工控安全之震网病毒(二)

发表时间: 2017-01-23 00:00:00

作者: 英赛克科技(北京)有限公司

浏览:

震网对工业控制系统的影响


        在上一篇文章中我们简单了解了震网病毒被发现的过程,在接下来的文章中我们来简单回顾一下震网病毒对工业控制系统的影响。


1. 震网病毒的攻击过程

        通过深入研究后发现,震网病毒大致上可以分为两个部分:一部分负责将恶意代码传播到目标计算机上;另一部分负责在目标计算机上实施针对西门子公司软件和可编程逻辑控制器(PLC)的攻击。


1.1. 病毒的传播

        第一步:入侵计算机系统

        当震网尝试感染计算机时,首先会判断计算机配置是否合适、是否曾经感染过震网其他版本(病毒会使用新版本将旧版本替换掉)。如果条件符合且没有被感染过,震网病毒就会利用系统漏洞程序将病毒导入计算机,当计算机试图扫描可疑文件内容时,病毒会将扫描命令拦截并修改,同时给系统返回一个“无异常”的结果清单。


        第二步:激活恶意代码

       病毒在成功入侵计算机之后,会激活一个恶意文件。被激活的恶意文件肩负着两个特殊的任务:一是感染插在计算机上的所有USB存储设备;二是将病毒的主体文件(DLL文件包)进行解压并将解压后的文件导入到计算机内存中;虽然,每次计算机重启内存中的代码就会消失,但是上述加载工作也会重复进行。


        第三步:寻找攻击目标

        当病毒主体装入内存之后,就会开始搜索新的目标——判断计算机上是否安装西门子step7和wincc软件,如果没有找到匹配目标,病毒就会在完成上述动作之后进入休眠状态;一旦匹配成功后,病毒会感染step7项目文件,同时破掉Step 7软件默认使用的用户名和密码,将病毒注入到有程序员共享的后台数据库计算机,进一步感染所有登录数据库的程序员。这样病毒通过被感染的移动存储设备就可以成功抵达目标系统,同时也通过这种方式将所有攻击动作反馈给指挥控制服务器。另外,病毒在传播的同时具有自动搜索新版本并更新旧版本的能力;因此震网病毒就可以在不直接连接互联网的情况下感染局域网内所有计算机,完成病毒更新目的。在整个感染过程中,震网病毒会在被感染计算机上都安装文件共享服务端和客户端,使处于同一局域网的计算机实现相互通信、自动更新。


        震网病毒这种通过感染控制系统外部计算机,进一步通过被感染的U盘等移动存储设备来实现入侵专用局域网的方法,给工控系统生产厂商、系统用户和工控系统安全从业者上了一堂生动的“攻击演示”课程。


1.2. 发动攻击

        当震网病毒成功使用假冒的.DLL文件替换掉原有核心的西门子原版.DLL文件。之后病毒会潜伏下来等待,一旦有程序员尝试与PLC建立连接并对PLC下达读/写命令时,病毒会把发送给PLC的正常指令拦截掉,更换成恶意代码注入PLC。当恶意代码进入PLC后,病毒起初会记录正常情况下PLC上送给管理员(工程师站/操作员站)的正常数据。当满足某种触发条件之后病毒会将变频器控制的离心机频率提升至1410赫兹,持续15分钟之后恢复至正常运行频率范围并在此潜伏下来。在潜伏期内,病毒会将所需信息全部收集完毕。当再次达到触发条件之后会控制离心机以2赫兹的频率持续运行50分钟,然后再次恢复到正常频率运行。同样的攻击会每隔一段时间重复一遍,而且每次病毒发动攻击的时候都会攻击安全保护报警系统,阻止安全保护系统向管理员发出设备异常告警。另外,病毒在成功入侵之后,会拦截所有尝试读取PLC代码段的请求,并向其提供删除恶意代码的“纯洁版”代码段。即使程序员尝试重新装载新的代码段来覆盖旧的代码段时,病毒会重复感染动作将恶意代码注入其中。


