隨著工業(yè)信息化進(jìn)程的快速推進(jìn)彤委，信息、網(wǎng)絡(luò)以及物聯(lián)網(wǎng)技術(shù)在智能電網(wǎng)或衡、智能交通焦影、工業(yè)生產(chǎn)系統(tǒng)等工業(yè)控制領(lǐng)域得到了廣泛的應(yīng)用，極大地提高了企業(yè)的綜合效益封断。為實(shí)現(xiàn)系統(tǒng)間的協(xié)同和信息分享斯辰，工業(yè)控制系統(tǒng)也逐漸打破了以往的封閉性：采用標(biāo)準(zhǔn)、通用的通信協(xié)議及硬軟件系統(tǒng)坡疼，甚至有些工業(yè)控制系統(tǒng)也能以某些方式連接到互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)中彬呻。這使得工業(yè)控制網(wǎng)絡(luò)面臨病毒、木馬柄瑰、黑客入侵等傳統(tǒng)的信息安全威脅闸氮，本節(jié)將從ATP攻擊、漏洞狱意、病毒等方面介紹工業(yè)控制網(wǎng)絡(luò)常見(jiàn)的安全威脅湖苞。

高級(jí)持續(xù)性威脅攻擊

近年來(lái)，工控系統(tǒng)廣泛互聯(lián)详囤，逐步同生產(chǎn)管理财骨、ERP系統(tǒng)镐作、電子商務(wù)系統(tǒng)等相連，納入到統(tǒng)一的信息系統(tǒng)中隆箩。直接暴露在網(wǎng)絡(luò)空間的工控設(shè)備增多该贾，帶來(lái)的風(fēng)險(xiǎn)也不斷增加。針對(duì)工控網(wǎng)絡(luò)的攻擊多為有組織的行為捌臊，采用了針對(duì)性極強(qiáng)的軟件或硬件惡意代碼滲透的高級(jí)持續(xù)性威脅（Advanced Persistent Threat杨蛋，APT）攻擊體系。
APT是一種以商業(yè)和政治為目的的網(wǎng)絡(luò)犯罪類(lèi)別理澎，通常使用先進(jìn)的攻擊手段對(duì)特定目標(biāo)進(jìn)行長(zhǎng)期持續(xù)性的網(wǎng)絡(luò)攻擊逞力，這種攻擊不會(huì)追求短期的收益或單純的破壞，而是以步步為營(yíng)的滲透入侵策略糠爬，低調(diào)隱蔽地攻擊每一個(gè)特定目標(biāo)寇荧，不做其他多余的活動(dòng)來(lái)打草驚蛇。APT攻擊多針對(duì)國(guó)家戰(zhàn)略基礎(chǔ)設(shè)施执隧，其攻擊目標(biāo)包括政府揩抡、金融、能源镀琉、制藥峦嗤、化工、媒體和高科技企業(yè)屋摔。APT攻擊綜合多種先進(jìn)的攻擊手段烁设，多方位地對(duì)重要目標(biāo)的基礎(chǔ)設(shè)施和部門(mén)進(jìn)行持續(xù)性攻擊，其攻擊手段包含各種社會(huì)工程攻擊方法凡壤，常利用重要目標(biāo)內(nèi)部人員作為跳板進(jìn)行攻擊署尤，且攻擊持續(xù)時(shí)間和潛伏時(shí)間可能長(zhǎng)達(dá)數(shù)年耙替，很難進(jìn)行有效防范亚侠。

APT攻擊各階段的任務(wù)描述

典型APT攻擊事件

工業(yè)控制網(wǎng)絡(luò)病毒

在信息技術(shù)與傳統(tǒng)工業(yè)融合的過(guò)程中持灰，工業(yè)控制正面臨越來(lái)越多的網(wǎng)絡(luò)安全威脅盔夜，其中工控網(wǎng)絡(luò)病毒就是主要的威脅之一，據(jù)統(tǒng)計(jì)堤魁，在2014年的網(wǎng)絡(luò)安全事件中喂链，因病毒事件造成的工控系統(tǒng)停機(jī)的企業(yè)高達(dá)19.1%。以下是近年來(lái)活躍在工控領(lǐng)域的病毒介紹妥泉。

