從工控物聯(lián)網(wǎng)領(lǐng)域大事件解析安全威脅

◎國家網(wǎng)絡(luò)空間安全發(fā)展創(chuàng)新中心 單 征

2016年，全球工業(yè)控制信息安全權(quán)威機(jī)構(gòu)——美國工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組（Industrial Control Systems Cyber Emergency Response Team，ICS-CERT）公布了工控物聯(lián)網(wǎng)領(lǐng)域四件重大安全事件，每個(gè)事件都給有關(guān)國家和地區(qū)造成了重大的經(jīng)濟(jì)損失或社會(huì)影響。本文介紹了這些事件發(fā)生的過程，從多個(gè)方面深入解析了事件發(fā)生的原因，并對(duì)我國工控物聯(lián)網(wǎng)安全提出了具體建議。

一、事件分析

（一）HAVEX針對(duì)SCADA OPC的APT分析

2014年6月25日，ICS-CERT發(fā)布了題為“ICS Focused Malware”的安全通告ICSALERT-14-176-02。通告稱：發(fā)現(xiàn)多個(gè)廠商的主站以這種方式被攻入，其網(wǎng)站上提供的軟件安裝包中包含Havex病毒，Havex是一種類似Stuxnet（震網(wǎng)）的病毒，該病毒是專門針對(duì)工業(yè)控制系統(tǒng)編寫的破壞性病毒。

遭受病毒攻擊的廠商分別位于德國、瑞士和比利時(shí)，這些公司開發(fā)面向工業(yè)領(lǐng)域的設(shè)備和軟件，其中兩個(gè)公司為ICS系統(tǒng)提供遠(yuǎn)程管理軟件，1個(gè)公司開發(fā)高精密工業(yè)攝像機(jī)及相關(guān)軟件。

目前能夠發(fā)現(xiàn)的Havex病毒用來通信的C&C服務(wù)器多達(dá)146個(gè)，并且有超過1500個(gè)IP地址正在向C&C服務(wù)器發(fā)送數(shù)據(jù)。 Havex家族可查編制超過88個(gè)，并正在不斷繁衍。

CrowdStrike披露了一項(xiàng)被稱為“Energetic Bear”的網(wǎng)絡(luò)間諜活動(dòng)，在這項(xiàng)活動(dòng)中黑客們可能試圖通過俄羅斯聯(lián)邦滲透歐洲、美國和亞洲能源公司的計(jì)算機(jī)網(wǎng)絡(luò)。據(jù)CrowdStrike稱，網(wǎng)絡(luò)攻擊中所用的惡意軟件就是Havex RAT和SYSMain RAT，同時(shí)Havex RAT可能是SYSMain RAT的更新版，這兩個(gè)工具至少在2011年就被攻擊者使用過。

C&C服務(wù)器會(huì)指示受感染的計(jì)算機(jī)下載并執(zhí)行更進(jìn)一步的組件。當(dāng)分析此組件時(shí)，發(fā)現(xiàn)它會(huì)枚舉局域網(wǎng)，并尋找連接的資源和服務(wù)器。該程序調(diào)用了微軟的COM對(duì)象接口（CoInitializeEx，CoCreateInstanceEx ），來連接特定的服務(wù)。上述兩個(gè)接口是用OPC標(biāo)準(zhǔn)基金會(huì)定義的OPCEnum.exe來實(shí)現(xiàn)的，這段代碼的目的就是訪問局域網(wǎng)中運(yùn)行的OPCEnum.exe程序，通過調(diào)用IID_OPCServerList2接口來獲取機(jī)器上運(yùn)行的OPCServer程序。收集到的情報(bào)以bzip格式壓縮，然后利用RSAEuro進(jìn)行加密，最后保存為.yls文件，放置于機(jī)器的臨時(shí)文件夾下。文件中記錄了OPCServer中的較為詳細(xì)的信息，包括OPCServer中的組情況、Tag名稱、類型等。通過Tag數(shù)量就能大概推斷出工廠的規(guī)模，某些Tag很敏感，對(duì)數(shù)據(jù)值進(jìn)行強(qiáng)行修改會(huì)產(chǎn)生對(duì)控制系統(tǒng)運(yùn)行非常嚴(yán)重的后果。某些廠商的OPCServer中可能存在漏洞，利用這些已知的、未知的漏洞可以進(jìn)一步侵入OPCServer。

