工控安全之震网病毒（三）

1. 震网引发的安全变革

      2010年震网病毒的披露，引发了广泛的讨论。时至今日，我们仍然可以感受到震网针对安全报警系统和监控管理平台的攻击，这种可以使病毒在发起攻击时将“故障值”屏蔽掉，并将潜伏时记录的PLC正常运行值反馈给管理系统的能力，成就了 “震网”网络战的经典范例，同时也让网络安全界感到压力山大。

震网病毒事件之后，国家相关职能部门出台了大量的工业控制系统安全防护指导文件，同时，加大网络安全的宣传力度。

2. 为工控系统敲响警钟

      震网病毒代码已经传播开，稍加修改之后就可以用在任何工业控制系统中。震网病毒在整个攻击过程带来的示范效应是无法估量的，而且我们的工业控制系统确实面临着很多的安全威胁；例如：

      1、移动存储设备可以通过物理口直接跟控制系统相连，利用系统漏洞可以获取终端设备的访问配置权限。

      2、虽然控制现场安装有入侵检测/入侵防御的保护设备，但面对如同震网这种复杂的攻击手段时，防护手段显然是不足的。

      3、多年来工业控制系统，几乎没有对系统控制规约进行升级更不要说开发全新的控制系统，设备厂商以通用化操作追求市场占有率也给控制系统带了新的安全威胁。

      4、工业企业的管理运维人员，追求控制系统简单可用因此偏向于采用通用监控系统、通用的控制设备，而且为了解决兼容性问题，现场工控机很少升级系统漏洞补丁、安装杀毒软件。

      5、控制系统通讯协议明文传输，缺少必要的认证加密手段、权限认证机制。控制系统也没有明确的安全分区和深度的防护隔离手段。

      6、病毒有多种传播途径，但是工业控制系统目前有效的防护手和技术能力很缺乏。更危险的是，现场使用的IT信息类安全产品又无法满足安全防护需求，同时也会给运维人员带来一种安全错觉。

3. 如何防护类似“震网”攻击

      我们来还原震网的攻击过程，并在还原的过程中探讨如何应对类似“震网”这种针对工控系统详细业务流程进行攻击的行为；

      第一步攻击：首先，病毒入侵与外界隔离的控制系统。我们都知道，核工业涉及的控制系统都是保密等级相当高的局域网，因此无法通过互联网发动远程攻击。攻击者只能通过感染控制系统的外部计算机网络，寻找可能通往内部控制系统的途径。震网病毒就是利用操作系统漏洞，通过感染控制系统外部计算机，利用多种系统漏洞感染网络中的U盘、笔记本电脑等移动存储介质，借助“内部人员”将携带病毒的移动存储介质带入控制系统内部，最终成功侵入目标控制系统。传播过程中震网病毒，对外会拦截对恶意文件进行扫描的操作，并反馈给系统“这里”没有病毒的清单；对内病毒会在传播的过程中自动搜索新版本，同时在被感染计算机上安装文件共享服务端和客户端，使处于同一局域网的计算机实现相互通信，自动更新，而不必直接与互联网连接。

      分析1、在第一步攻击中我们看到即使是专用的工业控制系统也没有我们想象的那么安全。其中存在“控制系统漏洞、控制设备漏洞、传统安全防护系统能力不足、外来介质接入内网”等严重的安全隐患。其中针对“外来介质接入”这种入侵方式应当进行重点安全防护，但是常规针对这种入侵方式的防护，如严格限制外来介质接入并对必须接入的介质实施严格病毒查杀、安装最新的系统漏洞补丁等措施，已经无法满足控制系统针对类似“震网”这种攻击的防护要求。对于具有合法的数字签名的病毒、利用多中零日漏洞的病毒，可能不一定成功，甚至会带来一种系统是安全的错觉。

      防护1、英赛克安全防护产品可以有效的将震网病毒阻断在控制系统外部。英赛克工业防火墙利用“4S”深度防护技术，限制不同安全区域之间的访问，阻止震网病毒向控制网扩散的目的。

