日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
從烏克蘭電網(wǎng)事件看工控安全態(tài)勢(shì)

一、背景介紹

江城網(wǎng)站制作公司哪家好,找創(chuàng)新互聯(lián)公司!從網(wǎng)頁(yè)設(shè)計(jì)、網(wǎng)站建設(shè)、微信開發(fā)、APP開發(fā)、成都響應(yīng)式網(wǎng)站建設(shè)等網(wǎng)站項(xiàng)目制作,到程序開發(fā),運(yùn)營(yíng)維護(hù)。創(chuàng)新互聯(lián)公司成立于2013年到現(xiàn)在10年的時(shí)間,我們擁有了豐富的建站經(jīng)驗(yàn)和運(yùn)維經(jīng)驗(yàn),來(lái)保證我們的工作的順利進(jìn)行。專注于網(wǎng)站建設(shè)就選創(chuàng)新互聯(lián)公司。

目前,工控系統(tǒng)作為國(guó)家重點(diǎn)信息基礎(chǔ)設(shè)施的重要組成部分,正在成為全世界最新的地緣政治角逐戰(zhàn)場(chǎng)。諸如能源、電力、核等在內(nèi)的關(guān)鍵網(wǎng)絡(luò)成為全球攻擊者的首選目標(biāo),極具價(jià)值。簡(jiǎn)要回顧工控系統(tǒng)安全史上的幾起非常典型的、影響巨大的攻擊事件,如圖1所示。

圖1:工控安全事件回顧

據(jù)統(tǒng)計(jì),在剛剛過(guò)去的2019年全球各地工控安全問(wèn)題事件數(shù)量逐步上升,報(bào)告數(shù)量達(dá)到329件,涉及包括制造、能源、通信、核工業(yè)等超過(guò)15個(gè)行業(yè)。

面對(duì)日益嚴(yán)峻的工控安全問(wèn)題,亟需從人員意識(shí)、技戰(zhàn)術(shù)等多方面加深認(rèn)識(shí)。下面我們從一個(gè)經(jīng)典案例說(shuō)起。

二、經(jīng)典案例復(fù)盤—2015年烏克蘭斷電

在工控安全事件頻發(fā)的今天,復(fù)盤經(jīng)典案例有著以史為鑒的重大意義。

(一) 烏克蘭斷電事件簡(jiǎn)介

2015年12月23日,當(dāng)時(shí)烏克蘭首都基輔部分地區(qū)和烏克蘭西部的 140 萬(wàn)名居民遭遇了一次長(zhǎng)達(dá)數(shù)小時(shí)的大規(guī)模停電,至少三個(gè)電力區(qū)域被攻擊,占據(jù)全國(guó)一半地區(qū)。攻擊背景是在克里米亞公投并加入俄羅斯聯(lián)邦之后,因?yàn)蹩颂m與俄羅斯矛盾加劇,在網(wǎng)絡(luò)攻擊發(fā)生前一個(gè)月左右,烏克蘭將克里米亞地區(qū)進(jìn)行了斷電。一個(gè)月后,烏克蘭的Kyivoblenergo電力公司表示他們公司遭到木馬BlackEnergy網(wǎng)絡(luò)入侵,因此導(dǎo)致7個(gè)110KV的變電站和23個(gè)35KV的變電站出現(xiàn)故障,從而導(dǎo)致斷電。

(二) 攻擊采用的技戰(zhàn)術(shù)

本起著名的網(wǎng)絡(luò)攻擊采用魚叉式釣魚郵件手段,首先向“跳板機(jī)”如電力公司員工的辦公系統(tǒng),植入BlackEnergy3,以“跳板機(jī)”作為據(jù)點(diǎn)進(jìn)行橫向滲透,之后通過(guò)攻陷監(jiān)控/裝置區(qū)的關(guān)鍵主機(jī)。同時(shí)攻擊者在獲得了SCADA系統(tǒng)的控制能力后,BlackEnergy3繼續(xù)下載惡意組件(KillDisk),通過(guò)相關(guān)方法下達(dá)斷電指令導(dǎo)致斷電:其后,采用覆蓋MBR和部分扇區(qū)的方式,導(dǎo)致系統(tǒng)重啟后不能自舉;采用清除系統(tǒng)日志的方式提升事件后續(xù)分析難度;采用覆蓋文檔文件和其他重要格式文件的方式,導(dǎo)致實(shí)質(zhì)性的數(shù)據(jù)損失。這一組合拳不僅使系統(tǒng)難以恢復(fù),而且在失去SCADA的上層故障回饋和顯示能力后,工作人員被“致盲”,從而不能有效推動(dòng)恢復(fù)工作。

攻擊者在線上變電站進(jìn)行攻擊的同時(shí),在線下還對(duì)電力客服中心進(jìn)行電話DDoS攻擊,最終完成攻擊者的目的。如圖2所示:

圖2:攻擊流程(來(lái)源于參考1)

(三) 攻擊載體主要組成

1. 漏洞– CVE-2014-4114

該漏洞影響范圍:microsoft office 2007 系列組件,漏洞影響windows Vista SP2到Win8.1的所有系統(tǒng),也影響windows Server 2008~2012版本。XP不會(huì)受此漏洞影響。

漏洞補(bǔ)?。郝┒从?014年的10月15日被微軟修補(bǔ)。

漏洞描述:該漏洞是一個(gè)邏輯漏洞,漏洞觸發(fā)的核心在于office系列組件加載Ole對(duì)象,Ole對(duì)象可以通過(guò)遠(yuǎn)程下載,并通過(guò)Ole Package加載。

