2016烏克蘭電力系統(tǒng)攻擊事件分析報告

烏克蘭電力系統(tǒng)遭受攻擊事件綜合分析報告目錄事件綜述 1電力系統(tǒng)原理及斷電原因分析 2電力系統(tǒng)概述 2電力系統(tǒng)環(huán)節(jié)介紹 3變電站自動化系統(tǒng)概述 4攻擊導(dǎo)致斷電的方法分析 7攻擊全程分析 8攻擊組織及BLACKENERGY分析 10SandWorm（沙蟲組織） 10BlackEnergy（黑色能量） 10版本演進歷史 10攻擊裝備/組件介紹 12歷史事件及攻擊對象回顧 13相關(guān)樣本分析 15前導(dǎo)文檔 15DropbearSSH 17KillDisk 18硬盤破壞程度 23可恢復(fù)程度測試 24事件總結(jié) 26附錄一：鳴謝 28附錄二：相關(guān)樣本HASH 28附錄三：部分樣本追影分析報告 29附錄四：事件分析跟進時間點 29附錄五：參考資料 30附錄六：事件時間鏈與相關(guān)鏈接 32附錄七：安天在工控領(lǐng)域進行的相關(guān)研究 36附錄八：關(guān)于安天 43烏克蘭電力系統(tǒng)遭受攻擊事件綜合分析報告烏克蘭電力系統(tǒng)遭受攻擊事件綜合分析報告第第1頁烏克蘭電力系統(tǒng)遭受攻擊事件綜合分析報告烏克蘭電力系統(tǒng)遭受攻擊事件綜合分析報告第第10頁事件綜述2015年12月23日，烏克蘭電力部門遭受到惡意代碼攻擊，烏克蘭新聞媒體TSN在24日報道稱：15[1]”Kyivoblenergo“72335KV80000”安全公司ESET201613[2]染的是惡意代碼BacEneg（，BakEgyDkSSH[3][4][5][6]。BlackEnergy2014年被黑客團隊“沙蟲”用于攻擊歐美SCADAiSIGHTPartners2016172014iSIGHTPartners[7]。ESET201619SANSICSSCADA2016115日，根據(jù)BlackEnergy攻擊；2016128STB電視臺攻擊的BlackEnergy2016216日，BlackEnergyKillDisk聯(lián)合分析組根據(jù)對整體事件的跟蹤、電力運行系統(tǒng)分析和相關(guān)樣本分析，認為這是一起以電力基礎(chǔ)設(shè)施為目標；以BlackEnergy等相關(guān)惡意代碼為主要攻擊工具；通過BOTNET體系進行前期的資料采集和環(huán)境預(yù)置；以郵件發(fā)送惡意代碼載荷為最終攻擊的直接突破入口；通過遠程控制SCADA節(jié)點下達指令為斷電手段；以摧毀破壞SCADA系統(tǒng)實現(xiàn)遲滯恢復(fù)和狀態(tài)致盲；以DDoS服務(wù)電話作為干擾，最后達成長時間停電并制造整個社會混亂的具有信息戰(zhàn)水準的網(wǎng)絡(luò)攻擊事件。0Day漏洞，PC[8][9]、方程式[10][11][12]等攻電力系統(tǒng)原理及斷電原因分析電力系統(tǒng)概述）圖1電力系統(tǒng)示意圖電力系統(tǒng)環(huán)節(jié)介紹圖2升壓變電站

20KV的電圖3輸電線路

0V20V330V00V，750KV，1000KV。圖4降壓變電站

電站。圖5某500KV樞紐變電站 圖6某220KV中間變電站圖7某110KV地區(qū)變電站 圖8某35KV終端變電站配電網(wǎng)配電網(wǎng)在電力網(wǎng)中主要是把輸電網(wǎng)送來的電能再分配和送到各類用戶，擔(dān)任配送電能的任務(wù)。配電設(shè)施包括配電線路、配電變電所、配電變壓器等。變電站自動化系統(tǒng)概述35kV750kV400kV500kV、330kV、220kV和35kV10kV和35kV變電站屬于接近最終用戶的變電站。