终于来啦,杰哥的第二篇博客

WORK

整理一下目前收集的典型工控安全事件

1.震网事件

事件 :

2010年9月24日,伊朗核设施爆出Stuxnet病毒(“震网病毒”)攻击,导致其核设施不能正常运行。

传播介质 :

u盘

攻击对象 :

国家重要基础设施

漏洞利用 :

MS10-046、MS10-061、MS08-067、MS10-073、MS10-092
Stuxnet首先是感染外部主机,然后感染u盘,利用Link文件漏洞(MS10-046)传播到内网。
在内网中,通过快捷方式文件解析漏洞、RPC远程执行漏洞(MS08-067)、打印机后台程序服务漏洞(MS10-061),实现联网主机的传播(横向渗透),到达装有WIN CC的工作站。
当被感染的工作站连接到PLC,Stuxnet部署恶意代码,向PLC发送特定指令。
MS10-073、MS10-092用于提权。

攻击过程 :

Stuxnet蠕虫利用多个零日漏洞和U盘等移动设备在工业互联网中传播,最终目的是到达WIN CC主机。攻击者利用WIN CC存在的硬编码漏洞,窃取数据库信息,保存密码;利用项目文件加载DLL文件出错,窃取正常的生产数据。通过对得到的生产数据进行深入分析,可以构造恶意DLL文件,然后攻击者操纵固件替换恶意DLL,实现恶意操作。震网事件中,攻击者修改了数据库中的PID算法相关参数,导致离心机转速发生变化。为了防止安全操作员得到警报以及系统做出响应,攻击者可能采用重放攻击重放抓取的正常流量;或者修改报警设置,例如将内存代码修改为固定值或篡改汇编级指令代码。

2.乌克兰电网事件

事件 :

2015年12月23日,乌克兰电网遭遇突发停电事故。本次停电事故由7个变电站开关动作引起,导致80000个用户停电,停电时间为3到6小时不等。这次停电不是因为电力短缺,而是遭到了黑客攻击。

传播介质 :

恶意组件BlackEnergy(该恶意软件最早可追溯到2007年,由俄罗斯地下黑客组织开发并广泛使用,包括用来“刺探”全球各国的电力公司。)

攻击对象 :

乌克兰电力公司

漏洞利用 :

CVE-2014-4114(OLE包管理INF 任意代码执行漏洞)
安天工作室分析的攻击流程
Office类型的漏洞利用(CVE-2014-4114)–>邮件–>下载恶意组件BlackEnergy侵入员工电力办公系统–>BlackEnergy继续下载恶意组件(KillDisk)–>擦除电脑数据破坏HMI软件监视管理系统
img

3.FLAME侵袭中东地区事件

Flame ( Worm.Win32.Flame ,又称 Flamer 或 sKyWlper 、Skywiper 等),中文名“火焰病毒”、“超级火焰病毒”。Flame 被包括世界电信联盟等官方以及卡巴斯基等国际权威厂商认定为迄今为止最复杂、最危险、最致命的病毒威胁。

事件:

2012年5月,俄罗斯安全专家发现一种威力强大的电脑病毒火焰(Flame)在中东地区大范围传播。卡巴斯基称,Flame实际上是一个间谍工具包。至少过去两年中,Flame病毒已感染了伊朗、黎巴嫩、叙利亚、苏丹以及其他中东和北非国家的相应目标计算机系统。

传播 :

该病毒可以通过USB存储器以及网络复制和传播,并能接受来自世界各地多个服务器的指令。

攻击对象 :

个人计算机、国家机关甚至教育机构

病毒危害 :

一旦计算机被感染,Flame 可以激活其麦克风和摄像头,监控用户的键盘敲击,从保存的图像中提取地理定位数据,对正在运行的计算机进行屏幕截图,甚至通过蓝牙无线技术发送和接收命令和数据。

关联病毒 :

震网(Stuxnet)病毒、毒区(DuQu)病毒;“震网”病毒攻击的是伊朗核设施,“毒区”病毒攻击的是伊朗工业控制系统数据,而“火焰”病毒攻击的则是伊朗石油部门的商业情报。

漏洞利用 :

MS10-046、MS10-061
迈克菲绘制的的代码关系图
img

FLAME源码中各模块系列的代号及可能的用途
img

工业互联网中不一定需要通过漏洞才能达到恶意目的,有的时候攻击者可以通过系统中的一系列正常操作达到恶意的目的。

4.IRONGATE

事件 :

恶意软件IRONGATE中使用了某些Stuxnet功能,只针对西门子公司生产的ICS/SCADA设备。

攻击对象 :

西门子ICS/SCADA系统

攻击过程 :

恶意软件IRONGATE首先检测环境,如果没有发现虚拟化的环境则散播病毒程序,然后对目标机器实施中间人攻击以达到恶意操作。IRONGATE使用恶意DLL替换正常DLL,恶意DLL充当PLC与监控系统(SCADA)之间的中间人。恶意DLL记录并替换PLC到用户界面(HMI)的流量,再将构造的恶意数据发回PLC,导致操作过程不受管理员控制。

5.PLC-Blaster

事件 :

PLC-Blaster蠕虫实现了对S7 1200 PLC控制器程序的篡改攻击。

传播介质 :

TIA门户、移动设备

攻击对象 :

S7 1200 PLC

攻击过程 :

PLC-Blaster可能通过U盘等移动设备或者在已感染的主机上扫描可能目标后,蠕虫仿冒TIA门户,并在感染阶段执行西门子专有协议,感染目标主机。感染时,PLC-Blaster将自身代码复制到目标PLC,篡改PLC控制逻辑。目标主机被感染后,PLC-Blaster会再次开始扫描,进行新一轮感染。

攻击者可以在不修改PLC逻辑指令或者固件的情况下,直接操纵物理过程。

6.PLC ROOTKIT

事件:

研究人员设计出新的恶意软件攻击方式,针对可编程逻辑控制器(PLC),利用的是微处理器中的架构缺陷,可规避现有检测机制。

攻击对象 :

PLC、专用控制器

攻击过程 :

PLC ROOTKIT在PLC操作系统不知道的情形下用恶意代码切换I/O引脚配置,从输出改成输入或反之。并且由于嵌入式设备(如PLC)所用片上系统(SoC)中,并没有用于引脚配置的硬件中断,因而试图向重配置成输入的引脚进行写入操作时,系统将不会收到任何报错。