◎國家網(wǎng)絡(luò)空間安全發(fā)展創(chuàng)新中心 單 征

2016年，全球工業(yè)控制信息安全權(quán)威機構(gòu)——美國工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組（Industrial Control Systems Cyber Emergency Response Team，ICS-CERT）公布了工控物聯(lián)網(wǎng)領(lǐng)域四件重大安全事件，每個事件都給有關(guān)國家和地區(qū)造成了重大的經(jīng)濟損失或社會影響。本文介紹了這些事件發(fā)生的過程，從多個方面深入解析了事件發(fā)生的原因，并對我國工控物聯(lián)網(wǎng)安全提出了具體建議。

一、事件分析

（一）HAVEX針對SCADA OPC的APT分析

2014年6月25日，ICS-CERT發(fā)布了題為“ICS Focused Malware”的安全通告ICSALERT-14-176-02。通告稱：發(fā)現(xiàn)多個廠商的主站以這種方式被攻入，其網(wǎng)站上提供的軟件安裝包中包含Havex病毒，Havex是一種類似Stuxnet（震網(wǎng)）的病毒，該病毒是專門針對工業(yè)控制系統(tǒng)編寫的破壞性病毒。

遭受病毒攻擊的廠商分別位于德國、瑞士和比利時，這些公司開發(fā)面向工業(yè)領(lǐng)域的設(shè)備和軟件，其中兩個公司為ICS系統(tǒng)提供遠程管理軟件，1個公司開發(fā)高精密工業(yè)攝像機及相關(guān)軟件。

目前能夠發(fā)現(xiàn)的Havex病毒用來通信的C&C服務(wù)器多達146個，并且有超過1500個IP地址正在向C&C服務(wù)器發(fā)送數(shù)據(jù)。 Havex家族可查編制超過88個，并正在不斷繁衍。

CrowdStrike披露了一項被稱為“Energetic Bear”的網(wǎng)絡(luò)間諜活動，在這項活動中黑客們可能試圖通過俄羅斯聯(lián)邦滲透歐洲、美國和亞洲能源公司的計算機網(wǎng)絡(luò)。據(jù)CrowdStrike稱，網(wǎng)絡(luò)攻擊中所用的惡意軟件就是Havex RAT和SYSMain RAT，同時Havex RAT可能是SYSMain RAT的更新版，這兩個工具至少在2011年就被攻擊者使用過。

C&C服務(wù)器會指示受感染的計算機下載并執(zhí)行更進一步的組件。當(dāng)分析此組件時，發(fā)現(xiàn)它會枚舉局域網(wǎng)，并尋找連接的資源和服務(wù)器。該程序調(diào)用了微軟的COM對象接口（CoInitializeEx，CoCreateInstanceEx ），來連接特定的服務(wù)。上述兩個接口是用OPC標準基金會定義的OPCEnum.exe來實現(xiàn)的，這段代碼的目的就是訪問局域網(wǎng)中運行的OPCEnum.exe程序，通過調(diào)用IID_OPCServerList2接口來獲取機器上運行的OPCServer程序。收集到的情報以bzip格式壓縮，然后利用RSAEuro進行加密，最后保存為.yls文件，放置于機器的臨時文件夾下。文件中記錄了OPCServer中的較為詳細的信息，包括OPCServer中的組情況、Tag名稱、類型等。通過Tag數(shù)量就能大概推斷出工廠的規(guī)模，某些Tag很敏感，對數(shù)據(jù)值進行強行修改會產(chǎn)生對控制系統(tǒng)運行非常嚴重的后果。某些廠商的OPCServer中可能存在漏洞，利用這些已知的、未知的漏洞可以進一步侵入OPCServer。

2017年2月13日，佐治亞理工的網(wǎng)絡(luò)安全研究人員基于上述方法開發(fā)了一種針對能夠模擬接管控制水處理廠的勒索軟件。Formby 和 Beyah使用搜索程序找到了1400個可以通過Internet 直接訪問的PLC。該軟件在獲取訪問權(quán)限后，能夠命令可編程邏輯控制器（PLC）關(guān)閉閥門，添加水、氯含量等操作，能夠顯示錯誤的讀數(shù)。他們的模擬攻擊針對三個不同的設(shè)備，并測試了他們的安全設(shè)置，包括密碼保護和設(shè)置。他們模擬了進入系統(tǒng)，并向水中傾倒大量的氯！

