一、背景介紹

目前，工控系統(tǒng)作為國家重點信息基礎(chǔ)設(shè)施的重要組成部分，正在成為全世界最新的地緣政治角逐戰(zhàn)場。諸如能源、電力、核等在內(nèi)的關(guān)鍵網(wǎng)絡(luò)成為全球攻擊者的首選目標(biāo)，極具價值。簡要回顧工控系統(tǒng)安全史上的幾起非常典型的、影響巨大的攻擊事件，如圖1所示。

圖1：工控安全事件回顧

據(jù)統(tǒng)計，在剛剛過去的2019年全球各地工控安全問題事件數(shù)量逐步上升，報告數(shù)量達(dá)到329件，涉及包括制造、能源、通信、核工業(yè)等超過15個行業(yè)。

面對日益嚴(yán)峻的工控安全問題，亟需從人員意識、技戰(zhàn)術(shù)等多方面加深認(rèn)識。下面我們從一個經(jīng)典案例說起。

二、經(jīng)典案例復(fù)盤—2015年烏克蘭斷電

在工控安全事件頻發(fā)的今天，復(fù)盤經(jīng)典案例有著以史為鑒的重大意義。

(一) 烏克蘭斷電事件簡介

2015年12月23日，當(dāng)時烏克蘭首都基輔部分地區(qū)和烏克蘭西部的 140 萬名居民遭遇了一次長達(dá)數(shù)小時的大規(guī)模停電，至少三個電力區(qū)域被攻擊，占據(jù)全國一半地區(qū)。攻擊背景是在克里米亞公投并加入俄羅斯聯(lián)邦之后，因烏克蘭與俄羅斯矛盾加劇，在網(wǎng)絡(luò)攻擊發(fā)生前一個月左右，烏克蘭將克里米亞地區(qū)進(jìn)行了斷電。一個月后，烏克蘭的Kyivoblenergo電力公司表示他們公司遭到木馬BlackEnergy網(wǎng)絡(luò)入侵，因此導(dǎo)致7個110KV的變電站和23個35KV的變電站出現(xiàn)故障，從而導(dǎo)致斷電。

(二) 攻擊采用的技戰(zhàn)術(shù)

本起著名的網(wǎng)絡(luò)攻擊采用魚叉式釣魚郵件手段，首先向“跳板機(jī)”如電力公司員工的辦公系統(tǒng)，植入BlackEnergy3，以“跳板機(jī)”作為據(jù)點進(jìn)行橫向滲透，之后通過攻陷監(jiān)控/裝置區(qū)的關(guān)鍵主機(jī)。同時攻擊者在獲得了SCADA系統(tǒng)的控制能力后，BlackEnergy3繼續(xù)下載惡意組件(KillDisk)，通過相關(guān)方法下達(dá)斷電指令導(dǎo)致斷電：其后，采用覆蓋MBR和部分扇區(qū)的方式，導(dǎo)致系統(tǒng)重啟后不能自舉;采用清除系統(tǒng)日志的方式提升事件后續(xù)分析難度;采用覆蓋文檔文件和其他重要格式文件的方式，導(dǎo)致實質(zhì)性的數(shù)據(jù)損失。這一組合拳不僅使系統(tǒng)難以恢復(fù)，而且在失去SCADA的上層故障回饋和顯示能力后，工作人員被“致盲”，從而不能有效推動恢復(fù)工作。

攻擊者在線上變電站進(jìn)行攻擊的同時，在線下還對電力客服中心進(jìn)行電話DDoS攻擊，最終完成攻擊者的目的。如圖2所示：

圖2：攻擊流程(來源于參考1)

(三) 攻擊載體主要組成

1. 漏洞– CVE-2014-4114

該漏洞影響范圍：microsoft office 2007 系列組件，漏洞影響windows Vista SP2到Win8.1的所有系統(tǒng)，也影響windows Server 2008～2012版本。XP不會受此漏洞影響。

漏洞補(bǔ)?。郝┒从?014年的10月15日被微軟修補(bǔ)。

漏洞描述：該漏洞是一個邏輯漏洞，漏洞觸發(fā)的核心在于office系列組件加載Ole對象，Ole對象可以通過遠(yuǎn)程下載，并通過Ole Package加載。

漏洞樣本執(zhí)行情況：將漏洞樣本投遞到目標(biāo)機(jī)上后，樣本執(zhí)行之后會下載2個文件，一個為inf文件，一個為gif(實質(zhì)上是可執(zhí)行病毒文件)，然后修改下載的gif文件的后綴名為exe加入到開機(jī)啟動項，并執(zhí)行此病毒文件，此病毒文件就是木馬病毒BlackEnergy3。至此，漏洞完成了“打點突破”的任務(wù)。