2017年2月13日，佐治亞理工的網(wǎng)絡(luò)安全研究人員基于上述方法開發(fā)了一種針對(duì)能夠模擬接管控制水處理廠的勒索軟件。Formby 和 Beyah使用搜索程序找到了1400個(gè)可以通過Internet 直接訪問的PLC。該軟件在獲取訪問權(quán)限后，能夠命令可編程邏輯控制器（PLC）關(guān)閉閥門，添加水、氯含量等操作，能夠顯示錯(cuò)誤的讀數(shù)。他們的模擬攻擊針對(duì)三個(gè)不同的設(shè)備，并測試了他們的安全設(shè)置，包括密碼保護(hù)和設(shè)置。他們模擬了進(jìn)入系統(tǒng)，并向水中傾倒大量的氯！

（二）烏克蘭東部停電事件還原與元兇BE Killdisk分析

2015年12月23日下午，烏克蘭首都基輔部分地區(qū)和烏克蘭西部的140萬名居民突然發(fā)現(xiàn)家中停電。這次停電不是因?yàn)殡娏Χ倘?，而是遭到了黑客攻擊。黑客利用欺騙手段讓電力公司員工下載了一款惡意軟件“Black Energy”(黑暗力量)。該惡意軟件最早可追溯到2007年，由俄羅斯地下黑客組織開發(fā)并廣泛使用，包括用來“刺探”全球各國的電力公司。當(dāng)天，黑客攻擊了約60座變電站。黑客首先操作惡意軟件將電力公司的主控電腦與變電站斷連，隨后又在系統(tǒng)中植入病毒，讓電腦全體癱瘓。與此同時(shí)，黑客還對(duì)電力公司的電話通訊進(jìn)行了干擾，導(dǎo)致受到停電影響的居民無法和電力公司進(jìn)行聯(lián)系。

烏克蘭停電事件發(fā)生后，2016年1月6日Malware Benchmark首先在國內(nèi)報(bào)道了該事件。1月7日，我們就從烏克蘭獲取了Black Energy的相關(guān)惡意代碼樣本，并在國際范圍內(nèi)首先發(fā)布了killdisk的簡要分析報(bào)告。同時(shí)，向CERT、國安、公安、國電、南網(wǎng)等相關(guān)部門提交了樣本。接下來，受邀參加了多個(gè)相關(guān)大型國企的安全排查工作，并形成了系列分析報(bào)告。

事后分析烏克蘭東部停電事件原因，發(fā)現(xiàn)此次重大停電事件竟源于一封主題為“注意！2016-2025 年OEC烏克蘭發(fā)展計(jì)劃研討會(huì)變更舉行日期”偽造釣魚郵件引發(fā)的“血案”，惡意代碼隱藏在郵件的附件—《烏克蘭2016年至2025年聯(lián)合能源系統(tǒng)發(fā)展規(guī)劃》中。