（二）烏克蘭東部停電事件還原與元兇BE Killdisk分析

2015年12月23日下午，烏克蘭首都基輔部分地區(qū)和烏克蘭西部的140萬名居民突然發(fā)現(xiàn)家中停電。這次停電不是因為電力短缺，而是遭到了黑客攻擊。黑客利用欺騙手段讓電力公司員工下載了一款惡意軟件“Black Energy”(黑暗力量)。該惡意軟件最早可追溯到2007年，由俄羅斯地下黑客組織開發(fā)并廣泛使用，包括用來“刺探”全球各國的電力公司。當(dāng)天，黑客攻擊了約60座變電站。黑客首先操作惡意軟件將電力公司的主控電腦與變電站斷連，隨后又在系統(tǒng)中植入病毒，讓電腦全體癱瘓。與此同時，黑客還對電力公司的電話通訊進行了干擾，導(dǎo)致受到停電影響的居民無法和電力公司進行聯(lián)系。

烏克蘭停電事件發(fā)生后，2016年1月6日Malware Benchmark首先在國內(nèi)報道了該事件。1月7日，我們就從烏克蘭獲取了Black Energy的相關(guān)惡意代碼樣本，并在國際范圍內(nèi)首先發(fā)布了killdisk的簡要分析報告。同時，向CERT、國安、公安、國電、南網(wǎng)等相關(guān)部門提交了樣本。接下來，受邀參加了多個相關(guān)大型國企的安全排查工作，并形成了系列分析報告。

事后分析烏克蘭東部停電事件原因，發(fā)現(xiàn)此次重大停電事件竟源于一封主題為“注意！2016-2025 年OEC烏克蘭發(fā)展計劃研討會變更舉行日期”偽造釣魚郵件引發(fā)的“血案”，惡意代碼隱藏在郵件的附件—《烏克蘭2016年至2025年聯(lián)合能源系統(tǒng)發(fā)展規(guī)劃》中。

惡意代碼的入侵過程是：

1.枚舉系統(tǒng)進程及提權(quán)操作；

2.讀取電腦賬戶；

3.計時操作（定時觸發(fā)）；

4.創(chuàng)建本地線程；

5.枚舉進程；

引發(fā)烏克蘭東部停電事件的釣魚郵件

6.修改敏感的系統(tǒng)文件；

7.在系統(tǒng)目錄釋放敏感文件；

8.寫文件、查找文件、刪除文件、修改文件；

9.設(shè)置對象安全信息；

10.修改硬盤引導(dǎo)扇區(qū)；

11.直接操作物理設(shè)備。

據(jù)統(tǒng)計，91%的網(wǎng)絡(luò)安全事件源于類似的釣魚郵件！此次事件也使Malware Benchmark一役成名。

（三）歐洲能源公司遭入侵事件還原與元兇SFG分析

被稱為 “SFG”的惡意軟件已經(jīng)感染至少一個歐洲能源公司，并正在西歐國家呈蔓延趨勢。事件發(fā)生后，2016年12月2日Malware Benchmark首先在國內(nèi)報道了該事件。我們獲取了SFG惡意代碼樣本，并在國際范圍內(nèi)首先發(fā)布了簡要分析報告。

該基于windows的惡意軟件可以“查殺”反病毒進程，直到它可以安全運行。同時，加密了關(guān)鍵功能的代碼，以至于很難被發(fā)現(xiàn)和分析。它還有“抗虛擬執(zhí)行”功能，在沙盒環(huán)境中，它不會執(zhí)行。

該惡意軟件支持對人臉識別、指紋掃描儀和其他先進的生物識別訪問，并獲取系統(tǒng)控制權(quán)限。SFG主要利用的漏洞包括：CVE-2014-4113 和CVE-2015-1701，支持提權(quán)。一旦它已獲得了一臺計算機的管理控制權(quán)，惡意軟件調(diào)查已連接的網(wǎng)絡(luò)，向其運營者報告受感染的網(wǎng)絡(luò)信息，以等待進一步的指令，給有針對性的工業(yè)控制系統(tǒng)安裝后門。

