PDF《乌克兰电厂攻击事件》

2007 第一次被发现到今天,软件作者频繁更新其功能,逐渐变得功能异常强大, 图1BlackEnergy 技术发展(图片来自 F-Secure BlackEnergy whitepaper)

4 |

24 木马频繁攻击工控系统 另一方面,从各界公开的信息中可以看到,从2014 年起,该木马就多次被攻击者用于攻击工控系统, 相关事件如下: 国内可能遭遇的危害 之所以发生此次事件,是由于国外的电力设备有相当一部分都接入了互联网,攻击者得以通过邮件的 形式诱骗工作人员,从而进入系统实施攻击.相比之下,国内大多工控设施及相关业务系统都采用了专网 的形式或者与互联网隔绝,这在相当程度上阻止了此类事件的发生,但需要注意的是,在绿盟科技长年对

5 |

24 于工控安全的研究中发现,移动存储设备时常成为木马入侵的途径之一,如果 BlackEnergy 木马通过这种 形式感染业务系统设备后,完全有可能通过预置的攻击方案,对工控系统实施打击,比如利用 KillDisk 损毁 主机,这样控制系统重启过程中一旦无法读取配置,将导致整个系统停机. 事件防护方案 本次攻击主要以邮件方式传播木马 XLS 文件,利用社会工程学,诱惑被攻击者打开文件,运行木马, 安装 SSH 后门, 保证攻击者可以长时间控制被感染的主机. 针对目标下发工业控制指令, 必要时运行 killdisk 进行系统自毁,延长系统恢复时间. 基于目前绿盟科技工控系统安全专家的分析情况来看,已经启动了一套应对方案,随时可以帮助客户 应对该事件,避免造成更大的风险和损失,这些方案包括: 产品自动升级服务 绿盟入侵防护系统(NSFOCUS NIPS)将在

2016 年1月16 日发布产品规则升级包,包括

567、

568、

569 版本,用户升级后即可提供实时防护. 升级办法 绿盟科技已在软件升级公告中提供规则升级包,规则可以通过产品界面的在线升级进行.如果您的业 务系统暂时还无法升级规则包,那么可以在软件升级页面中,找到对应的产品,通过下载升级包,以离线 方式进行升级.相关升级信息请随时关注: ? 安全产品介绍:http://www.nsfocus.com.cn/products/details_22_3.html ? 产品升级公告:http://update.nsfocus.com/ 极光自助扫描服务 绿盟远程安全评估系统(RSAS)通过绿盟云也交付了云端自助扫描服务(极光自助扫描服务),用户 可以通过该服务的资产管理功能定期对主机设备进行漏洞检查,以便对多种漏洞进行风险监测,发现内网 中交换路由设备上存在的安全漏洞. 登录

24 小时在线极光自助扫描页面,随时申请,随时试用,随时检查,申请链接如下: ? https://cloud.nsfocus.com/#/krosa/views/initcdr/productandservice?pid=1&

sid=0&

cid=1 反垃圾邮件服务 针对此次事件中以钓鱼邮件入侵的手段,还可以申请试用反垃圾邮件服务,通过这项服务用户可以对 电子邮件系统进行全面安全防御,申请链接如下: ? https://cloud.nsfocus.com/#/krosa/views/initcdr/productandservice?pid=1&

sid=0&

cid=1 专家团队检测服务 1) 绿盟科技工程师前往客户现场检测. 2) 使用绿盟科技的工控漏扫定期对主机进行漏洞检测.

6 |

24 木马专杀解决方案 1) 短期服务:绿盟科技工程师现场木马后门清理服务(人工服务+NIPS+TAC).确保第一时间消除 网络内相关风险点,控制事件影响范围,提供事件分析报告. 2) 中期服务:提供 3-6 个月的风险监控与巡检服务(NIPS+TAC+人工服务).根除风险,确保事件 不复发. 3) 长期服务:能源行业业务风险解决方案(威胁情报+攻击溯源+专业安全服务+行业工控安全解决 方案) 在绿盟科技制定应对方案的同时,为了帮助用户能够对此次攻击事件有更深入的了解,绿盟科技工控 安全专家联合威胁响应中心的技术专家,对事件涉及的木马进行了深入分析. BlackEnergy 木马分析 该样本是一个复合样本,包含多个文件.下面绿盟科技的工程师模拟重现这个分析过程. 执行架构 样本的执行架构图如下所示: