《工业控制网络安全技术与实践》一3.2.2 工业控制网络病毒

简介: 本文讲的是工业控制网络安全技术与实践一3.2.2 工业控制网络病毒,本节书摘来华章计算机《工业控制网络安全技术与实践》一书中的第3章,第3.2.2节,姚 羽 祝烈煌 武传坤 编著 译更多章节内容可以访问云栖社区“华章计算机”公众号查看。

3.2.2 工业控制网络病毒

本文讲的是工业控制网络安全技术与实践一3.2.2 工业控制网络病毒,在信息技术与传统工业融合的过程中,工业控制正面临越来越多的网络安全威胁,其中工控网络病毒就是主要的威胁之一,据统计,在2014年的网络安全事件中,因病毒事件造成的工控系统停机的企业高达19.1%。
以下是近年来活跃在工控领域的病毒介绍。

1.震网(Stuxnet)病毒

2010年10月,国内外多家媒体相继报道了Stuxnet蠕虫病毒对数据采集与监视控制系统进行攻击的事件,并称其为“超级病毒”、“超级工厂病毒”,并形容成“超级武器”、“潘多拉的魔盒”。
Stuxnet病毒在2010年7月开始爆发。它利用了微软操作系统中至少4个漏洞,伪造驱动程序的数字签名;通过一套完整的入侵和传播流程,突破工业专用局域网的物理限制;利用WinCC系统的两个漏洞,对其开展破坏性攻击。它是第一个直接破坏现实世界中工业基础设施的恶意代码。
伊朗政府已经确认该国的布什尔核电站遭到Stuxnet蠕虫病毒的攻击。该病毒利用了USB 使用上的管理漏洞渗透进入目标系统,从而修改西门子控制器所连接的变频器,攻击者通过检测变频器的工作状态,改变了变频器的工作参数,欺骗控制中心,使得离心机无法正常工作。

2. Duqu病毒

Duqu是一种复杂的木马病毒。2011年10月14日,卡巴斯基实验室提取了一个看上去与Stuxnet非常类似的病毒样本,它们创建文件都以“~DQ”作为文件名的前缀,便将这个威胁命名为“Duqu”。它的主要目的是为私密信息的盗取提供便利,主要攻击目标是伊朗工业控制系统,目的是盗窃信息,手法包括收集密码、抓取桌面截图、暗中监视用户操作、盗取各类文件等。
Duqu架构所使用的语言高度专业化,能够让有效负荷DLL同其他Duqu模块独立,通过多种途径包括Windows HTTP、网络端口和代理服务器同C&C建立连接;还能够让有效负荷DLL直接处理来自C&C的HTTP服务器请求,甚至可以在网络中的其他计算机上传播辅助恶意代码,实现可控制并且隐蔽的感染手段,殃及其他计算机[22]。

3.“火焰”病毒

2012年5月,俄罗斯安全专家发现一种威力强大的计算机病毒“火焰”(Flame)在中东地区大范围传播。“火焰”病毒最早可能于2010年3月就被攻击者放出,但一直未被其他网络安全公司发现。除卡巴斯基外,匈牙利的两家反计算机病毒实验室和伊朗反计算机病毒机构也发现了上述全新的蠕虫病毒。
Flame病毒是由许多独立模块组成的非常大的攻击工具包。它能执行各种恶意行为,其中大部分与数据窃取和网络间谍有关。除此之外,它还能使用计算机扩音器来录下对话,提取应用程序细节的截屏,探测网络流量,并能与附近的蓝牙设备进行交流。当感染被反病毒程序保护的计算机时,Flame会停止进行某种行动或执行恶意代码,隐藏自身,以待下次攻击。

4. Havex病毒

Havex病毒的发现来源于网络安全公司CrowdStrike的报告。Havex病毒通过垃圾邮件、漏洞利用工具、木马植入等方式感染SCADA系统和工控系统中使用的工业控制软件,主要攻击对象是欧洲的许多使用和开发工业应用程序和机械设备的公司,影响了水电、核电、能源在内的多个行业。这种木马有可能做到禁用水电大坝,使核电站过载,甚至可以做到按一下键盘就能关闭一个国家的电网。
Havex被命名为W32/Havex.A,存在超过88个变种,其通信用的C&C服务器多达146个,并且有1500多个IP地址向C&C服务器通信。Havex利用OPC DA协议来收集网络和联网设备的信息,然后将这些信息反馈到C&C服务器上,其通信行为如图3-3所示。OPC DA是一种基于Windows 操作系统的DCOM通信扩展的应用标准,它允许基于Windows的SCADA应用与过程控制硬件进行交互。
screenshot

