從工控物聯網領域大事件解析安全威脅

◎國家網絡空間安全發展創新中心 單 征

2016年，全球工業控制信息安全權威機構——美國工業控制系統網絡應急響應小組（Industrial Control Systems Cyber Emergency Response Team，ICS-CERT）公布了工控物聯網領域四件重大安全事件，每個事件都給有關國家和地區造成了重大的經濟損失或社會影響。本文介紹了這些事件發生的過程，從多個方面深入解析了事件發生的原因，并對我國工控物聯網安全提出了具體建議。

一、事件分析

（一）HAVEX針對SCADA OPC的APT分析

2014年6月25日，ICS-CERT發布了題為“ICS Focused Malware”的安全通告ICSALERT-14-176-02。通告稱：發現多個廠商的主站以這種方式被攻入，其網站上提供的軟件安裝包中包含Havex病毒，Havex是一種類似Stuxnet（震網）的病毒，該病毒是專門針對工業控制系統編寫的破壞性病毒。

遭受病毒攻擊的廠商分別位于德國、瑞士和比利時，這些公司開發面向工業領域的設備和軟件，其中兩個公司為ICS系統提供遠程管理軟件，1個公司開發高精密工業攝像機及相關軟件。

目前能夠發現的Havex病毒用來通信的C&C服務器多達146個，并且有超過1500個IP地址正在向C&C服務器發送數據。 Havex家族可查編制超過88個，并正在不斷繁衍。

CrowdStrike披露了一項被稱為“Energetic Bear”的網絡間諜活動，在這項活動中黑客們可能試圖通過俄羅斯聯邦滲透歐洲、美國和亞洲能源公司的計算機網絡。據CrowdStrike稱，網絡攻擊中所用的惡意軟件就是Havex RAT和SYSMain RAT，同時Havex RAT可能是SYSMain RAT的更新版，這兩個工具至少在2011年就被攻擊者使用過。

C&C服務器會指示受感染的計算機下載并執行更進一步的組件。當分析此組件時，發現它會枚舉局域網，并尋找連接的資源和服務器。該程序調用了微軟的COM對象接口（CoInitializeEx，CoCreateInstanceEx ），來連接特定的服務。上述兩個接口是用OPC標準基金會定義的OPCEnum.exe來實現的，這段代碼的目的就是訪問局域網中運行的OPCEnum.exe程序，通過調用IID_OPCServerList2接口來獲取機器上運行的OPCServer程序。收集到的情報以bzip格式壓縮，然后利用RSAEuro進行加密，最后保存為.yls文件，放置于機器的臨時文件夾下。文件中記錄了OPCServer中的較為詳細的信息，包括OPCServer中的組情況、Tag名稱、類型等。通過Tag數量就能大概推斷出工廠的規模，某些Tag很敏感，對數據值進行強行修改會產生對控制系統運行非常嚴重的后果。某些廠商的OPCServer中可能存在漏洞，利用這些已知的、未知的漏洞可以進一步侵入OPCServer。

2017年2月13日，佐治亞理工的網絡安全研究人員基于上述方法開發了一種針對能夠模擬接管控制水處理廠的勒索軟件。Formby 和 Beyah使用搜索程序找到了1400個可以通過Internet 直接訪問的PLC。該軟件在獲取訪問權限后，能夠命令可編程邏輯控制器（PLC）關閉閥門，添加水、氯含量等操作，能夠顯示錯誤的讀數。他們的模擬攻擊針對三個不同的設備，并測試了他們的安全設置，包括密碼保護和設置。他們模擬了進入系統，并向水中傾倒大量的氯！