漏洞樣本執(zhí)行情況:將漏洞樣本投遞到目標(biāo)機(jī)上后,樣本執(zhí)行之后會(huì)下載2個(gè)文件,一個(gè)為inf文件,一個(gè)為gif(實(shí)質(zhì)上是可執(zhí)行病毒文件),然后修改下載的gif文件的后綴名為exe加入到開機(jī)啟動(dòng)項(xiàng),并執(zhí)行此病毒文件,此病毒文件就是木馬病毒BlackEnergy3。至此,漏洞完成了“打點(diǎn)突破”的任務(wù)。

2. 木馬病毒–BlackEnergy3

在烏克蘭斷電事件中,病毒采用了BlackEnergy的變種BlackEnergy3。該組件是DLL庫(kù)文件,一般通過(guò)加密方式發(fā)送到僵尸程序,一旦組件DLL被接收和解密,將被置于分配的內(nèi)存中。然后等待相應(yīng)的命令。例如:可以通過(guò)組件發(fā)送垃圾郵件、竊取用戶機(jī)密信息、建立代理服務(wù)器、伺機(jī)發(fā)動(dòng)DDoS攻擊等。關(guān)鍵組件介紹:

(1) Dropbear SSH組件

一個(gè)攻擊者篡改的SSH服務(wù)端程序,攻擊者利用VBS文件

啟動(dòng)這個(gè)SSH服務(wù)端,開啟6789端口等待連接,這樣攻擊者可以在內(nèi)網(wǎng)中連接到受害主機(jī)。

(2) KillDisk組件

主要目的是擦除證據(jù),破壞系統(tǒng)。樣本運(yùn)行后遍歷文件進(jìn)行擦除操作,還會(huì)擦寫磁盤MBR、破壞文件,最后強(qiáng)制關(guān)閉計(jì)算機(jī)。

整個(gè)入侵后的狀態(tài)如圖3所示:

圖3:入侵后的狀態(tài)(來(lái)源于參考2)

這是一起以CVE-2014-4114漏洞及木馬病毒BlackEnergy3等相關(guān)惡意代碼為主要攻擊工具,通過(guò)前期的資料采集和環(huán)境預(yù)置;以含有漏洞的郵件為載體發(fā)送給目標(biāo),植入木馬載荷實(shí)現(xiàn)打點(diǎn)突破,通過(guò)遠(yuǎn)程控制SCADA節(jié)點(diǎn)下達(dá)斷電指令,摧毀破壞SCADA系統(tǒng)實(shí)現(xiàn)遲滯恢復(fù)和狀態(tài)致盲;以DDoS電話作為干擾,最后達(dá)成長(zhǎng)時(shí)間停電并制造整個(gè)社會(huì)混亂的具有信息戰(zhàn)水準(zhǔn)的網(wǎng)絡(luò)攻擊事件。本次攻擊的突破點(diǎn)并沒有選擇電力設(shè)施的縱深位置,也未使用0day漏洞,而是沿用了傳統(tǒng)的攻擊手法,從電力公司員工主機(jī)突破,利用木馬實(shí)現(xiàn)攻擊鏈的構(gòu)建,具有成本低,打擊直接、有效的特點(diǎn)。

三、安全思考

通過(guò)對(duì)烏克蘭斷電事件的復(fù)盤以及對(duì)當(dāng)前工控安全現(xiàn)狀的研判,工控系統(tǒng)網(wǎng)絡(luò)安全現(xiàn)狀也實(shí)在令人憂思。其原因主要從以下方面考慮:

(1) 工控系統(tǒng)環(huán)境中大量使用遺留的老式系統(tǒng)。

工控系統(tǒng)跟國(guó)家經(jīng)濟(jì)、政治、民生、命運(yùn)緊密相連,但是大都存在年久失修、不打補(bǔ)丁、防御薄弱等問(wèn)題,有的甚至還使用windows xp系統(tǒng)。一旦接入互聯(lián)網(wǎng)或者局域網(wǎng),就可能成為一攻就破的靶子,為網(wǎng)絡(luò)攻擊和病毒、木馬的傳播創(chuàng)造了有利環(huán)境。

(2) 工控系統(tǒng)設(shè)計(jì)時(shí)未考量安全因素。

很多工控系統(tǒng)中的應(yīng)用程序和協(xié)議最初都是在沒有考慮認(rèn)證和加密機(jī)制及網(wǎng)絡(luò)攻擊的情況下開發(fā)的。設(shè)備本身在處理過(guò)載和處理異常流量的能力都較弱,攻擊者通過(guò)DDOS會(huì)導(dǎo)致設(shè)備響應(yīng)中斷。

(3) 工控領(lǐng)域正成為各國(guó)博弈的新戰(zhàn)場(chǎng)。

工控領(lǐng)域逐漸成為各國(guó)博弈的新戰(zhàn)場(chǎng),政治、經(jīng)濟(jì)利益驅(qū)動(dòng)下使得工控安全呈現(xiàn)多樣性和復(fù)雜性,攻防能力失衡。

本文既是對(duì)工控領(lǐng)域安全現(xiàn)狀的思考,也是對(duì)攻防對(duì)抗技戰(zhàn)法的復(fù)盤;既是學(xué)習(xí),也是總結(jié)。感謝全球安全研究員為安全事業(yè)做出的不懈努力,共勉!


新聞標(biāo)題:從烏克蘭電網(wǎng)事件看工控安全態(tài)勢(shì)
文章起源:http://www.5511xx.com/article/djoocod.html