一衩藤、震網(wǎng)（Stuxnet）病毒
2010年10月，國(guó)內(nèi)外多家媒體相繼報(bào)道了Stuxnet蠕蟲(chóng)病毒對(duì)數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)進(jìn)行攻擊的事件涛漂，并稱其為“超級(jí)病毒”赏表、“超級(jí)工廠病毒”，并形容成“超級(jí)武器”匈仗、“潘多拉的魔盒”瓢剿。
Stuxnet病毒在2010年7月開(kāi)始爆發(fā)。它利用了微軟操作系統(tǒng)中至少4個(gè)漏洞悠轩，偽造驅(qū)動(dòng)程序的數(shù)字簽名间狂；通過(guò)一套完整的入侵和傳播流程，突破工業(yè)專用局域網(wǎng)的物理限制火架；利用WinCC系統(tǒng)的兩個(gè)漏洞鉴象，對(duì)其開(kāi)展破壞性攻擊。它是第一個(gè)直接破壞現(xiàn)實(shí)世界中工業(yè)基礎(chǔ)設(shè)施的惡意代碼何鸡。
伊朗政府已經(jīng)確認(rèn)該國(guó)的布什爾核電站遭到Stuxnet蠕蟲(chóng)病毒的攻擊纺弊。該病毒利用了USB 使用上的管理漏洞滲透進(jìn)入目標(biāo)系統(tǒng)，從而修改西門(mén)子控制器所連接的變頻器骡男，攻擊者通過(guò)檢測(cè)變頻器的工作狀態(tài)淆游，改變了變頻器的工作參數(shù)，欺騙控制中心隔盛，使得離心機(jī)無(wú)法正常工作犹菱。

二、Duqu病毒
Duqu是一種復(fù)雜的木馬病毒吮炕。2011年10月14日腊脱，卡巴斯基實(shí)驗(yàn)室提取了一個(gè)看上去與Stuxnet非常類(lèi)似的病毒樣本，它們創(chuàng)建文件都以“～DQ”作為文件名的前綴龙亲，便將這個(gè)威脅命名為“Duqu”陕凹。它的主要目的是為私密信息的盜取提供便利震鹉，主要攻擊目標(biāo)是伊朗工業(yè)控制系統(tǒng)，目的是盜竊信息捆姜，手法包括收集密碼传趾、抓取桌面截圖、暗中監(jiān)視用戶操作泥技、盜取各類(lèi)文件等浆兰。
Duqu架構(gòu)所使用的語(yǔ)言高度專業(yè)化，能夠讓有效負(fù)荷DLL同其他Duqu模塊獨(dú)立珊豹，通過(guò)多種途徑包括Windows HTTP簸呈、網(wǎng)絡(luò)端口和代理服務(wù)器同C&C建立連接；還能夠讓有效負(fù)荷DLL直接處理來(lái)自C&C的HTTP服務(wù)器請(qǐng)求店茶，甚至可以在網(wǎng)絡(luò)中的其他計(jì)算機(jī)上傳播輔助惡意代碼蜕便，實(shí)現(xiàn)可控制并且隱蔽的感染手段，殃及其他計(jì)算機(jī)贩幻。

三轿腺、“火焰”病毒
2012年5月，俄羅斯安全專家發(fā)現(xiàn)一種威力強(qiáng)大的計(jì)算機(jī)病毒“火焰”（Flame）在中東地區(qū)大范圍傳播丛楚∽蹇牵“火焰”病毒最早可能于2010年3月就被攻擊者放出，但一直未被其他網(wǎng)絡(luò)安全公司發(fā)現(xiàn)趣些。除卡巴斯基外仿荆，匈牙利的兩家反計(jì)算機(jī)病毒實(shí)驗(yàn)室和伊朗反計(jì)算機(jī)病毒機(jī)構(gòu)也發(fā)現(xiàn)了上述全新的蠕蟲(chóng)病毒。
Flame病毒是由許多獨(dú)立模塊組成的非常大的攻擊工具包坏平。它能執(zhí)行各種惡意行為拢操，其中大部分與數(shù)據(jù)竊取和網(wǎng)絡(luò)間諜有關(guān)。除此之外舶替，它還能使用計(jì)算機(jī)擴(kuò)音器來(lái)錄下對(duì)話令境，提取應(yīng)用程序細(xì)節(jié)的截屏，探測(cè)網(wǎng)絡(luò)流量坎穿，并能與附近的藍(lán)牙設(shè)備進(jìn)行交流展父。當(dāng)感染被反病毒程序保護(hù)的計(jì)算機(jī)時(shí)，F(xiàn)lame會(huì)停止進(jìn)行某種行動(dòng)或執(zhí)行惡意代碼玲昧，隱藏自身，以待下次攻擊篮绿。