2. 木馬病毒–BlackEnergy3

在烏克蘭斷電事件中，病毒采用了BlackEnergy的變種BlackEnergy3。該組件是DLL庫文件，一般通過加密方式發(fā)送到僵尸程序，一旦組件DLL被接收和解密，將被置于分配的內(nèi)存中。然后等待相應(yīng)的命令。例如：可以通過組件發(fā)送垃圾郵件、竊取用戶機(jī)密信息、建立代理服務(wù)器、伺機(jī)發(fā)動DDoS攻擊等。關(guān)鍵組件介紹：

(1) Dropbear SSH組件

一個攻擊者篡改的SSH服務(wù)端程序，攻擊者利用VBS文件

啟動這個SSH服務(wù)端，開啟6789端口等待連接，這樣攻擊者可以在內(nèi)網(wǎng)中連接到受害主機(jī)。

(2) KillDisk組件

主要目的是擦除證據(jù)，破壞系統(tǒng)。樣本運行后遍歷文件進(jìn)行擦除操作，還會擦寫磁盤MBR、破壞文件，最后強(qiáng)制關(guān)閉計算機(jī)。

整個入侵后的狀態(tài)如圖3所示：

圖3：入侵后的狀態(tài)(來源于參考2)

這是一起以CVE-2014-4114漏洞及木馬病毒BlackEnergy3等相關(guān)惡意代碼為主要攻擊工具，通過前期的資料采集和環(huán)境預(yù)置;以含有漏洞的郵件為載體發(fā)送給目標(biāo)，植入木馬載荷實現(xiàn)打點突破，通過遠(yuǎn)程控制SCADA節(jié)點下達(dá)斷電指令，摧毀破壞SCADA系統(tǒng)實現(xiàn)遲滯恢復(fù)和狀態(tài)致盲;以DDoS電話作為干擾，最后達(dá)成長時間停電并制造整個社會混亂的具有信息戰(zhàn)水準(zhǔn)的網(wǎng)絡(luò)攻擊事件。本次攻擊的突破點并沒有選擇電力設(shè)施的縱深位置，也未使用0day漏洞，而是沿用了傳統(tǒng)的攻擊手法，從電力公司員工主機(jī)突破，利用木馬實現(xiàn)攻擊鏈的構(gòu)建，具有成本低，打擊直接、有效的特點。

三、安全思考

通過對烏克蘭斷電事件的復(fù)盤以及對當(dāng)前工控安全現(xiàn)狀的研判，工控系統(tǒng)網(wǎng)絡(luò)安全現(xiàn)狀也實在令人憂思。其原因主要從以下方面考慮：

(1) 工控系統(tǒng)環(huán)境中大量使用遺留的老式系統(tǒng)。

工控系統(tǒng)跟國家經(jīng)濟(jì)、政治、民生、命運緊密相連，但是大都存在年久失修、不打補(bǔ)丁、防御薄弱等問題，有的甚至還使用windows xp系統(tǒng)。一旦接入互聯(lián)網(wǎng)或者局域網(wǎng)，就可能成為一攻就破的靶子，為網(wǎng)絡(luò)攻擊和病毒、木馬的傳播創(chuàng)造了有利環(huán)境。

(2) 工控系統(tǒng)設(shè)計時未考量安全因素。

很多工控系統(tǒng)中的應(yīng)用程序和協(xié)議最初都是在沒有考慮認(rèn)證和加密機(jī)制及網(wǎng)絡(luò)攻擊的情況下開發(fā)的。設(shè)備本身在處理過載和處理異常流量的能力都較弱，攻擊者通過DDOS會導(dǎo)致設(shè)備響應(yīng)中斷。

(3) 工控領(lǐng)域正成為各國博弈的新戰(zhàn)場。

工控領(lǐng)域逐漸成為各國博弈的新戰(zhàn)場，政治、經(jīng)濟(jì)利益驅(qū)動下使得工控安全呈現(xiàn)多樣性和復(fù)雜性，攻防能力失衡。

本文既是對工控領(lǐng)域安全現(xiàn)狀的思考，也是對攻防對抗技戰(zhàn)法的復(fù)盤;既是學(xué)習(xí)，也是總結(jié)。感謝全球安全研究員為安全事業(yè)做出的不懈努力，共勉!