（PT、CT強電）（（PCS）DCSPCS（D（CS的DS系SCADA9圖9一個可能的變電站SCADA體系結(jié)構(gòu)如果將變電站SCADA與一般工業(yè)DCS做一個比較，則過程層相當于DCS中的現(xiàn)場儀表層面，直接連接斷路器、變壓器、PT、CT等一次設(shè)備，完成最終的遙測、遙控等功能；間隔層相當于DCS中的現(xiàn)場DCSDCS中的PC（IEC61850）PCWindows-Intel工控系統(tǒng)的歷史比PCPCPC（HMIPC（（220kVSCADA35kVWindows35kVndosAPT能力就可以使其上的業(yè)務(wù)系統(tǒng)免受攻擊。SCADAPCSCADAPCPCPCSCADA可以對系統(tǒng)中DCSDCSPLCSCADA（35kV等級獨立為集散原則或者分布式原則，又稱為“分散控制+集中監(jiān)控”模式。在這種模式下，如果只是出現(xiàn)了上層SCADASCADA攻擊導(dǎo)致斷電的方法分析SCADASCADA對于烏克蘭停電事件中的攻擊者來講，在取得了對SCADA系統(tǒng)的控制能力后，可完成上述操作的手法也有多種：當攻擊者取得變電站SCADASCADA）SCADA（USBKEY等登錄認證方式的USBAPISCADASCADA站控層PC）SCADAIEC61850IEC61850IEC61850截獲指令來直接遙控過程層電力設(shè)備，同樣可以完成遠程控制設(shè)備運行狀態(tài)、更改設(shè)備運行參數(shù)引起電網(wǎng)故障或斷電。上述兩種方式都不僅可以在攻擊者遠程操控情況下交互作業(yè)，同樣可以進行指令預(yù)設(shè)、實現(xiàn)定時觸發(fā)和條件觸發(fā)，從而在不能和攻擊者實時通訊的情況下發(fā)起攻擊。即使是采用操控程序界面的方式，同樣可以采用鍵盤和鼠標的行為的提前預(yù)設(shè)來完成。攻擊全程分析BlackEnergyBlackEnergy/裝置區(qū)的關(guān)鍵主機。同時由于BlackEnergy已經(jīng)形成攻擊者在獲得了SCADAR（SCADA攻擊者一方面在線上變電站進行攻擊的同時，另一方面在線下還對電力客服中心進行電話DDoS攻擊，兩組“火力”共同配合發(fā)起攻擊完成攻擊者的目的。整體的攻擊全景如下圖所示：烏克蘭電力系統(tǒng)遭受攻擊事件綜合分析報告圖10烏克蘭停電事件攻擊全程示意圖第9頁烏克蘭電力系統(tǒng)遭受攻擊事件綜合分析報告烏克蘭電力系統(tǒng)遭受攻擊事件綜合分析報告第第11頁烏克蘭電力系統(tǒng)遭受攻擊事件綜合分析報告烏克蘭電力系統(tǒng)遭受攻擊事件綜合分析報告第第10頁攻擊組織及BlackEnergy分析SandWorm（沙蟲組織）iSIGHT201410iSIGHT（在此次烏克蘭變電站遭受攻擊事件中，攻擊者采用了帶有惡意宏代碼的xls文檔，我們通過對該文檔的分析，發(fā)現(xiàn)其釋放的惡意代碼及相關(guān)特性與沙蟲組織的攻擊特性十分相似，比如：釋放FONTCACHE.DAT文件、啟動目錄添加CLSID格式名稱的快捷方式、釋放的文件都是BlackEnergy僵尸網(wǎng)絡(luò)程序。因此，安天認為本次攻擊事件可能與沙蟲組織有關(guān)。BlackEnergy（黑色能量）BlackEnergy2007DDoS因為BlackEnergy具有多組件、多用途的特點，它已被多個團伙用于不同目的。例如，發(fā)送DDoS攻擊、發(fā)送垃圾郵件、密碼偷竊、盜取銀行證書和搜索特定的文件類型等。近幾年多次被利用攻擊烏克蘭政府、攻擊工控系統(tǒng)、甚至攻擊路由器等設(shè)備。關(guān)于本次事件中采用的BlackEnergy樣本，可參見安天“沙蟲（CVE-2014-4114）相關(guān)威脅綜合分析報告[13]”中關(guān)于載荷文件的分析。BlackEnergy已經(jīng)形成了BOTNET（build_id版本演進歷史BlackEnergy1BlackEnergy（builder）2007BlackEnergy構(gòu)建器程BlackEnergy1DDoS圖11BlackEnergy1構(gòu)建程序DDoS攻擊的BlackEnergy僵尸網(wǎng)絡(luò)可以啟動控制的“洪水”命令的參數(shù)，例如：ICMPping洪水、TCPSYN洪水、UDP流量洪水、二進制包洪水、DNS請求洪水等。