四孵延、Havex病毒
Havex病毒的發(fā)現(xiàn)來(lái)源于網(wǎng)絡(luò)安全公司CrowdStrike的報(bào)告。Havex病毒通過(guò)垃圾郵件亲配、漏洞利用工具尘应、木馬植入等方式感染SCADA系統(tǒng)和工控系統(tǒng)中使用的工業(yè)控制軟件惶凝，主要攻擊對(duì)象是歐洲的許多使用和開(kāi)發(fā)工業(yè)應(yīng)用程序和機(jī)械設(shè)備的公司，影響了水電犬钢、核電苍鲜、能源在內(nèi)的多個(gè)行業(yè)。這種木馬有可能做到禁用水電大壩玷犹，使核電站過(guò)載混滔，甚至可以做到按一下鍵盤(pán)就能關(guān)閉一個(gè)國(guó)家的電網(wǎng)。

Havex病毒

五胧瓜、Sandworm病毒
國(guó)外廠商iSIGHT Partners 2014年10月14日發(fā)布公告稱發(fā)現(xiàn)了Sandworm（沙蟲(chóng)）漏洞怎诫。Sandworm病毒利用的漏洞幾乎影響所有微軟Windows Vista以上裝有Microsoft Office軟件的主機(jī)操作系統(tǒng)，通俗地說(shuō)贷痪，這類(lèi)攻擊是通過(guò)發(fā)送附件文檔的方式發(fā)起的幻妓，受害者只要打開(kāi)文檔就會(huì)自動(dòng)中招，也就是只要計(jì)算機(jī)中安裝了Microsoft Office軟件劫拢，都有可能受到該漏洞的影響肉津，輕則信息遭到竊取，嚴(yán)重的則成為高級(jí)可持續(xù)威脅的攻擊跳板舱沧。該漏洞還具有繞開(kāi)常見(jiàn)的殺毒軟件的特點(diǎn)妹沙，漏洞風(fēng)險(xiǎn)性較高。
TrendMicro報(bào)告發(fā)現(xiàn)Sandworm病毒發(fā)起后續(xù)攻擊的惡意載荷包含了對(duì)工控企業(yè)的人機(jī)界面軟件的攻擊（主要是GE Cimplicity HMI）熟吏，目的是進(jìn)一步控制HMI距糖，并且放置木馬。該攻擊利用了GE Cimplicity HMI軟件的一個(gè)漏洞牵寺，打開(kāi)攻擊者惡意構(gòu)造的.cim 或者.bcl文件悍引，允許在用戶機(jī)器上執(zhí)行任意代碼，以及安裝木馬文件.cim 或者.bcl文件帽氓。

六趣斤、格盤(pán)病毒
2014年12月，一名黑客通過(guò)Twitter向韓國(guó)水電與核電公司發(fā)出嚴(yán)重警告黎休，要求官方立即停止運(yùn)行核電站浓领，同時(shí)黑客還公開(kāi)了包括兩座核電站部分設(shè)計(jì)圖在內(nèi)的4份壓縮檔案玉凯。這次事件中所用的木馬是格盤(pán)病毒——MBR Wiper。
格盤(pán)病毒通過(guò)發(fā)送釣魚(yú)郵件联贩，使用大量的社會(huì)工程學(xué)誘使受害者打開(kāi)這些文件漫仆，從而感染病毒。格盤(pán)病毒分為兩部分泪幌，一部分是系統(tǒng)的感染程序盲厌，另一部分是MBR區(qū)的改寫(xiě)程序。系統(tǒng)感染程序結(jié)束用戶系統(tǒng)指定進(jìn)程座菠，刪除注冊(cè)表中“安全模式”相關(guān)的項(xiàng)狸眼，使系統(tǒng)無(wú)法進(jìn)入安全模式，同時(shí)進(jìn)行映像劫持浴滴，在用戶執(zhí)行被劫持的程序時(shí)拓萌，會(huì)運(yùn)行指定的程序。感染程序還能篡改系統(tǒng)文件升略，關(guān)閉Windows系統(tǒng)文件保護(hù)微王，同時(shí)查找安全軟件進(jìn)程，運(yùn)行后刪除自身品嚣，利用輸入法機(jī)制炕倘，注入文件到指定進(jìn)程。MBR區(qū)的改寫(xiě)程序主要修改磁盤(pán)MBR翰撑，該手法常被病毒用于獲取更早的控制權(quán)罩旋，同時(shí)查找安全軟件進(jìn)程并終止，最后提升系統(tǒng)權(quán)限眶诈，查找指定進(jìn)程涨醋，啟動(dòng)指定服務(wù)。