該惡意軟件通過大量的檢查，來判定它是否處在沙箱中，或者計算機系統(tǒng)中是否已經(jīng)安裝殺毒軟件。惡意代碼編寫者如何逃避沙箱和殺軟的阻礙呢？

據(jù)分析，惡意代碼編寫者采用如下兩種策略：

1.如果檢測到運行在虛擬機或者沙箱中，或者有分析員手動分析，惡意代碼將加密 .data部分，并且提前終止程序。

2.如果檢測到計算機系統(tǒng)已安裝殺毒軟件，將仔細啟用或禁用惡意感染行為，以逃避檢測。

程序使用RC4 加密.data 區(qū)域。加密區(qū)域包含三個blob：

●有效的payload（一個windows本地API應(yīng)用）；

●帶有 UAC的DLL；

●針對CVE-2014-4113 開發(fā)的64 位可執(zhí)行文件。

RC4密碼“dqrChZonUF”，而RC4 執(zhí)行看起來像在 FreeBSD 和 XNU 內(nèi)核中找到的代碼的直接復(fù)制。payload從受感染的機器收集信息并通過HTTP報告回其C2服務(wù)器。收集的特征顯示HTTP主機字段始終為nullptr。

2016年較2015年網(wǎng)絡(luò)攻擊數(shù)量增加了110%。尤其是針對數(shù)據(jù)采集與監(jiān)控（SCADA）系統(tǒng)的攻擊顯著增加，其中針對SCADA暴力破解攻擊占了很大比重，原因是被攻擊的SCADA系統(tǒng)有些時候會暴露在互聯(lián)網(wǎng)上，并且存在弱密碼。

在大量的攻擊行為里使用了SMOD的滲透測試框架，這個工具2016年1月在GitHub發(fā)布，它可以掃描Modbus串行通信協(xié)議脆弱點，也可以用來做暴力破解攻擊。

針對攻擊源的分析表明，大多數(shù)攻擊者來自美國（60%），其次是巴基斯坦（20%）和中國（12%）。美國也是攻擊目的地的前5名國家之一。專家認為這一數(shù)據(jù)也是正常的，因為美國擁有世界上最多的連接互聯(lián)網(wǎng)的ICS系統(tǒng)。

（四）美國東部斷網(wǎng)事件還原與元兇Mirai分析

2016年10月21日，一場始于美國東部的大規(guī)?；ヂ?lián)網(wǎng)癱瘓席卷全美。斷網(wǎng)事件源于，以迪恩和亞馬遜為代表的網(wǎng)絡(luò)服務(wù)提供商，遭到了受Mirai等惡意代碼控制的號稱“百萬”物聯(lián)網(wǎng)設(shè)備的DNS攻擊，參與此次攻擊的物聯(lián)網(wǎng)設(shè)備類型多樣，有百萬臺之多，一次攻擊流量超過1Tbps。不久，美國東部再次遭受斷網(wǎng)。事件發(fā)生前，Malware Benchmark在9月發(fā)布了BashLite家族的分析報告，在10月5日就發(fā)出了互聯(lián)網(wǎng)可能發(fā)生大規(guī)模DoS攻擊的警告，并于10月9日、11日發(fā)布了Mirai的分析報告，但災(zāi)難還是發(fā)生了！此次事件并沒有就此結(jié)束，隨后新加坡StarHub（星和）和我國也受到了此類攻擊，流量超500G。歐盟委員會、德國等世界各地發(fā)生多起類似事件。事件中華為海思芯片及相關(guān)主板的?？低暋⒋笕A、雄邁等廠商產(chǎn)品是主要受害者，甚至包括華為和中興的打印機、路由器。據(jù)統(tǒng)計，我國境內(nèi)已查證受控設(shè)備遠超10萬臺。

此次事件，黑客利用的漏洞包括：弱口令、SSHowDowN Proxy、Bash Shell后門等。部分惡意代碼兼具傳播、滲透功能，可以加載更多的功能模塊。例如Mirai的load模塊提供了用戶可定制的功能，DYREZA惡意代碼能夠通過路由器傳播大量的滲透工具。黑客采用DDoS攻擊的方式本身沒有改變，而是尋找到了新的模式，如Malware-as-Service、Ransomware-as-Service， 而開放源代碼猶如打開了“潘多拉盒子”，加速了這一過程。