5. Sandworm病毒

国外厂商iSIGHT Partners 2014年10月14日发布公告称发现了Sandworm(沙虫)漏洞。Sandworm病毒利用的漏洞几乎影响所有微软Windows Vista以上装有Microsoft Office软件的主机操作系统,通俗地说,这类攻击是通过发送附件文档的方式发起的,受害者只要打开文档就会自动中招,也就是只要计算机中安装了Microsoft Office软件,都有可能受到该漏洞的影响,轻则信息遭到窃取,严重的则成为高级可持续威胁的攻击跳板。该漏洞还具有绕开常见的杀毒软件的特点,漏洞风险性较高。
TrendMicro报告发现Sandworm病毒发起后续攻击的恶意载荷包含了对工控企业的人机界面软件的攻击(主要是GE Cimplicity HMI),目的是进一步控制HMI,并且放置木马。该攻击利用了GE Cimplicity HMI软件的一个漏洞,打开攻击者恶意构造的.cim 或者.bcl文件,允许在用户机器上执行任意代码,以及安装木马文件.cim 或者.bcl文件。

6.格盘病毒

2014年12月,一名黑客通过Twitter向韩国水电与核电公司发出严重警告,要求官方立即停止运行核电站,同时黑客还公开了包括两座核电站部分设计图在内的4份压缩档案。这次事件中所用的木马是格盘病毒——MBR Wiper。
格盘病毒通过发送钓鱼邮件,使用大量的社会工程学诱使受害者打开这些文件,从而感染病毒。格盘病毒分为两部分,一部分是系统的感染程序,另一部分是MBR区的改写程序。系统感染程序结束用户系统指定进程,删除注册表中“安全模式”相关的项,使系统无法进入安全模式,同时进行映像劫持,在用户执行被劫持的程序时,会运行指定的程序。感染程序还能篡改系统文件,关闭Windows系统文件保护,同时查找安全软件进程,运行后删除自身,利用输入法机制,注入文件到指定进程。MBR区的改写程序主要修改磁盘MBR,该手法常被病毒用于获取更早的控制权,同时查找安全软件进程并终止,最后提升系统权限,查找指定进程,启动指定服务。

7.“方程式”组织病毒库

作为破坏力强大的网络攻击组织,“方程式”拥有一个庞大而强悍的攻击武器库。传统的病毒往往是单兵作战,攻击手段单一,传播途径有限,而“方程式”动用了多种病毒工具协同作战,发动全方位立体进攻,其影响行业包括工业、军事、能源、通信、金融、政府等基础设施和重要机构。
“方程式”组织病毒在攻击时,首先诱使用户点击某个网站链接,当用户上当点击后,病毒就会被下载到用户计算机或iPhone、iPad 等手持设备上。然后,病毒会将自己隐藏到计算机硬盘之中,并将自己的藏身之处设置为不可读,避免被杀毒软件探测到。隐藏起来的病毒就是“方程式”攻击的核心程序——Grayfish,这是一个攻击平台,其他攻击武器都通过该程序展开。它会释放另一些程序以收集用户的密码等信息,发送回Grayfish 存储起来。同时,病毒也会通过网络和USB接口传播。病毒修改了计算机和手持设备的驱动程序,一旦探测到有U盘插入,病毒就会自动传染到U盘上,并且同样把自己隐藏起来。当U盘又被插入到另一个网络时,如一个与外界隔离的工业控制网络,病毒就被引入到那个网络,并逐步传遍整个网络。
以上攻击方式中,尤其值得一提的是“方程式”开创了入侵硬盘的病毒技术。当它感染用户计算机后,会修改计算机硬盘的固件程序,在硬盘扇区中开辟一块区域,将自己存储于此,并将这块区域标记为不可读。这样,无论是操作系统重装,还是硬盘格式化,都无法触及这块区域,因此也就无法删除病毒。只要硬盘仍在使用,病毒就可以永远存活下去,并感染其所在的网络以及任何插入该计算机的U盘。
“方程式”组织的武器库中的Fanny蠕虫创建于2008年,它利用USB设备传播蠕虫,可攻击物理隔离网络并回传收集到的信息。
“方程式”组织的武器库中的DoubleFantasy是攻击前导组件,它用来确认被攻击目标,如果被攻击的目标“方程式”组织感兴趣,那么就会从远端注入更复杂的其他组件。DoubleFantasy会检测13种安全软件,包括瑞星(Rising)和360。鉴于360安全卫士和瑞星的用户均在中国,这也进一步验证了中国是“方程式”组织的攻击目标之一。
“方程式”组织的病毒家族如表3-2所示。
screenshot