七逝撬、“方程式”組織病毒庫(kù)
作為破壞力強(qiáng)大的網(wǎng)絡(luò)攻擊組織浴骂，“方程式”擁有一個(gè)龐大而強(qiáng)悍的攻擊武器庫(kù)。傳統(tǒng)的病毒往往是單兵作戰(zhàn)宪潮，攻擊手段單一溯警，傳播途徑有限，而“方程式”動(dòng)用了多種病毒工具協(xié)同作戰(zhàn)狡相，發(fā)動(dòng)全方位立體進(jìn)攻梯轻，其影響行業(yè)包括工業(yè)、軍事谣光、能源檩淋、通信、金融萄金、政府等基礎(chǔ)設(shè)施和重要機(jī)構(gòu)蟀悦。
“方程式”組織病毒在攻擊時(shí)，首先誘使用戶點(diǎn)擊某個(gè)網(wǎng)站鏈接氧敢，當(dāng)用戶上當(dāng)點(diǎn)擊后日戈，病毒就會(huì)被下載到用戶計(jì)算機(jī)或iPhone、iPad 等手持設(shè)備上孙乖。然后浙炼，病毒會(huì)將自己隱藏到計(jì)算機(jī)硬盤(pán)之中，并將自己的藏身之處設(shè)置為不可讀唯袄，避免被殺毒軟件探測(cè)到弯屈。隱藏起來(lái)的病毒就是“方程式”攻擊的核心程序——Grayfish，這是一個(gè)攻擊平臺(tái)恋拷，其他攻擊武器都通過(guò)該程序展開(kāi)资厉。它會(huì)釋放另一些程序以收集用戶的密碼等信息，發(fā)送回Grayfish 存儲(chǔ)起來(lái)蔬顾。同時(shí)宴偿，病毒也會(huì)通過(guò)網(wǎng)絡(luò)和USB接口傳播。病毒修改了計(jì)算機(jī)和手持設(shè)備的驅(qū)動(dòng)程序诀豁，一旦探測(cè)到有U盤(pán)插入窄刘，病毒就會(huì)自動(dòng)傳染到U盤(pán)上，并且同樣把自己隱藏起來(lái)舷胜。當(dāng)U盤(pán)又被插入到另一個(gè)網(wǎng)絡(luò)時(shí)刚盈，如一個(gè)與外界隔離的工業(yè)控制網(wǎng)絡(luò)晶默，病毒就被引入到那個(gè)網(wǎng)絡(luò)，并逐步傳遍整個(gè)網(wǎng)絡(luò)。
以上攻擊方式中韧涨，尤其值得一提的是“方程式”開(kāi)創(chuàng)了入侵硬盤(pán)的病毒技術(shù)。當(dāng)它感染用戶計(jì)算機(jī)后兔综，會(huì)修改計(jì)算機(jī)硬盤(pán)的固件程序割去，在硬盤(pán)扇區(qū)中開(kāi)辟一塊區(qū)域，將自己存儲(chǔ)于此遇汞，并將這塊區(qū)域標(biāo)記為不可讀未妹。這樣，無(wú)論是操作系統(tǒng)重裝空入，還是硬盤(pán)格式化络它，都無(wú)法觸及這塊區(qū)域，因此也就無(wú)法刪除病毒歪赢。只要硬盤(pán)仍在使用化戳，病毒就可以永遠(yuǎn)存活下去，并感染其所在的網(wǎng)絡(luò)以及任何插入該計(jì)算機(jī)的U盤(pán)。
“方程式”組織的武器庫(kù)中的Fanny蠕蟲(chóng)創(chuàng)建于2008年点楼，它利用USB設(shè)備傳播蠕蟲(chóng)扫尖，可攻擊物理隔離網(wǎng)絡(luò)并回傳收集到的信息。

