1 事件分析
2015年12月23日下午,也就是聖誕節的前兩天,烏克蘭首都基輔部分地區和烏克蘭西部的140萬名居民突然發現家中停電。這次停電不是因為電力短缺,而是遭到了黑客攻擊。
黑客利用欺騙手段讓電力公司員工下載下傳了一款惡意軟體“BlackEnergy”(黑暗力量)。該惡意軟體最早可追溯到2007年,由俄羅斯地下黑客組織開發并廣泛使用,包括用來“刺探”全球各國的電力公司。
當天,黑客攻擊了約60座變電站。黑客首先操作惡意軟體将電力公司的主要電腦與變電站斷連,随後又在系統中植入病毒,讓電腦全體癱瘓。與此同時,黑客還對電力公司的電話通訊進行了幹擾,導緻受到停電影響的居民無法和電力公司進行聯系。
網絡安全研究員們指出,此次烏克蘭電網攻擊的執行者應該為經驗豐富的俄羅斯黑客集團。來自美國的iSight Parterns還直接将矛頭指向了盤踞于莫斯科的Sandworm。不過目前正有多個俄羅斯黑客團體針對烏克蘭與西方世界發起攻擊;其一為Cyberberkut,此前曾經宣稱為German媒體與NATO站點遭遇的攻擊事件負責。
雖然沒有直接證據,但俄羅斯方面奪取電網控制權的動機依然存在。俄羅斯與烏克蘭雙方一直在争奪後者東部的電力供給權。如果普京能夠為克裡米亞提供等同于目前烏克蘭供應量的1100兆瓦電力,則将有效鞏固其在這一半島地區的統治地位。而要實作這項目标,俄羅斯方面必須要動搖當地群眾對烏克蘭供電能力的信心。
2 攻擊流程
Office類型的漏洞利用(CVE-2014-4114)–>郵件–>下載下傳惡意元件BlackEnergy侵入員工電力辦公系統–>BlackEnergy繼續下載下傳惡意元件(KillDisk)–>擦除電腦資料破壞HMI軟體監視管理系統
3 攻擊載體分析
CVE-2014-4114漏洞簡析
該漏洞首次亮相是在名為“沙蟲”的俄羅斯黑客組織攻擊使用的時候出現的。攻擊目标包括北約、烏克蘭ZF機構、西歐ZF組織、能源行業企業(尤其波蘭)、歐洲通訊企業和美國學術機構。該漏洞幾乎影響目前流行w i n d o w s的所有版本,通過在office系列文檔中嵌入惡意程式,通過郵件附件傳播。目前已知的漏洞攻擊載體是office2007系列元件。
漏洞影響windows Vista SP2到Win8.1的所有系統,也影響windows Server 2008~2012版本。XP不會受此漏洞影響。漏洞于14年的10月15日被微軟修補。該漏洞是一個邏輯漏洞,漏洞觸發的核心在于office系列元件加載Ole對象,Ole對象可以通過遠端下載下傳,并通過Ole Package加載。樣本執行之後會下載下傳2個檔案,一個為inf檔案,一個為gif(實質上是可執行病毒檔案),然後修改下載下傳的gif檔案的字尾名為exe加入到開機啟動項,并執行此病毒檔案,此病毒檔案即BlackEnergy。
BLACKENERGY演進和分析
BlackEnergy最初版本出現在2007年,為BlackEnergy 1。一個後續的變種(BlackEnergy 2)在2010年釋出。攻擊烏克蘭工控系統的為新的變種,該變種已被重寫并對配置資料采用了不同的儲存格式(xml隐寫)。我們把新變種稱之為New BlackEnergy 。New BlackEnergy 用戶端采用了插件的方式進行擴充,第三方開發者可以通過增加插件實作更多功能。本次擦除烏克蘭電腦主機的是BlackEnergy的KillDisk插件。
