黑客web脚本攻击与防御技术核心剖析 乌克兰电力攻击事件分析及防护方案
2015年12月,乌克兰电力公司设备遭到黑客攻击,并导致大规模停电事件,已引起公众极大的恐慌。本文对该事件相关信息及核心样本进行了分析及验证,并给出应对方案。
乌克兰电力公司设备被攻击事件
2016年1月4日,ESET公司发表文章称,乌克兰境内的多家配电公司设备中监测到的KillDisk,由此怀疑使用了BlackEnergy后门,攻击者能够利用它来远程访问并控制电力控制系统。由于此事件是针对电力设备的攻击,对于国家关键基础设施的安全性具有非比寻常的意义,故存在巨大的风险。相关情况如下:
事件基本情况
攻击的基本过程
本次攻击主要针对乌克兰电力部门,攻击者以钓鱼邮件方式,附带木马XLS文件,诱惑用户打开这个文件,从而运行木马,安装SSH后门,以便攻击者可以针对目标下发工业控制指令,必要时运行killdisk进行系统自毁,延长系统恢复时间。
危害和影响分析
在此次事件中,BlackEnergy木马被用于损毁电力设备或放置后门,以便攻击者可以远程控制这些设备,进行更多攻击动作。相关的危害性分析如下:
木马功能越来越强大
该木马从2007第一次被发现到今天,软件作者频繁更新其功能,逐渐变得功能异常强大.
BlackEnergy技术发展
图1 BlackEnergy技术发展(图片来自F-Secure BlackEnergy whitepaper)
国内可能遭遇的危害
之所以发生此次事件,是由于国外的电力设备有相当一部分都接入了互联网,攻击者得以通过邮件的形式诱骗工作人员,从而进入系统实施攻击。相比之下,国内大多工控设施及相关业务系统都采用了专网的形式或者与互联网隔绝,这在相当程度上阻止了此类事件的发生,但需要注意的是,在绿盟科技长年对于工控安全的研究中发现,移动存储设备时常成为木马入侵的途径之一,如果BlackEnergy木马通过这种形式感染业务系统设备后,完全有可能通过预置的攻击方案,对工控系统实施打击,比如利用KillDisk损毁主机,这样控制系统重启过程中一旦无法读取配置,将导致整个系统停机。
事件防护方案
本次攻击主要以邮件方式传播木马XLS文件,利用社会工程学,诱惑被攻击者打开文件,运行木马,安装SSH后门,保证攻击者可以长时间控制被感染的主机。针对目标下发工业控制指令,必要时运行killdisk进行系统自毁,延长系统恢复时间。
基于目前绿盟科技工控系统安全专家的分析情况来看,已经启动了一套应对方案黑客web脚本攻击与防御技术核心剖析,随时可以帮助客户应对该事件,避免造成更大的风险和损失,这些方案包括:
产品自动升级服务
绿盟入侵防护系统(NSFOCUS NIPS)将在2016年1月16日发布产品规则升级包,包括567、568、569版本,用户升级后即可提供实时防护。
升级办法 绿盟科技已在软件升级公告中提供规则升级包,规则可以通过产品界面的在线升级进行。如果您的业务系统暂时还无法升级规则包,那么可以在软件升级页面中,找到对应的产品,通过下载升级包,以离线方式进行升级。相关升级信息请随时关注:
极光自助扫描服务
绿盟远程安全评估系统(RSAS)通过绿盟云也交付了云端自助扫描服务(极光自助扫描服务),用户可以通过该服务的资产管理功能定期对主机设备进行漏洞检查卡盟,以便对多种漏洞进行风险监测,发现内网中交换路由设备上存在的安全漏洞。
登录24小时在线极光自助扫描页面,随时申请,随时试用,随时检查,申请链接如下:
#/krosa/views/initcdr/productandservice?pid=1&sid=0&cid=1
反垃圾邮件服务