Mirai已升級為Rakos，呈家族化，并對全球物聯(lián)網(wǎng)安全造成重要影響。目前，受控設(shè)備已經(jīng)遍布全球164個國家，越南占據(jù)榜首12.8%，其后是巴西11.8%，美國10.9%，中國8.8%和墨西哥8.4%。韓國、臺灣、俄羅斯、羅馬尼亞和哥倫比亞等十個國家或地區(qū)受影響最嚴重。黑山、塔吉克斯坦和索馬里等偏遠地區(qū)也未能“豁免”；目前物聯(lián)網(wǎng)受控設(shè)備包括Web服務(wù)器、路由器、調(diào)制解調(diào)器、網(wǎng)絡(luò)連接存儲（NAS）設(shè)備、閉路電視系統(tǒng)和工業(yè)控制系統(tǒng)等種類，數(shù)目超過百萬。

此次攻擊事件，黑客充分利用了DNS脆弱性本質(zhì)特點：1.DNS服務(wù)的公開性；2.DNS訪問的匿名性；3.DNS查詢的復(fù)雜性。同時，更重要的原因是物聯(lián)網(wǎng)設(shè)備的安全機制缺失，物聯(lián)網(wǎng)面臨的威脅源頭和本質(zhì)是：1.管理疏忽，無專業(yè)人員運維；2.企業(yè)忽視，成本壓力大；3.缺乏自主創(chuàng)新，技術(shù)陳舊。實際上大多數(shù)物聯(lián)網(wǎng)設(shè)備不在保密、等保等政策和法規(guī)要求范圍之內(nèi)，業(yè)務(wù)領(lǐng)域缺乏政策引導(dǎo)和監(jiān)督，也沒有規(guī)?；瘜I(yè)安全企業(yè)提供相關(guān)服務(wù)。

二、關(guān)于工控物聯(lián)網(wǎng)安全威脅的反思

物聯(lián)網(wǎng)及其應(yīng)用已經(jīng)深入滲透到社會的方方面面，與能源、交通、金融等國家關(guān)鍵基礎(chǔ)設(shè)施、智慧城市管理運營等緊密相關(guān)，是網(wǎng)絡(luò)空間的重要組成部分，其安全威脅不容小覷，造成的影響，有可能更甚于傳統(tǒng)安全領(lǐng)域。

作為網(wǎng)絡(luò)技術(shù)的發(fā)源地，美國在應(yīng)對工控物聯(lián)網(wǎng)安全威脅方面值得研究和借鑒。美國的具體做法包括：

（一）加強信息共享

建立運營信息共享與分析組織(ISAOs)。通過“2015網(wǎng)絡(luò)安全法案”，國土安全部已經(jīng)取得了建立ISAOs運作標準的授權(quán)，加強整個聯(lián)邦政府機構(gòu)信息共享、檢測和響應(yīng)方面網(wǎng)絡(luò)安全的要求，并加強網(wǎng)絡(luò)從業(yè)人員團隊建設(shè)。2014年中心共收到約97000份事故報告，在聯(lián)邦和非聯(lián)邦系統(tǒng)上檢測到約64000個漏洞。

InfraGard助力美工業(yè)行業(yè)開展網(wǎng)絡(luò)防護。早在2003年，聯(lián)邦調(diào)查局和其他安全機構(gòu)，通過FBI的商業(yè)伙伴InfraGard，與多家商業(yè)企業(yè)共享企業(yè)網(wǎng)絡(luò)數(shù)據(jù)，建立了網(wǎng)絡(luò)空間內(nèi)威脅、情報、犯罪和安全事件的信息交換機制。

（二）開展評估演練

開展大數(shù)據(jù)分析安全威脅評估。例如iSIGHT Partners用大數(shù)據(jù)分析通過GridStrike發(fā)現(xiàn)可造成全美停電的變電站，給出15個變電站作為電力系統(tǒng)的骨干網(wǎng)，即癱瘓這些變電站將導(dǎo)致全國性的大停電。