BlackEnergy目前仍然存在,因為它采用一套子產品化架構,允許人們為其編寫不同的插件。就本身而言,BlackEnergy并不屬于那些有能力引發停電事故的軟體。然而,它可以接入經過精心設計的額外軟體包實作這一目标;在這種情況下,它能夠對西門子電廠控制裝置發起猛烈進攻。BlackEnergy插件中還存在着“某種類似于應用程式商店的機制”,從這個角度看,盡管BlackEnergy惡意軟體本身并不複雜,但其插件庫則非常豐富且功能強大。
新版BlackEnergy主要有以下特性
a 配置檔案XML隐寫
将配置資料寫入到标準的XML格式檔案當中,并且XML的配置資料被嵌入到DLL二進制流中,進而不直接在磁盤上留下配置檔案的痕迹。從分析來看該版本的BlackEnergy使用了變種的RC4進行的加密。
b 內建了KillDisk元件
KillDisk元件的主要目的是破壞電腦上的資料,它會使用随機資料覆寫檔案,并且讓系統無法重新開機。KillDisk元件會擦除下列擴充名的檔案和文檔還有應用程式。對于windows的.exe結尾的系統程式KillDisk也一并删除,是以會直接導緻系統無法啟動,另外,KillDisk可以接收參數,被定時設定執行。
c 使用VBS腳本建立SSH後門
新版本的BlackEnergy會建立一個.vbs結尾的檔案
該VBS腳本運作之後會調用dropbear.exe建立一個隻接受6789端口連接配接的SSH伺服器。
該版本Dropbear的SSH連接配接的後門的密碼是passDs5Bu9Te7。進一步友善了惡意攻擊者對于被感染電腦的遠端控制。
4 與震網攻擊比較
5 解決方案
SCADA是ICS的一個子集。SCADA包含以下子系統。
a 人機界面(human machine interface,簡稱HMI)是一個可以顯示程式狀态的裝置,操作員可以依此裝置監控及控制程式,友善對裝置進行監視管理。
b 遠端終端控制系統(Remote Terminal Unit,簡稱RTU)連接配接許多程式中用到的感測器,将模拟和離散的測量值轉換為數字資訊
c 可程式設計邏輯控制器(programmable logic controller,簡稱PLC)
d 智能電子裝置(IED) 一種基于微處理器的控制器,能夠發送控制指令,傳輸指令流。
對于SCADA的攻擊大概有下列幾種方式。
a 通過程式惡意破壞HMI這種軟體監視管理系統,監視管理系統都是被安裝在商業的作業系統當中(很多企業當中還用的是WindowsXP)。很容易通過0day進入作業系統後對監視管理軟體進行惡意破壞。
b 通過U盤帶入傳播。很多工控系統的維護是由第三方公司來完成的,而第三方公司的工程師一般是用自帶U盤來攜帶維護和檢測工具的。
c 使用PLC Rootkit感染可程式設計邏輯控制器PLC。典型的如震網Stuxnet蠕蟲。可以感染西門子公司的SIMATIC WinCC 7.0和SIMATIC Wincc6.2兩個版本的PLC元件。
本次BlackEnergy主要是針對HMI相關的軟體産品展開攻擊。
從攻擊路徑中可以看出,BlackEnergy對于SCADA系統的攻擊源頭為商業作業系統的漏洞。是以在SCADA裝置的部署運維過程中可以注意以下幾個方面。
1) 對企業和工控網絡分級、分域,降低惡意軟體大規模傳染和攻擊風險;
2) 在不同安全域以及重要系統、裝置前端部署工業防火牆,對通信資料資訊進行嚴格過濾;
3) 在工控網絡主機内安裝白名單防護軟體,阻止惡意軟體執行;
4) 對企業網絡和工控網絡内主機系統接口進行必要管理;
5) 需進行遠端接入時,采用IPSEC或VPN等加密技術;
6) 為了應對安全威脅,應該針對企業人員進行資訊安全教育訓練。
部分素材采集于網絡,如有侵權請聯系删除([email protected])。