8. 黑暗能量(BlackEnergy)黑客工具

BlackEnergy是一款自动化的网络攻击工具,出现于2007年,2010年已经添加到病毒样本库,主要影响行业是电力、军事、通信、政府等基础设施和重要机构。BlackEnergy被各种犯罪团伙使用多年。其客户端采用了插件的方式进行扩展,第三方开发者可以通过增加插件针对攻击目标进行组合,实现更多攻击能力,例如,有些人利用它发送垃圾邮件,另一些人用它来盗取银行凭证。BlackEnergy工具带有一个构建器(builder)应用程序,可生成感染受害者机器的客户端。同时该工具还配备了服务器脚本,用于构建命令及控制(C&C)服务器。这些脚本也提供了一个接口,攻击者可以通过它控制“僵尸机”。该工具有简单易用的特点,意味着任何人只要能接触到这个工具,就可以利用它来构建自己的“僵尸”网络。
以乌克兰电网受攻击事件为例,该病毒的攻击者在微软Office文件(一个.xls文档)中嵌入了恶意宏文件,并以此作为感染载体来对目标系统进行感染。攻击者通过钓鱼邮件的方式,将恶意文档以附件形式发送到目标用户,目标用户在接收到这封含有恶意文件的钓鱼邮件之后,系统就会被病毒感染。攻击者将该邮件的发送地址进行了伪装,使用户认为这些邮件来自于合法渠道。在恶意文件中还包含一些文字信息,这样才能欺骗用户来运行文档中的宏。
如果攻击者成功地欺骗了目标用户,那么他们的计算机系统将会感染BlackEnergy恶意程序,再通过BlackEnergy释放出具有破坏性的KillDisk组件和SSH后门。KillDisk插件能够破坏计算机硬盘驱动器中的核心代码,并删除指定的系统文件。利用SSH后门黑客可通过一个预留的密码(passDs5Bu9Te7)来远程访问并控制电力系统的运行,最终通过执行shutdown命令关机,此时系统遭到严重破坏,关机之后已经无法重启,导致电力系统无法恢复运行,致使出现大面积的断电事件。
除了以上提到的工控网络病毒之外,造成重大影响的著名工控网络病毒还有以下几种。
screenshot红色十月(Red October)病毒。
screenshot沙蒙(Shamoon)病毒。
screenshot雷因(Regin)病毒。
screenshot剁肉刀(Cleaver)系列病毒。