開展多方模擬演練。例如英國和美國在2016年進行一場聯(lián)合演習(xí)，模擬“黑客”攻擊核電站時可能會出現(xiàn)的情景，以此來測試政府和公用事業(yè)公司的應(yīng)變能力和措施。

（三）加快立法研究

國會研究立法。國會提出自2017年到2025年，每年撥?？?億美元用于網(wǎng)絡(luò)安全的研究和發(fā)展、培訓(xùn)和配套的措施，強化對電網(wǎng)的攻防測試、測評。提案得到參議院能源委員、白宮、網(wǎng)絡(luò)安全界人士支持。

三、加強工控物聯(lián)網(wǎng)安全的建議

物聯(lián)網(wǎng)設(shè)備和網(wǎng)絡(luò)大部分時間涉及HMI（人機界面）較少，容易成為網(wǎng)絡(luò)空間安全領(lǐng)域的“死角”，由于長期受到忽視，急需補課。實際上物聯(lián)網(wǎng)面臨著與互聯(lián)網(wǎng)同樣的安全威脅，但是，物聯(lián)網(wǎng)網(wǎng)絡(luò)安全威脅的新源頭不是原理層面，更多是管理層面。為加強我國工控物聯(lián)網(wǎng)安全，我們建議：

（一）加強物聯(lián)網(wǎng)設(shè)備的安全機制建設(shè)

加強政策引導(dǎo)和監(jiān)督。包括：加強相關(guān)法規(guī)建設(shè)；在重點行業(yè)、區(qū)域、領(lǐng)域?qū)嵤彶楹蜏嗜胫?；加強相關(guān)管理運維制度建設(shè)；在相關(guān)領(lǐng)域建立合適的獎勵激勵機制。

成立相關(guān)機構(gòu)或部門。加強物聯(lián)網(wǎng)安全領(lǐng)域?qū)I(yè)的執(zhí)法監(jiān)督、應(yīng)急響應(yīng)、測評、測試、咨詢、監(jiān)理機構(gòu)建設(shè)；建設(shè)物聯(lián)網(wǎng)領(lǐng)域高效合理的安全事件通報和應(yīng)急響應(yīng)機制、體系；構(gòu)建物聯(lián)網(wǎng)領(lǐng)域的CA體系；與其它國家和境外企業(yè)、用戶建立國際協(xié)同的通報、預(yù)警、防御和響應(yīng)機制。

加強相關(guān)技術(shù)手段建設(shè)。加強相關(guān)物聯(lián)網(wǎng)安全標準和基線建設(shè)；建設(shè)國家級物聯(lián)網(wǎng)態(tài)勢感知系統(tǒng)；建設(shè)物聯(lián)網(wǎng)安全領(lǐng)域靶場和試驗床。

同時，基于上述政策、機構(gòu)和技術(shù)手段支撐，開展物聯(lián)網(wǎng)安全的專業(yè)化常態(tài)化檢查評估；開展安全事件實時分析、通報、監(jiān)控及預(yù)警；引導(dǎo)和指導(dǎo)相關(guān)機構(gòu)和廠商開展核心技術(shù)攻研，協(xié)同用戶安全防御；扶持相關(guān)專業(yè)安全廠商與服務(wù)隊伍；開展相關(guān)知識的宣講和人員培訓(xùn)；做好輿論準備和積極應(yīng)對策略等工作。

（二）加強工控安全法律法規(guī)及技術(shù)標準規(guī)范的建設(shè)

建議在信息泄露控制方面，有效控制威脅源頭、減少暴露面；加大信息共享，建立信息發(fā)布/共享機制、明確共享范圍；實施等保分保，推進分級分域管理，推廣成熟模式；開展檢測評估，包括設(shè)備、體系、驗收、事故調(diào)查等；制定應(yīng)急響應(yīng)預(yù)案，建立相應(yīng)隊伍，開發(fā)技術(shù)工具；通過崗位認證，提高人員意識和專業(yè)技術(shù)能力，建立數(shù)據(jù)留存規(guī)程標準作為取證依據(jù)；支持自主可控，夯實安全基礎(chǔ)。建立完善工控安全管理體制、政策、激勵機制，保證法律法規(guī)及技術(shù)標準規(guī)范有效實施。