工业控制系统安全防护技术

工业控制系统信息安全防护技术

目 录

0102

03工控事件攻击技术概述工控系统安全技术工控系统防护体系思考04

结束语

信息化和软件服务业司

HAVEX病毒

•2014年，安全研究人员发现了一种类似震网病毒的恶意软件，并将其命名为：Havex，这种恶意软件已被用在很多针对国家基础设施的网络攻击中。

•就像著名的Stuxnet蠕虫病毒，Havex也是被编写来感染SCADA和工控系统中使用的工业控制软件，这种恶意软件在有效传播之后完全有能力实现禁用水电大坝、使核电站过载、甚至有能力关闭一个地区和国家的电网。

篡改供应商网站，在下载软件升级包中包含恶意间谍软件

被攻击用户下被载篡改的升级包

恶意间谍代码自动安装到OPC客户端

OPC服务器回应数据信息黑客采集获取的数据

恶意间谍代码通过OPC协议发出非法数据采集指令

1

24将信息加密并传输到C&C （命令与控制）网站

3

5

7

6

通过社会工程向工程人员发送包含恶意间谍代码的钓鱼邮件

1

供应商官方网站

工控网络

OPC客户端OPC客户端

OPC服务器

OPC服务器

生产线

PLC

PLC

HAVEX病毒攻击路径概述

Havex 传播途径

在被入侵厂商的主站上，向用户提供包含恶意代码的升级软件包

利用系统漏洞，直接将恶意代码植入包含恶意代码的钓鱼邮件

l有三个厂商的主站被这种方式被攻入，在网站上提供的软件安装包中包含了Havex。这三家公司都是开发面向工业的设备和软件，这些公司的总部分别位于德国、瑞士和比利时。

l其中两个供应商为ICS系统提供远程管理软件，第三个供应商为开发高精密工业摄像机及相关软件。

Havex 深度解析

•通过反向Havex程序，我们发现它会枚举局域网中的RPC服务，并寻找可连接的资源•Havex通过调用IOPCServerList和IOPCServerList2 DCOM接口来枚举目标机器上的OPC服务

•随后Havex可以连接到OPC服务器，通过调用IOPCBrowse DCOM接口获取敏感信息

方程式组织曝光—2015年信息安全界最重大的新闻

方程式潜伏二十年，肆虐全球

•从2001年到现在，“方程式组织”已经在伊朗、俄罗斯、叙利亚、阿富汗、阿拉伯联合大公国、中国（香港）、英国、美国等全球超过30个国家感染了数千个，甚至上万受害者。

方程式的攻击目标：以工业控制设施为主

它所瞄准的不是个人用户，或普通的商业用户，而是一个国家的关键设施、经济命脉。

它的目的不是普通病毒的窃取信息、经济诈骗，而是破坏工业生产，制造社会混乱，乃至直接打击军事设施。

多种证据显示，“方程式”跟美国国家安全局、以色列情报机构、以及英国军方具有密切的联系。

结论：“方程式”是一种主要以工业控制网络为目标的病毒武器。

方程式的攻击目标：以美国敌国为主

欧洲、北美、日

本 、澳洲等地区是世界上经济最发达地区，拥有最多的计算机和最高的互联网普及率，从概率上而言，这些国家感染病毒的几率应该也是最高的。但实际上，他们的感染率却是最低的。

感染“方程式”最

多的国家，除了俄罗斯

和中国以外，伊朗、巴

基斯坦、阿富汗、叙利

亚等国，都是比较落后

的国家，计算机和互联

网的使用率都很低。

凡是美国和它的盟

国，感染率都很低，

凡是美国的敌国或美

国蓄意打压的国家，

病毒感染率都名列前

茅。

知己知彼：方程式的工具组件

•“程式组织”发展了极为强大的“军火库”，恶意间谍软件至少包括EquationLaser、EquationDrug、DoubleFantasy、TripleFantasy、Fanny 、Gray Fish等。

知己知彼：方程式的硬盘感染能力

•“方程式”可以对数十种常

见品牌的硬盘固件进行重新

编程的。包括三星、西数、

希捷、迈拓、东芝以及日立

等公司。这些受到感染的硬

盘使得攻击者可以持续的对

受害者的计算机进行控制和

数据窃取。是首个已知的能

够直接感染硬盘的恶意软

件。

•方程式特别强化了其驻留硬

盘的能力，躲过杀毒软件、

操作系统重装、乃至硬盘格

式化。

知己知彼：方程式的隔绝网络感染能力病毒会通过网络，感染某台能够上网的电脑A。1234

•隔离网络在工控中应用广泛， “方程式”病毒特别擅长攻击隔离网络，并在隔离网络和互联网之间传送信息。步骤如下：567当电脑A插入某个U盘时，这个U盘也会被感染。当被隔离的电脑B需要拷贝文件，插入被感染的U盘时，电脑B被感染。病毒会从电脑B以及跟它联网的其他设备中收集信息，保存到U盘上。当这个U盘又被拿出去，接到电脑A上时，前面收集到的信息，则会通过网络传回病毒的服务器。服务器会分析通过U盘收集到的电脑B、以及电脑B所在网络的信息，发出进一步的命令，存储在U盘之中。当U盘再次插入电脑B，则那些命令将会自动执行，执行更有针对性的窃取和破坏行为

。

•沙虫攻击主要源自微软Windows对PowerPoint文件的处理错误，影响几乎所有的Windows版本。通过利用该漏洞可以通过OFFICE文档嵌入恶意程序，造成任意代码执行，从而让黑客完全控制被攻击的电脑。

• 在针对能源企业的事件中，攻击者通过沙虫攻击入侵了目标主机后使用了GE Cimplicity HMI软件的一个安全漏洞进一步控制了现场的HMI主机，植入木马用于窃取数据或进行其他工作。