原文标题:工业控制网络安全技术与实践一3.2.2 工业控制网络病毒

相关文章
|
20小时前
|
存储 安全 算法
网络安全与信息安全:防范网络威胁的关键策略
【5月更文挑战第28天】在数字化时代,网络安全和信息安全已成为维护个人和企业资产的核心。本文深入探讨了网络安全漏洞的成因、加密技术的重要性以及提升安全意识的必要性。通过对常见网络攻击手段的分析,提出了一系列防御措施,旨在帮助读者构建一个更加安全的网络环境。
|
1天前
|
监控 安全 测试技术
网络堡垒的构筑者:洞悉网络安全与信息安全
【5月更文挑战第28天】 在数字化时代的浪潮中,每一次数据交换都潜藏着风险。本文深入探讨了网络安全的核心议题,从漏洞挖掘到防御策略,再到加密技术的不断进化,以及安全意识在个体和组织层面的重要性。通过分析当前的挑战和未来的发展趋势,我们旨在为读者提供一个关于如何维护网络环境安全的全面视角。
|
1天前
|
机器学习/深度学习 人工智能 算法
利用深度学习技术优化图像识别准确性网络堡垒的构建者:深入网络安全与信息保护策略
【5月更文挑战第28天】 随着人工智能的不断发展,图像识别作为其重要分支之一,在多个领域内得到了广泛应用。然而,识别准确性的提升一直是该领域的研究重点。本文通过引入深度学习技术,构建了一个多层次的卷积神经网络模型,用于提升图像识别的准确性。文中详细阐述了模型的结构设计、训练过程以及参数调优策略,并通过实验验证了所提出方法的有效性。结果表明,与传统图像识别方法相比,深度学习技术能显著提高识别精度,并具有较强的泛化能力。
|
1天前
|
运维 安全 Devops
云计算环境下的网络安全策略与挑战构建高效稳定的云基础设施:DevOps与自动化运维实践
【5月更文挑战第27天】 随着企业数字化转型的加速,云计算已成为支撑现代业务架构的关键基础设施。然而,数据存储和服务交付模式的转变也带来了新的安全风险和挑战。本文探讨了在云计算环境中实现网络和信息安全的策略,并分析了当前面临的主要安全威胁。通过深入剖析云服务模型、加密技术、身份认证机制及合规性要求,我们提出了一系列创新的安全框架和解决方案,旨在为组织提供全面的安全防护,同时促进云计算资源的高效利用。
|
1天前
|
机器学习/深度学习 人工智能 安全
构建未来:AI驱动的自适应网络安全防御系统云端守卫:云计算环境下的网络安全与信息保护策略
【5月更文挑战第27天】 在数字化时代,网络安全威胁持续进化,传统的安全措施逐渐显得力不从心。本文探讨了人工智能(AI)技术如何革新现代网络安全防御系统,提出一个基于AI的自适应网络安全模型。该模型结合实时数据分析、模式识别和自我学习机制,能够动态调整防御策略以应对未知攻击。文章不仅分析了此模型的核心组件,还讨论了实施过程中的挑战与潜在效益。通过引入AI,我们展望一个更加智能且具有弹性的网络安全环境,旨在为未来的网络防护提供一种创新思路。
|
1天前
|
存储 安全 网络安全
网络安全与信息安全:防范网络风险的关键策略
【5月更文挑战第27天】在数字化时代,网络安全和信息安全已成为维护个人和企业资产的核心要素。本文深入探讨了网络安全漏洞的概念、加密技术的重要性以及提升安全意识的必要性。通过分析当前网络安全面临的挑战,文章提出了一系列防御措施,旨在帮助读者构建更为坚固的网络安全防线。
|
2天前
|
安全 算法 网络安全
网络安全与信息安全:防护之道与实战策略网络防线的构筑者:网络安全与信息保护技术解析
【5月更文挑战第27天】 在数字化时代,数据成为了新的货币,而网络安全则是保护这些宝贵资产不受威胁的盾牌。本文将深入探讨网络安全漏洞的概念、加密技术的最新进展以及提升个人和企业的安全意识。通过对网络攻击者的策略进行剖析,我们不仅揭示了常见的安全漏洞,还分享了如何通过多层次防御机制来增强系统的安全性。文章的目标是为读者提供实用的知识,以便构建一个更加坚固的网络安全防线。
|
2天前
|
机器学习/深度学习 敏捷开发 测试技术
深入探索软件测试中的持续集成与持续部署(CI/CD)实践利用机器学习提升网络安全防御效能
【5月更文挑战第27天】 在现代软件开发的快节奏环境中,持续集成(Continuous Integration, CI)和持续部署(Continuous Deployment, CD)已成为确保产品质量和加快交付速度的关键策略。本文将深入探讨CI/CD在软件测试中的应用,分析其对提高自动化测试效率、缩短反馈周期以及优化发布流程的重要性。通过实际案例研究,我们揭示了成功实施CI/CD的最佳实践,并讨论了面临的挑战及其解决方案。
|
2天前
|
安全 数据管理 测试技术
网络安全与信息安全:防范漏洞、加强加密与提升安全意识深入探索自动化测试框架的设计原则与实践应用化测试解决方案。文章不仅涵盖了框架选择的标准,还详细阐述了如何根据项目需求定制测试流程,以及如何利用持续集成工具实现测试的自动触发和结果反馈。最后,文中还将讨论测试数据管理、测试用例优化及团队协作等关键问题,为读者提供全面的自动化测试框架设计与实施指南。
【5月更文挑战第27天】 在数字化时代,网络安全与信息安全已成为维护国家安全、企业利益和个人隐私的重要环节。本文旨在分享关于网络安全漏洞的识别与防范、加密技术的应用以及提升安全意识的重要性。通过对这些方面的深入探讨,我们希望能为读者提供一些实用的建议和策略,以应对日益严峻的网络安全挑战。 【5月更文挑战第27天】 在软件开发周期中,自动化测试作为保障软件质量的关键步骤,其重要性日益凸显。本文旨在剖析自动化测试框架设计的核心原则,并结合具体案例探讨其在实际应用中的执行策略。通过对比分析不同测试框架的优缺点,我们提出一套高效、可扩展且易于维护的自动
|
2天前
|
SQL 安全 网络安全
网络堡垒的构筑者:洞悉网络安全与信息安全
【5月更文挑战第27天】 在数字化时代的浪潮中,网络安全与信息安全保障的重要性愈发凸显。本文深入探讨了网络安全漏洞的概念、加密技术的进展以及提升安全意识的必要性,旨在为读者提供全面的知识框架和实用的防护策略。通过对当前网络威胁的分析,文章揭示了安全漏洞的本质及其对个人和企业的潜在影响。同时,介绍了最新的加密技术,如非对称加密、区块链技术等,并强调了培养全民网络安全意识的紧迫性。本研究不仅为网络安全防护提供了理论基础,还指出了实践中的关键步骤,以期构建更加坚固的网络安全防线。