2. 震网病毒的攻击特点

2.1. 利用多个零日漏洞

       例如基于Windows系统的U盘图标渲染漏洞,可以隐蔽的将U盘上携带的恶意文件导入到计算机上。

2.2. 使用数字签名

        目前反病毒产品使用特征码匹配或者静态方法判定是否带有数字签名的方式进行检测,震网中使用了合法的数字签名文件躲避了杀毒软件的查杀。

2.3. 明确的攻击目标

        针对伊朗铀浓缩控制工厂使用的西门子工业控制系统,据统计2010年7月份伊朗感染震网病毒的主机只占25%,同年9月下旬,这一比例达到60%。

2.4. 复杂攻击的形式

        病毒不仅更改PLC设置数据制造了逻辑炸弹!关键是针对安全报警系统和监控平台的攻击。在病毒发起攻击后把“故障值”屏蔽掉,而将先前潜伏时记录的PLC的正常运行状态值发给监控系统。

3. 工控系统存在安全漏洞

        根据震网病毒的攻击过程和攻击特点,我们可以总结出目前我国工业控制系统面临的普遍性安全问题。

3.1. 设备漏洞 

   1. 当前控制系统大量使用国外设备,众多安全研究发现这些设备存在很多的“后门”漏洞。

   2.控制现场大量使用微软操作系统,系统补丁难以即使升级或者补丁不兼容;另外,有些控制系统依然在使用微软已经停止系统升级服务的XP系统。

   3.控制现场存在远程维护接口、第三方维修设备接入、移动存储介质等多种安全漏洞。

3.2. 系统漏洞

        1. 传统杀毒软件无法兼容现场控制软件,且需要频繁升级病毒库,无法对新型网络威胁(零日漏洞)做出有效识别;另外,控制系统仍然采用传统基于“黑名单”的安全防护策略机制。

        2. 控制系统建设之初强调系统通讯的实时、可用,针对安全性考虑不足,通讯协议采用明文传输。

        3. 控制系统缺乏严格的加密认证、授权机制,尤其是系统中的无线通讯数据容易遭到监听甚至被篡改。

        4. 系统内部以及系统之间缺乏明显的安全分区,更缺少深度防护和隔离的技术手段。

        5. 系统内部虽然部署了基于IT类型的解决方案,但是震网病毒传播手段显示这些防护技术存在一定的漏洞,甚至让现场人员误认为系统是安全的,而引发更严重的后果。

3.3. 业务漏洞 

   1.系统中缺乏对工业控制协议、指令、用户操作、系统日志等行为的安全审计和协议分析的工具。

        2.受控制系统运行人员技术水平和安全意识等方面的限制,系统中低加密认证、授权机制,可能导致非授权用户的越权访问。


4. 政策文件的支持

        当震网病毒的神秘面纱被揭露之后,国家相关职能部门发布了一系列条令来保障国家基础设施网络安全;其中最具影响力的当属发改委14号令、能源局36号文、国家网络安全小组成立、《中华人民共和国网络安全法》正式发布、工信部2016年《工业控制系统信息安全防护指南》以及信软司关于《工业控制系统信息安全防护指南》解读;工业控制系统相关文件的出台充分说明了我国政府已经看到“震网”以及黑客攻击所造成的破坏,意识到我们的工业控制系统同样面临着类似的网络安全隐患。


5. 工控系统的安全防护

        英赛克科技就是在这种大背景下成立的,从成立至今英赛克已经研发出了多款工控网络安全防护产品,如主机安全防护软件、INS-T3工业防火墙、INS-T5可信协议转换器、INS-T7可信数据采集器、INS-A4安全审计平台、INS-S安全监控管理平台等。


        面对类似震网病毒的攻击,英赛克经过严格的测试,证明英赛克安全产品以其独特的“4S”核心技术能够实现对工业控制系统深层次安全防护的要求。欲知详情,请您关注英赛克详询有关资料。(未完待续)


    (本文所述部分内容借鉴安全牛转述的部分资料)


联系方式

地址:北京市昌平区龙域中街1号院龙域中心A座705室

电话:010-81776666

销售邮箱:Sales@insec-tech.com.cn

售后邮箱:Support@insec-tech.com.cn

友情链接

关注我们

图片展示

英赛克微信公众号

copyright © 英赛克科技(北京)有限公司 版权所有 京ICP备15041839号

在线咨询

您好,请点击在线客服进行在线沟通!

联系方式
热线电话
010-81776666
扫一扫二维码
二维码
添加微信好友,详细了解产品
使用企业微信
“扫一扫”加入群聊
复制成功
添加微信好友,详细了解产品
我知道了