（二）烏克蘭東部停電事件還原與元兇BE Killdisk分析

2015年12月23日下午，烏克蘭首都基輔部分地區和烏克蘭西部的140萬名居民突然發現家中停電。這次停電不是因為電力短缺，而是遭到了黑客攻擊。黑客利用欺騙手段讓電力公司員工下載了一款惡意軟件“Black Energy”(黑暗力量)。該惡意軟件最早可追溯到2007年，由俄羅斯地下黑客組織開發并廣泛使用，包括用來“刺探”全球各國的電力公司。當天，黑客攻擊了約60座變電站。黑客首先操作惡意軟件將電力公司的主控電腦與變電站斷連，隨后又在系統中植入病毒，讓電腦全體癱瘓。與此同時，黑客還對電力公司的電話通訊進行了干擾，導致受到停電影響的居民無法和電力公司進行聯系。

烏克蘭停電事件發生后，2016年1月6日Malware Benchmark首先在國內報道了該事件。1月7日，我們就從烏克蘭獲取了Black Energy的相關惡意代碼樣本，并在國際范圍內首先發布了killdisk的簡要分析報告。同時，向CERT、國安、公安、國電、南網等相關部門提交了樣本。接下來，受邀參加了多個相關大型國企的安全排查工作，并形成了系列分析報告。

事后分析烏克蘭東部停電事件原因，發現此次重大停電事件竟源于一封主題為“注意！2016-2025 年OEC烏克蘭發展計劃研討會變更舉行日期”偽造釣魚郵件引發的“血案”，惡意代碼隱藏在郵件的附件—《烏克蘭2016年至2025年聯合能源系統發展規劃》中。

惡意代碼的入侵過程是：

1.枚舉系統進程及提權操作；

2.讀取電腦賬戶；

3.計時操作（定時觸發）；

4.創建本地線程；

5.枚舉進程；

引發烏克蘭東部停電事件的釣魚郵件

6.修改敏感的系統文件；

7.在系統目錄釋放敏感文件；

8.寫文件、查找文件、刪除文件、修改文件；

9.設置對象安全信息；

10.修改硬盤引導扇區；

11.直接操作物理設備。

據統計，91%的網絡安全事件源于類似的釣魚郵件！此次事件也使Malware Benchmark一役成名。

（三）歐洲能源公司遭入侵事件還原與元兇SFG分析

被稱為 “SFG”的惡意軟件已經感染至少一個歐洲能源公司，并正在西歐國家呈蔓延趨勢。事件發生后，2016年12月2日Malware Benchmark首先在國內報道了該事件。我們獲取了SFG惡意代碼樣本，并在國際范圍內首先發布了簡要分析報告。

該基于windows的惡意軟件可以“查殺”反病毒進程，直到它可以安全運行。同時，加密了關鍵功能的代碼，以至于很難被發現和分析。它還有“抗虛擬執行”功能，在沙盒環境中，它不會執行。

該惡意軟件支持對人臉識別、指紋掃描儀和其他先進的生物識別訪問，并獲取系統控制權限。SFG主要利用的漏洞包括：CVE-2014-4113 和CVE-2015-1701，支持提權。一旦它已獲得了一臺計算機的管理控制權，惡意軟件調查已連接的網絡，向其運營者報告受感染的網絡信息，以等待進一步的指令，給有針對性的工業控制系統安裝后門。

該惡意軟件通過大量的檢查，來判定它是否處在沙箱中，或者計算機系統中是否已經安裝殺毒軟件。惡意代碼編寫者如何逃避沙箱和殺軟的阻礙呢？

據分析，惡意代碼編寫者采用如下兩種策略：

1.如果檢測到運行在虛擬機或者沙箱中，或者有分析員手動分析，惡意代碼將加密 .data部分，并且提前終止程序。

2.如果檢測到計算機系統已安裝殺毒軟件，將仔細啟用或禁用惡意感染行為，以逃避檢測。

程序使用RC4 加密.data 區域。加密區域包含三個blob：

●有效的payload（一個windows本地API應用）；

●帶有 UAC的DLL；

●針對CVE-2014-4113 開發的64 位可執行文件。

RC4密碼“dqrChZonUF”，而RC4 執行看起來像在 FreeBSD 和 XNU 內核中找到的代碼的直接復制。payload從受感染的機器收集信息并通過HTTP報告回其C2服務器。收集的特征顯示HTTP主機字段始終為nullptr。

