:覆盖MBR和某些扇区用于导致系统重新启动。它不能被引导;清除系统日志的方式增加了后续事件分析的难度;覆盖文档文件和其他重要格式文件的方法会导致大量数据丢失。这种组合拳不仅使系统恢复难度大,而且使工作人员在失去SCADA上层故障反馈和显示能力后“瞎了眼”,无法有效推进恢复工作。攻击者在攻击线上变电站的同时,还对线下的电力客服中心进行电话DDoS攻击,最终完成攻击者的目的。如图2所示:图2:攻击流程(来自参考文献1)(三)攻击向量的主要组成部分1.漏洞——CVE-2014-4114该漏洞影响范围:microsoftoffice2007系列组件,该漏洞影响windowsVistaSP2到AllWin8.1系统也影响WindowsServer2008-2012版本。XP不受此漏洞的影响。漏洞补丁:该漏洞由微软于2014年10月15日修复。漏洞描述:该漏洞为逻辑漏洞。漏洞核心在于office系列组件加载Ole对象。Ole对象可以通过OlePackage远程下载和加载。漏洞样本执行:漏洞样本下发到目标机后,样本执行后会下载两个文件,一个是inf文件,一个是gif文件(本质上是一个可执行的病毒文件),然后修改将下载的gif文件的后缀名添加到启动项中,执行这个病毒文件,这个病毒文件就是木马病毒BlackEnergy3。至此,漏洞完成了“攻破”的任务。2、木马病毒——BlackEnergy3在乌克兰停电事件中,该病毒采用了BlackEnergy3的变种BlackEnergy3。该组件是一个DLL库文件,一般以加密的方式发送给bot。一旦组件DLL被接收并解密,它将被放置在分配的内存中。然后等待相应的命令。例如,组件可用于发送垃圾邮件、窃取用户机密信息、建立代理服务器、伺机发起DDoS攻击等。关键组件介绍:(1)DropbearSSH组件是一个被恶意软件篡改的SSH服务器程序攻击者。攻击者使用一个VBS文件启动SSH服务器,并打开6789端口等待连接,从而攻击者可以连接到内网的受害主机。(2)KillDisk组件的主要目的是擦除证据和破坏系统。样本运行后遍历文件进行擦除操作,同时擦除磁盘MBR,破坏文件,最后强行关机。入侵后的状态如图3所示:图3:入侵后的状态(来自参考文献2)。这是结合CVE-2014-4114漏洞和木马病毒BlackEnergy3等相关恶意代码为主要攻击工具。数据采集??和环境预置;向目标发送包含漏洞的邮件,植入木马负载实现突破,通过远程控制SCADA节点下发断电指令,破坏破坏SCADA系统,实现滞后恢复和状态致盲;DDoS把电话当成分散注意力的手段,最后造成长期停电和信息战级别的网络攻击,造成整个社会的混乱。这次攻击的突破口没有选择电力设施的深部位置,也没有利用0day漏洞。而是沿用传统的攻击方式,从电力公司员工主机突破,利用木马实现攻击链的构建,成本低,攻击容易。直接有效的特点。3、安全思考通过对乌克兰停电事件的回顾,以及对当前工控安全现状的研判,工控系统网络安全现状着实堪忧。原因主要从以下几个方面考虑:(1)工控系统环境中大量使用遗留系统。工控系统与国家经济、政治、民生、命运息息相关,但大多存在年久失修、未打补丁、防御薄弱等问题,有的甚至采用windowsxp系统。一旦连接到互联网或局域网,就可能成为即时攻击目标,为网络攻击、病毒和特洛伊木马程序的传播创造了有利环境。(2)工控系统设计中没有考虑安全因素。工业控制系统中的许多应用程序和协议最初是在没有考虑身份验证和加密机制以及网络攻击的情况下开发的。设备本身处理过载和异常流量的能力较弱,攻击者会通过DDOS中断设备的响应。(3)工控领域正成为各国角逐的新战场。工控领域逐渐??成为各国角逐的新战场。在政治和经济利益驱动下,工控安全多元复杂,攻防能力失衡。本文既是对工控领域安全现状的反思,也是对攻防对抗技术的回顾;它既是研究也是总结。感谢全球安全研究人员为安全事业的不懈努力,让我们互相鼓励!