      第二步攻击：激活恶意程序，篡改控制软件。病毒在成功入侵后，会激活另一个恶意文件。恶意文件感染接入到计算机上的所有USB存储设备，同时将病毒的主体文件进行解密，并把他们存到内存中。病毒成功装入内存之后，就会开始搜索新的目标——判断计算机上是否安装西门子step7和wincc软件，如果没有病毒就会在完成上述动作之后进入休眠状态。如果发现目标软件就会使用假冒的.DLL文件替换掉原有核心的西门子原版.DLL文件。虽然每次计算机重启内存中的代码都会消失，但上述加载工作也会再次重复。

      分析2、病毒第二步攻击：在这一步的攻击中，病毒通过外部移动介质在控制系统内部进行快速传播，传播的同时一旦检测到被感染的计算机具有某种触发机制时，通过漏洞利用程序替换原有的软件配置文件，实现病毒注入，为发起有效供给做好准备。

      防护2、针对第二步攻击应采用以下防护措施：加装英赛克工业防火墙、安全审计平台等具有深度检测功能的防护设备，深度检测系统计算机之间的通讯数据。通过审查通讯数据流，可以及时发现、报告并处理类似“震网”病毒这种更改系统配置、注入恶意指令的异常行为。

      第三步攻击：隐蔽劫持篡改控制指令，关闭安全报警系统。当病毒使用恶意代码成功替换掉原有核心的西门子原版文件之后，病毒会潜伏下来等待。一旦有程序员向PLC下达读/写命令时，病毒会将正常指令拦截掉，并更换成恶意代码。成功替换掉正常指令之后病毒会进行一段时间的侦察，记录正常情况下PLC发送给管理员的正常数据。这时候真正的攻击开始了，病毒会控制变频器将离心机频率提升至1410赫兹，让离心机以每分钟84600转持续15分钟后恢复至正常运行频率，病毒再次静默26天。这段时间里，震网会将所需信息全部收集完毕。之后会控制离心机以2赫兹的频率，也就是120转分分钟持续运行50分钟，然后再次恢复到1064赫兹。同样再次进入静默状态并记录数据，26天之后，攻击会再次重复一遍。每当病毒控制PLC开始执行恶意指令时，病毒同时会发起针对安全保护报警系统的攻击，阻止安全保护系统向管理员发出设备异常告警，从而提醒管理员停止受PLC控制的设备继续运行。

      分析3、攻击中，病毒篡改控制器指令改变电机运转速度，同时拦截安全报警系统阻止异常告警并将正常参数发送监控系统。这种攻击方式使故障形式每隔一段时间就会发生改变，导致工程师始终不确定问题出现在哪里。这种周期隐秘的攻击手段，最终达到了推迟伊朗核计划的目的。

      防护3、针对第三步攻击的具体防护措施：加装英赛克工业防火墙、安全审计平台等具有深度检测、深度防护功能的设备，通过检测控制器发送下位机的通讯数据完整性、功能码、地址范围和读取权限及工艺参数范围是否偏离正常范围，必然会发现尝试修改下位机的指令的攻击行为去改变电机转速，防护设备阻断并告警这种攻击行为。

   “知己知彼方能百战不殆”，英赛克正是凭借着对网络安全的深入研究以及独特的“4S”深度防护技术，结合自身工控网络安全经验提出了具有针对性的网络安全解决方案。

4. 英赛克方案介绍

方案价值

      英赛克防护方案中英赛克工业防火墙可以深度检测不同安全区之间的数据流，阻断不合规的违法操作；

      英赛克防护方案中英赛克安全审计平台可以深度检测系统所有操作流程，及时预警非法操作；

      英赛克防护方案中英赛克安全管理平台可以统一管理安全防护设备，全面掌控系统安全态势；

5. 结语

      通过这几篇简短的文章，我们回顾了当年“震网”病毒这场经典范例，留给我们的经验教训。我们都知道震网事件虽然结束了，但是震网给工控安全造成的影响远没有结束！我们无法估量震网造成的影响，更无法估量震网将起到怎样的示范效应。

请继续关注，下一期我们将探讨震网之后的工控网络面临的安全威胁。

     （本文所述部分内容借鉴安全牛转述的部分资料）