2016年較2015年網絡攻擊數量增加了110%。尤其是針對數據采集與監控（SCADA）系統的攻擊顯著增加，其中針對SCADA暴力破解攻擊占了很大比重，原因是被攻擊的SCADA系統有些時候會暴露在互聯網上，并且存在弱密碼。

在大量的攻擊行為里使用了SMOD的滲透測試框架，這個工具2016年1月在GitHub發布，它可以掃描Modbus串行通信協議脆弱點，也可以用來做暴力破解攻擊。

針對攻擊源的分析表明，大多數攻擊者來自美國（60%），其次是巴基斯坦（20%）和中國（12%）。美國也是攻擊目的地的前5名國家之一。專家認為這一數據也是正常的，因為美國擁有世界上最多的連接互聯網的ICS系統。

（四）美國東部斷網事件還原與元兇Mirai分析

2016年10月21日，一場始于美國東部的大規模互聯網癱瘓席卷全美。斷網事件源于，以迪恩和亞馬遜為代表的網絡服務提供商，遭到了受Mirai等惡意代碼控制的號稱“百萬”物聯網設備的DNS攻擊，參與此次攻擊的物聯網設備類型多樣，有百萬臺之多，一次攻擊流量超過1Tbps。不久，美國東部再次遭受斷網。事件發生前，Malware Benchmark在9月發布了BashLite家族的分析報告，在10月5日就發出了互聯網可能發生大規模DoS攻擊的警告，并于10月9日、11日發布了Mirai的分析報告，但災難還是發生了！此次事件并沒有就此結束，隨后新加坡StarHub（星和）和我國也受到了此類攻擊，流量超500G。歐盟委員會、德國等世界各地發生多起類似事件。事件中華為海思芯片及相關主板的海康威視、大華、雄邁等廠商產品是主要受害者，甚至包括華為和中興的打印機、路由器。據統計，我國境內已查證受控設備遠超10萬臺。

此次事件，黑客利用的漏洞包括：弱口令、SSHowDowN Proxy、Bash Shell后門等。部分惡意代碼兼具傳播、滲透功能，可以加載更多的功能模塊。例如Mirai的load模塊提供了用戶可定制的功能，DYREZA惡意代碼能夠通過路由器傳播大量的滲透工具。黑客采用DDoS攻擊的方式本身沒有改變，而是尋找到了新的模式，如Malware-as-Service、Ransomware-as-Service， 而開放源代碼猶如打開了“潘多拉盒子”，加速了這一過程。

Mirai已升級為Rakos，呈家族化，并對全球物聯網安全造成重要影響。目前，受控設備已經遍布全球164個國家，越南占據榜首12.8%，其后是巴西11.8%，美國10.9%，中國8.8%和墨西哥8.4%。韓國、臺灣、俄羅斯、羅馬尼亞和哥倫比亞等十個國家或地區受影響最嚴重。黑山、塔吉克斯坦和索馬里等偏遠地區也未能“豁免”；目前物聯網受控設備包括Web服務器、路由器、調制解調器、網絡連接存儲（NAS）設備、閉路電視系統和工業控制系統等種類，數目超過百萬。

此次攻擊事件，黑客充分利用了DNS脆弱性本質特點：1.DNS服務的公開性；2.DNS訪問的匿名性；3.DNS查詢的復雜性。同時，更重要的原因是物聯網設備的安全機制缺失，物聯網面臨的威脅源頭和本質是：1.管理疏忽，無專業人員運維；2.企業忽視，成本壓力大；3.缺乏自主創新，技術陳舊。實際上大多數物聯網設備不在保密、等保等政策和法規要求范圍之內，業務領域缺乏政策引導和監督，也沒有規模化專業安全企業提供相關服務。