惡意代碼的入侵過程是：

1.枚舉系統(tǒng)進(jìn)程及提權(quán)操作；

2.讀取電腦賬戶；

3.計(jì)時(shí)操作（定時(shí)觸發(fā)）；

4.創(chuàng)建本地線程；

5.枚舉進(jìn)程；

引發(fā)烏克蘭東部停電事件的釣魚郵件

6.修改敏感的系統(tǒng)文件；

7.在系統(tǒng)目錄釋放敏感文件；

8.寫文件、查找文件、刪除文件、修改文件；

9.設(shè)置對(duì)象安全信息；

10.修改硬盤引導(dǎo)扇區(qū)；

11.直接操作物理設(shè)備。

據(jù)統(tǒng)計(jì)，91%的網(wǎng)絡(luò)安全事件源于類似的釣魚郵件！此次事件也使Malware Benchmark一役成名。

（三）歐洲能源公司遭入侵事件還原與元兇SFG分析

被稱為 “SFG”的惡意軟件已經(jīng)感染至少一個(gè)歐洲能源公司，并正在西歐國家呈蔓延趨勢。事件發(fā)生后，2016年12月2日Malware Benchmark首先在國內(nèi)報(bào)道了該事件。我們獲取了SFG惡意代碼樣本，并在國際范圍內(nèi)首先發(fā)布了簡要分析報(bào)告。

該基于windows的惡意軟件可以“查殺”反病毒進(jìn)程，直到它可以安全運(yùn)行。同時(shí)，加密了關(guān)鍵功能的代碼，以至于很難被發(fā)現(xiàn)和分析。它還有“抗虛擬執(zhí)行”功能，在沙盒環(huán)境中，它不會(huì)執(zhí)行。

該惡意軟件支持對(duì)人臉識(shí)別、指紋掃描儀和其他先進(jìn)的生物識(shí)別訪問，并獲取系統(tǒng)控制權(quán)限。SFG主要利用的漏洞包括：CVE-2014-4113 和CVE-2015-1701，支持提權(quán)。一旦它已獲得了一臺(tái)計(jì)算機(jī)的管理控制權(quán)，惡意軟件調(diào)查已連接的網(wǎng)絡(luò)，向其運(yùn)營者報(bào)告受感染的網(wǎng)絡(luò)信息，以等待進(jìn)一步的指令，給有針對(duì)性的工業(yè)控制系統(tǒng)安裝后門。

該惡意軟件通過大量的檢查，來判定它是否處在沙箱中，或者計(jì)算機(jī)系統(tǒng)中是否已經(jīng)安裝殺毒軟件。惡意代碼編寫者如何逃避沙箱和殺軟的阻礙呢？

據(jù)分析，惡意代碼編寫者采用如下兩種策略：

1.如果檢測到運(yùn)行在虛擬機(jī)或者沙箱中，或者有分析員手動(dòng)分析，惡意代碼將加密 .data部分，并且提前終止程序。

2.如果檢測到計(jì)算機(jī)系統(tǒng)已安裝殺毒軟件，將仔細(xì)啟用或禁用惡意感染行為，以逃避檢測。

程序使用RC4 加密.data 區(qū)域。加密區(qū)域包含三個(gè)blob：

●有效的payload（一個(gè)windows本地API應(yīng)用）；

●帶有 UAC的DLL；

●針對(duì)CVE-2014-4113 開發(fā)的64 位可執(zhí)行文件。

RC4密碼“dqrChZonUF”，而RC4 執(zhí)行看起來像在 FreeBSD 和 XNU 內(nèi)核中找到的代碼的直接復(fù)制。payload從受感染的機(jī)器收集信息并通過HTTP報(bào)告回其C2服務(wù)器。收集的特征顯示HTTP主機(jī)字段始終為nullptr。

2016年較2015年網(wǎng)絡(luò)攻擊數(shù)量增加了110%。尤其是針對(duì)數(shù)據(jù)采集與監(jiān)控（SCADA）系統(tǒng)的攻擊顯著增加，其中針對(duì)SCADA暴力破解攻擊占了很大比重，原因是被攻擊的SCADA系統(tǒng)有些時(shí)候會(huì)暴露在互聯(lián)網(wǎng)上，并且存在弱密碼。

在大量的攻擊行為里使用了SMOD的滲透測試框架，這個(gè)工具2016年1月在GitHub發(fā)布，它可以掃描Modbus串行通信協(xié)議脆弱點(diǎn)，也可以用來做暴力破解攻擊。