image.png

八、黑暗能量（BlackEnergy）黑客工具
BlackEnergy是一款自動(dòng)化的網(wǎng)絡(luò)攻擊工具切端，出現(xiàn)于2007年彻坛，2010年已經(jīng)添加到病毒樣本庫(kù)，主要影響行業(yè)是電力帆赢、軍事小压、通信、政府等基礎(chǔ)設(shè)施和重要機(jī)構(gòu)椰于。BlackEnergy被各種犯罪團(tuán)伙使用多年怠益。其客戶端采用了插件的方式進(jìn)行擴(kuò)展，第三方開(kāi)發(fā)者可以通過(guò)增加插件針對(duì)攻擊目標(biāo)進(jìn)行組合瘾婿，實(shí)現(xiàn)更多攻擊能力蜻牢，例如，有些人利用它發(fā)送垃圾郵件偏陪，另一些人用它來(lái)盜取銀行憑證抢呆。BlackEnergy工具帶有一個(gè)構(gòu)建器（builder）應(yīng)用程序，可生成感染受害者機(jī)器的客戶端笛谦。同時(shí)該工具還配備了服務(wù)器腳本抱虐，用于構(gòu)建命令及控制（C&C）服務(wù)器。這些腳本也提供了一個(gè)接口饥脑，攻擊者可以通過(guò)它控制“僵尸機(jī)”恳邀。該工具有簡(jiǎn)單易用的特點(diǎn)，意味著任何人只要能接觸到這個(gè)工具灶轰，就可以利用它來(lái)構(gòu)建自己的“僵尸”網(wǎng)絡(luò)谣沸。
以烏克蘭電網(wǎng)受攻擊事件為例，該病毒的攻擊者在微軟Office文件（一個(gè).xls文檔）中嵌入了惡意宏文件笋颤，并以此作為感染載體來(lái)對(duì)目標(biāo)系統(tǒng)進(jìn)行感染乳附。攻擊者通過(guò)釣魚(yú)郵件的方式，將惡意文檔以附件形式發(fā)送到目標(biāo)用戶，目標(biāo)用戶在接收到這封含有惡意文件的釣魚(yú)郵件之后赋除，系統(tǒng)就會(huì)被病毒感染阱缓。攻擊者將該郵件的發(fā)送地址進(jìn)行了偽裝，使用戶認(rèn)為這些郵件來(lái)自于合法渠道贤重。在惡意文件中還包含一些文字信息茬祷，這樣才能欺騙用戶來(lái)運(yùn)行文檔中的宏清焕。
如果攻擊者成功地欺騙了目標(biāo)用戶并蝗，那么他們的計(jì)算機(jī)系統(tǒng)將會(huì)感染BlackEnergy惡意程序，再通過(guò)BlackEnergy釋放出具有破壞性的KillDisk組件和SSH后門(mén)秸妥。KillDisk插件能夠破壞計(jì)算機(jī)硬盤(pán)驅(qū)動(dòng)器中的核心代碼滚停，并刪除指定的系統(tǒng)文件。利用SSH后門(mén)黑客可通過(guò)一個(gè)預(yù)留的密碼（passDs5Bu9Te7）來(lái)遠(yuǎn)程訪問(wèn)并控制電力系統(tǒng)的運(yùn)行粥惧，最終通過(guò)執(zhí)行shutdown命令關(guān)機(jī)键畴，此時(shí)系統(tǒng)遭到嚴(yán)重破壞，關(guān)機(jī)之后已經(jīng)無(wú)法重啟突雪，導(dǎo)致電力系統(tǒng)無(wú)法恢復(fù)運(yùn)行起惕，致使出現(xiàn)大面積的斷電事件。

工業(yè)控制網(wǎng)絡(luò)協(xié)議安全漏洞

工控網(wǎng)絡(luò)有很多特定的協(xié)議咏删，但是特定的行業(yè)通常僅使用其中的一種或幾種特定的協(xié)議惹想，很多企業(yè)也有專用的協(xié)議，如下表所示督函。

表

協(xié)議最初設(shè)計(jì)的時(shí)候嘀粱，為了兼顧工控系統(tǒng)通信的實(shí)時(shí)性，很多都忽略了協(xié)議通信的機(jī)密性辰狡、可認(rèn)證性等在當(dāng)時(shí)看起來(lái)不必要的附加功能锋叨。但是隨著工控系統(tǒng)與信息網(wǎng)絡(luò)的聯(lián)系日益密切，工控協(xié)議的漏洞容易被有攻擊意圖的黑客所利用宛篇。傳統(tǒng)觀念認(rèn)為工業(yè)內(nèi)網(wǎng)與互聯(lián)網(wǎng)物理隔離娃磺，所以幾乎所有的現(xiàn)場(chǎng)總線協(xié)議都是明碼通信，雖然明碼通信方便設(shè)備之間交換數(shù)據(jù)叫倍，快速便捷偷卧，但是帶來(lái)的安全問(wèn)題也很多。