二、關于工控物聯網安全威脅的反思

物聯網及其應用已經深入滲透到社會的方方面面，與能源、交通、金融等國家關鍵基礎設施、智慧城市管理運營等緊密相關，是網絡空間的重要組成部分，其安全威脅不容小覷，造成的影響，有可能更甚于傳統安全領域。

作為網絡技術的發源地，美國在應對工控物聯網安全威脅方面值得研究和借鑒。美國的具體做法包括：

（一）加強信息共享

建立運營信息共享與分析組織(ISAOs)。通過“2015網絡安全法案”，國土安全部已經取得了建立ISAOs運作標準的授權，加強整個聯邦政府機構信息共享、檢測和響應方面網絡安全的要求，并加強網絡從業人員團隊建設。2014年中心共收到約97000份事故報告，在聯邦和非聯邦系統上檢測到約64000個漏洞。

InfraGard助力美工業行業開展網絡防護。早在2003年，聯邦調查局和其他安全機構，通過FBI的商業伙伴InfraGard，與多家商業企業共享企業網絡數據，建立了網絡空間內威脅、情報、犯罪和安全事件的信息交換機制。

（二）開展評估演練

開展大數據分析安全威脅評估。例如iSIGHT Partners用大數據分析通過GridStrike發現可造成全美停電的變電站，給出15個變電站作為電力系統的骨干網，即癱瘓這些變電站將導致全國性的大停電。

開展多方模擬演練。例如英國和美國在2016年進行一場聯合演習，模擬“黑客”攻擊核電站時可能會出現的情景，以此來測試政府和公用事業公司的應變能力和措施。

（三）加快立法研究

國會研究立法。國會提出自2017年到2025年，每年撥專款1億美元用于網絡安全的研究和發展、培訓和配套的措施，強化對電網的攻防測試、測評。提案得到參議院能源委員、白宮、網絡安全界人士支持。

三、加強工控物聯網安全的建議

物聯網設備和網絡大部分時間涉及HMI（人機界面）較少，容易成為網絡空間安全領域的“死角”，由于長期受到忽視，急需補課。實際上物聯網面臨著與互聯網同樣的安全威脅，但是，物聯網網絡安全威脅的新源頭不是原理層面，更多是管理層面。為加強我國工控物聯網安全，我們建議：

（一）加強物聯網設備的安全機制建設

加強政策引導和監督。包括：加強相關法規建設；在重點行業、區域、領域實施審查和準入制；加強相關管理運維制度建設；在相關領域建立合適的獎勵激勵機制。

成立相關機構或部門。加強物聯網安全領域專業的執法監督、應急響應、測評、測試、咨詢、監理機構建設；建設物聯網領域高效合理的安全事件通報和應急響應機制、體系；構建物聯網領域的CA體系；與其它國家和境外企業、用戶建立國際協同的通報、預警、防御和響應機制。

加強相關技術手段建設。加強相關物聯網安全標準和基線建設；建設國家級物聯網態勢感知系統；建設物聯網安全領域靶場和試驗床。

同時，基于上述政策、機構和技術手段支撐，開展物聯網安全的專業化常態化檢查評估；開展安全事件實時分析、通報、監控及預警；引導和指導相關機構和廠商開展核心技術攻研，協同用戶安全防御；扶持相關專業安全廠商與服務隊伍；開展相關知識的宣講和人員培訓；做好輿論準備和積極應對策略等工作。

（二）加強工控安全法律法規及技術標準規范的建設

建議在信息泄露控制方面，有效控制威脅源頭、減少暴露面；加大信息共享，建立信息發布/共享機制、明確共享范圍；實施等保分保，推進分級分域管理，推廣成熟模式；開展檢測評估，包括設備、體系、驗收、事故調查等；制定應急響應預案，建立相應隊伍，開發技術工具；通過崗位認證，提高人員意識和專業技術能力，建立數據留存規程標準作為取證依據；支持自主可控，夯實安全基礎。建立完善工控安全管理體制、政策、激勵機制，保證法律法規及技術標準規范有效實施。