針對(duì)攻擊源的分析表明，大多數(shù)攻擊者來自美國（60%），其次是巴基斯坦（20%）和中國（12%）。美國也是攻擊目的地的前5名國家之一。專家認(rèn)為這一數(shù)據(jù)也是正常的，因?yàn)槊绹鴵碛惺澜缟献疃嗟倪B接互聯(lián)網(wǎng)的ICS系統(tǒng)。

（四）美國東部斷網(wǎng)事件還原與元兇Mirai分析

2016年10月21日，一場始于美國東部的大規(guī)模互聯(lián)網(wǎng)癱瘓席卷全美。斷網(wǎng)事件源于，以迪恩和亞馬遜為代表的網(wǎng)絡(luò)服務(wù)提供商，遭到了受Mirai等惡意代碼控制的號(hào)稱“百萬”物聯(lián)網(wǎng)設(shè)備的DNS攻擊，參與此次攻擊的物聯(lián)網(wǎng)設(shè)備類型多樣，有百萬臺(tái)之多，一次攻擊流量超過1Tbps。不久，美國東部再次遭受斷網(wǎng)。事件發(fā)生前，Malware Benchmark在9月發(fā)布了BashLite家族的分析報(bào)告，在10月5日就發(fā)出了互聯(lián)網(wǎng)可能發(fā)生大規(guī)模DoS攻擊的警告，并于10月9日、11日發(fā)布了Mirai的分析報(bào)告，但災(zāi)難還是發(fā)生了！此次事件并沒有就此結(jié)束，隨后新加坡StarHub（星和）和我國也受到了此類攻擊，流量超500G。歐盟委員會(huì)、德國等世界各地發(fā)生多起類似事件。事件中華為海思芯片及相關(guān)主板的?？低?、大華、雄邁等廠商產(chǎn)品是主要受害者，甚至包括華為和中興的打印機(jī)、路由器。據(jù)統(tǒng)計(jì)，我國境內(nèi)已查證受控設(shè)備遠(yuǎn)超10萬臺(tái)。

此次事件，黑客利用的漏洞包括：弱口令、SSHowDowN Proxy、Bash Shell后門等。部分惡意代碼兼具傳播、滲透功能，可以加載更多的功能模塊。例如Mirai的load模塊提供了用戶可定制的功能，DYREZA惡意代碼能夠通過路由器傳播大量的滲透工具。黑客采用DDoS攻擊的方式本身沒有改變，而是尋找到了新的模式，如Malware-as-Service、Ransomware-as-Service， 而開放源代碼猶如打開了“潘多拉盒子”，加速了這一過程。

Mirai已升級(jí)為Rakos，呈家族化，并對(duì)全球物聯(lián)網(wǎng)安全造成重要影響。目前，受控設(shè)備已經(jīng)遍布全球164個(gè)國家，越南占據(jù)榜首12.8%，其后是巴西11.8%，美國10.9%，中國8.8%和墨西哥8.4%。韓國、臺(tái)灣、俄羅斯、羅馬尼亞和哥倫比亞等十個(gè)國家或地區(qū)受影響最嚴(yán)重。黑山、塔吉克斯坦和索馬里等偏遠(yuǎn)地區(qū)也未能“豁免”；目前物聯(lián)網(wǎng)受控設(shè)備包括Web服務(wù)器、路由器、調(diào)制解調(diào)器、網(wǎng)絡(luò)連接存儲(chǔ)（NAS）設(shè)備、閉路電視系統(tǒng)和工業(yè)控制系統(tǒng)等種類，數(shù)目超過百萬。

此次攻擊事件，黑客充分利用了DNS脆弱性本質(zhì)特點(diǎn)：1.DNS服務(wù)的公開性；2.DNS訪問的匿名性；3.DNS查詢的復(fù)雜性。同時(shí)，更重要的原因是物聯(lián)網(wǎng)設(shè)備的安全機(jī)制缺失，物聯(lián)網(wǎng)面臨的威脅源頭和本質(zhì)是：1.管理疏忽，無專業(yè)人員運(yùn)維；2.企業(yè)忽視，成本壓力大；3.缺乏自主創(chuàng)新，技術(shù)陳舊。實(shí)際上大多數(shù)物聯(lián)網(wǎng)設(shè)備不在保密、等保等政策和法規(guī)要求范圍之內(nèi)，業(yè)務(wù)領(lǐng)域缺乏政策引導(dǎo)和監(jiān)督，也沒有規(guī)?；瘜I(yè)安全企業(yè)提供相關(guān)服務(wù)。

