據(jù)報(bào)道,2015年12月23日,烏克蘭至少三個(gè)區(qū)域的電力系統(tǒng)遭到網(wǎng)絡(luò)攻擊。本次攻擊造成了伊萬諾-弗蘭科夫斯克地區(qū)部分變電站的控制系統(tǒng)遭到破壞,以致大面積停電,電力中斷3至6小時(shí),約140萬人受到影響。針對此事件,我國工信部和國家電網(wǎng)公司都專門下發(fā)文件,對工業(yè)控制系統(tǒng)進(jìn)行風(fēng)險(xiǎn)提示并要求相關(guān)單位加強(qiáng)安全防范措施?! ?/p>
▲
啟明星辰工業(yè)防火墻快速應(yīng)對
啟明星辰經(jīng)過對病毒樣本分析,發(fā)現(xiàn)本次攻擊過程開始于一個(gè)帶有惡意宏的XLS文件,黑客通過釣魚手段將此惡意文件發(fā)送給攻擊目標(biāo),XLS文件運(yùn)行后啟動(dòng)惡意宏代碼執(zhí)行,宏代碼會(huì)在臨時(shí)文件目錄下釋放文件vba_macro.exe,這便是釋放器。他通過釋放BlackEnergy來執(zhí)行后續(xù)操作,如與控制端通信以及下載KillDisk、SSH后門等一系列組件來執(zhí)行攻擊、刪除磁盤文件等。
BlackEnergy為了隱藏網(wǎng)絡(luò)通信信息,躲避檢測,惡意代碼對上線信息進(jìn)行了Base64編碼,當(dāng)C&C返回響應(yīng)時(shí),使用上線請求中的b_id作為密鑰進(jìn)行了加密。這給病毒的防護(hù)造成了很大困難,一般的工業(yè)防火墻對此無能為力,甚至是通用IDS對其檢測也有難度。
啟明星辰工業(yè)防火墻團(tuán)隊(duì)在設(shè)計(jì)產(chǎn)品之初,就對工業(yè)現(xiàn)場環(huán)境進(jìn)行了深入調(diào)研,密切關(guān)注工業(yè)化和信息化兩化融合中惡意代碼通過傳統(tǒng)IT網(wǎng)絡(luò)對工業(yè)設(shè)備的攻擊,并在工業(yè)防火墻集成了更加先進(jìn)靈活的入侵檢測引擎,在應(yīng)對這次攻擊的過程中,通過該引擎可以直接處理base64編碼后的數(shù)據(jù),對BlackEnergy上線通訊特征進(jìn)行監(jiān)測,并通過豐富的數(shù)據(jù)提取能力實(shí)現(xiàn)快速發(fā)現(xiàn)、定位感染主機(jī)。用戶只需在防火墻中通過加入啟明星辰提供的特征,無需定制開發(fā)即可防護(hù)此類攻擊。第一步添加BlackEnergy特征:
然后啟用自定義規(guī)則:
▲
查看攔截效果:
▲
傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備和大部分市面上的工控防火墻對此類安全威脅并沒有好的應(yīng)對辦法。一方面是傳統(tǒng)防火墻主要面向IT網(wǎng)絡(luò),對標(biāo)準(zhǔn)工業(yè)協(xié)議如Modbus、DNP3、EtherNet/IP、OPC等并不支持;二是大部分工業(yè)防火墻廠商目前處于起步階段,對工業(yè)控制系統(tǒng)攻防技術(shù)的研究還不夠深入,尤其是對于工業(yè)漏洞庫的積累仍顯不足;三是隨著兩化融合的推進(jìn),工業(yè)網(wǎng)絡(luò)面臨著傳統(tǒng)攻擊日益嚴(yán)峻的威脅,一些國外大型工控防火墻廠商仍沒有工業(yè)入侵防護(hù)功能。截止發(fā)稿前,尚未發(fā)現(xiàn)其他國內(nèi)工業(yè)防護(hù)墻廠商可以對此病毒進(jìn)行防護(hù)的報(bào)道。
啟明星辰工業(yè)防火墻防護(hù)特性
啟明星辰工業(yè)防火墻從設(shè)計(jì)之初就全面研究工業(yè)環(huán)境下的安全需求,產(chǎn)品除具備工控防火墻的主流功能外,在安全防護(hù)方面最大的特點(diǎn)是集成了工業(yè)入侵防護(hù)引擎,并內(nèi)置了工業(yè)漏洞庫。產(chǎn)品預(yù)置9大類上百種工業(yè)場景,對Modbus、IEC104、EtherNet/IP、SIEMENS S7、SCADA系統(tǒng)等進(jìn)行入侵檢測防護(hù)。用戶可以根據(jù)自己的情況選擇適用場景進(jìn)行快速部署。通過該引擎,可以對工業(yè)協(xié)議和內(nèi)容進(jìn)行合規(guī)性檢查,阻斷黑客對工控設(shè)備的掃描行為,并對SCADA緩沖區(qū)溢出和目錄遍歷等攻擊進(jìn)行防護(hù)。該特征庫依托啟明星辰ADLab等部門研究成果,可以提供最新最全的工控漏洞特征。
▲
啟明星辰工業(yè)防火墻的入侵防護(hù)引擎是一個(gè)開放、可擴(kuò)展的引擎,能夠靈活的根據(jù)企業(yè)內(nèi)部的特定工控設(shè)備或協(xié)議實(shí)施針對性的防護(hù)策略,無需長時(shí)間的定制開發(fā),在用戶現(xiàn)場即可快速動(dòng)態(tài)制定防護(hù)規(guī)則,來深入的檢測工控協(xié)議內(nèi)容。以本次烏克蘭電力攻擊事件為例,啟明星辰工業(yè)防火墻只需通過添加幾條BlackEnergy等的行為特征,就可以對該類攻擊進(jìn)行有效防護(hù)。
啟明星辰工業(yè)防火墻利用該檢測引擎,結(jié)合流量自學(xué)習(xí)功能,可以對用戶私有協(xié)議進(jìn)行快速學(xué)習(xí),并進(jìn)行流量可視化展現(xiàn),幫助工業(yè)用戶迅速了解業(yè)務(wù)流量信息,進(jìn)而制定更加符合實(shí)際情況的安全策略。后續(xù)我們會(huì)對該特性做詳細(xì)介紹,敬請關(guān)注。