二、關(guān)于工控物聯(lián)網(wǎng)安全威脅的反思

物聯(lián)網(wǎng)及其應(yīng)用已經(jīng)深入滲透到社會(huì)的方方面面，與能源、交通、金融等國家關(guān)鍵基礎(chǔ)設(shè)施、智慧城市管理運(yùn)營等緊密相關(guān)，是網(wǎng)絡(luò)空間的重要組成部分，其安全威脅不容小覷，造成的影響，有可能更甚于傳統(tǒng)安全領(lǐng)域。

作為網(wǎng)絡(luò)技術(shù)的發(fā)源地，美國在應(yīng)對(duì)工控物聯(lián)網(wǎng)安全威脅方面值得研究和借鑒。美國的具體做法包括：

（一）加強(qiáng)信息共享

建立運(yùn)營信息共享與分析組織(ISAOs)。通過“2015網(wǎng)絡(luò)安全法案”，國土安全部已經(jīng)取得了建立ISAOs運(yùn)作標(biāo)準(zhǔn)的授權(quán)，加強(qiáng)整個(gè)聯(lián)邦政府機(jī)構(gòu)信息共享、檢測和響應(yīng)方面網(wǎng)絡(luò)安全的要求，并加強(qiáng)網(wǎng)絡(luò)從業(yè)人員團(tuán)隊(duì)建設(shè)。2014年中心共收到約97000份事故報(bào)告，在聯(lián)邦和非聯(lián)邦系統(tǒng)上檢測到約64000個(gè)漏洞。

InfraGard助力美工業(yè)行業(yè)開展網(wǎng)絡(luò)防護(hù)。早在2003年，聯(lián)邦調(diào)查局和其他安全機(jī)構(gòu)，通過FBI的商業(yè)伙伴InfraGard，與多家商業(yè)企業(yè)共享企業(yè)網(wǎng)絡(luò)數(shù)據(jù)，建立了網(wǎng)絡(luò)空間內(nèi)威脅、情報(bào)、犯罪和安全事件的信息交換機(jī)制。

（二）開展評(píng)估演練

開展大數(shù)據(jù)分析安全威脅評(píng)估。例如iSIGHT Partners用大數(shù)據(jù)分析通過GridStrike發(fā)現(xiàn)可造成全美停電的變電站，給出15個(gè)變電站作為電力系統(tǒng)的骨干網(wǎng)，即癱瘓這些變電站將導(dǎo)致全國性的大停電。

開展多方模擬演練。例如英國和美國在2016年進(jìn)行一場聯(lián)合演習(xí)，模擬“黑客”攻擊核電站時(shí)可能會(huì)出現(xiàn)的情景，以此來測試政府和公用事業(yè)公司的應(yīng)變能力和措施。

（三）加快立法研究

國會(huì)研究立法。國會(huì)提出自2017年到2025年，每年撥專款1億美元用于網(wǎng)絡(luò)安全的研究和發(fā)展、培訓(xùn)和配套的措施，強(qiáng)化對(duì)電網(wǎng)的攻防測試、測評(píng)。提案得到參議院能源委員、白宮、網(wǎng)絡(luò)安全界人士支持。

三、加強(qiáng)工控物聯(lián)網(wǎng)安全的建議

物聯(lián)網(wǎng)設(shè)備和網(wǎng)絡(luò)大部分時(shí)間涉及HMI（人機(jī)界面）較少，容易成為網(wǎng)絡(luò)空間安全領(lǐng)域的“死角”，由于長期受到忽視，急需補(bǔ)課。實(shí)際上物聯(lián)網(wǎng)面臨著與互聯(lián)網(wǎng)同樣的安全威脅，但是，物聯(lián)網(wǎng)網(wǎng)絡(luò)安全威脅的新源頭不是原理層面，更多是管理層面。為加強(qiáng)我國工控物聯(lián)網(wǎng)安全，我們建議：

（一）加強(qiáng)物聯(lián)網(wǎng)設(shè)備的安全機(jī)制建設(shè)

加強(qiáng)政策引導(dǎo)和監(jiān)督。包括：加強(qiáng)相關(guān)法規(guī)建設(shè)；在重點(diǎn)行業(yè)、區(qū)域、領(lǐng)域?qū)嵤彶楹蜏?zhǔn)入制；加強(qiáng)相關(guān)管理運(yùn)維制度建設(shè)；在相關(guān)領(lǐng)域建立合適的獎(jiǎng)勵(lì)激勵(lì)機(jī)制。

成立相關(guān)機(jī)構(gòu)或部門。加強(qiáng)物聯(lián)網(wǎng)安全領(lǐng)域?qū)I(yè)的執(zhí)法監(jiān)督、應(yīng)急響應(yīng)、測評(píng)、測試、咨詢、監(jiān)理機(jī)構(gòu)建設(shè)；建設(shè)物聯(lián)網(wǎng)領(lǐng)域高效合理的安全事件通報(bào)和應(yīng)急響應(yīng)機(jī)制、體系；構(gòu)建物聯(lián)網(wǎng)領(lǐng)域的CA體系；與其它國家和境外企業(yè)、用戶建立國際協(xié)同的通報(bào)、預(yù)警、防御和響應(yīng)機(jī)制。

加強(qiáng)相關(guān)技術(shù)手段建設(shè)。加強(qiáng)相關(guān)物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)和基線建設(shè)；建設(shè)國家級(jí)物聯(lián)網(wǎng)態(tài)勢感知系統(tǒng)；建設(shè)物聯(lián)網(wǎng)安全領(lǐng)域靶場和試驗(yàn)床。

同時(shí)，基于上述政策、機(jī)構(gòu)和技術(shù)手段支撐，開展物聯(lián)網(wǎng)安全的專業(yè)化常態(tài)化檢查評(píng)估；開展安全事件實(shí)時(shí)分析、通報(bào)、監(jiān)控及預(yù)警；引導(dǎo)和指導(dǎo)相關(guān)機(jī)構(gòu)和廠商開展核心技術(shù)攻研，協(xié)同用戶安全防御；扶持相關(guān)專業(yè)安全廠商與服務(wù)隊(duì)伍；開展相關(guān)知識(shí)的宣講和人員培訓(xùn)；做好輿論準(zhǔn)備和積極應(yīng)對(duì)策略等工作。

（二）加強(qiáng)工控安全法律法規(guī)及技術(shù)標(biāo)準(zhǔn)規(guī)范的建設(shè)

建議在信息泄露控制方面，有效控制威脅源頭、減少暴露面；加大信息共享，建立信息發(fā)布/共享機(jī)制、明確共享范圍；實(shí)施等保分保，推進(jìn)分級(jí)分域管理，推廣成熟模式；開展檢測評(píng)估，包括設(shè)備、體系、驗(yàn)收、事故調(diào)查等；制定應(yīng)急響應(yīng)預(yù)案，建立相應(yīng)隊(duì)伍，開發(fā)技術(shù)工具；通過崗位認(rèn)證，提高人員意識(shí)和專業(yè)技術(shù)能力，建立數(shù)據(jù)留存規(guī)程標(biāo)準(zhǔn)作為取證依據(jù)；支持自主可控，夯實(shí)安全基礎(chǔ)。建立完善工控安全管理體制、政策、激勵(lì)機(jī)制，保證法律法規(guī)及技術(shù)標(biāo)準(zhǔn)規(guī)范有效實(shí)施。