該版本服務(wù)器程序為WEB版本，將受害者機器相關(guān)信息Base64編碼后回傳C&C服務(wù)器中。圖12Base64加密圖13解密后數(shù)據(jù)Base64解碼后的內(nèi)容為服務(wù)器上的配置信息加上一個上線ID號，BlackEnergy配置還包含一個叫build_id的值，該字符串是個特殊字符串，是用來甄別受感染個體的，比如：build_id猜測針對的部門en能源tel電信trk交通...其他未知意義ID表1build_idBlackEnergy1mssrv32.exeSvchost.exeDDoSBlackEnergy2BlackEnergy2依然是一個具備DDoS功能的僵尸網(wǎng)絡(luò)程序，該樣本新增類加密軟件以對自身加密處理，防止反病毒軟件查殺。該版本程序首先釋放驅(qū)動文件以服務(wù)方式運行，將驅(qū)動程序注入系統(tǒng)進程，隨后樣本連接遠程服務(wù)器，下載DDoS攻擊組件，根據(jù)配置文件對目標發(fā)起DDoS攻擊。圖14BlackEnergy2工作原理圖BlackEnergy2（附BlackEnergy23、HTTPDDoSBlackEnergy2msiexec.exe。msiexec.exeInstallerWindowsInstaller（MSI）BlackEnergyBlackEnergy320149F-SecureBlackEnergy3。但攻擊裝備/組件介紹組件名稱功能SYNSYN攻擊HTTPhttp攻擊BlackEnergyDLL組件名稱功能SYNSYN攻擊HTTPhttp攻擊DDOSDDoS攻擊spm_v1垃圾郵件Ps密碼偷竊ibank.dll竊取銀行證書VSNET傳播和發(fā)射有效載荷weap_hwi編譯ARM系統(tǒng)上運行的DDoS工具FS搜索特定的文件類型DSTR這通過用隨機數(shù)據(jù)重寫它破壞RD遠程桌面Ciscoapi.tcl針對思科路由器KillDisk刪除MBR，導(dǎo)致系統(tǒng)無法啟動表2BlackEnergy目前流行已知攻擊組件歷史事件及攻擊對象回顧圖15BlackEnergy歷史事件2007年BlackEnergy2007DDoS2008年俄格沖突期間，該工具被用來對格魯吉亞實施網(wǎng)絡(luò)攻擊。2009年BlackEnergy攻擊美國花旗銀行，盜取數(shù)千萬美金。2010年BlackEnergy2在2010年發(fā)布，支持更多的插件功能。2014年BlackEnergy的最新樣本目標鎖定在烏克蘭和波蘭的攻擊。2014年10月BlackEnergyHMIGE。2014年10月14日iSIGHT發(fā)現(xiàn)利用CVE-2014-4114BlackEnergy樣本[14]201410月15（CVE-2014-4114）[13]2014年月攻擊Linux和Cisco思科設(shè)備。2014年12月（BSI）2014BlackEnergy有關(guān)。安天隨后跟進分析，于次日形成關(guān)于BlackEnergy[15]。2015年月烏克蘭大選期間曾遭受過黑客的攻擊，導(dǎo)致資料被竊取。2015年12月烏克蘭稱電網(wǎng)遭遇黑客攻擊，相關(guān)報告稱這起事件和BlackEnergy有關(guān)。相關(guān)樣本分析前導(dǎo)文檔安天20153月被這與我們過去看到的大量APTOffice0Day0Day0Day關(guān)，Da。圖16郵件內(nèi)容郵件譯文：烏克蘭總統(tǒng)對部分動員令2015151511423這是一種針對性攻擊常用的手法，首先攻擊者在一封郵件中嵌入一個惡意文檔發(fā)送給目標，如果目標主機存在安全隱患，則在打開附件時就會自動運行宏代碼，附件（Excel）打開后顯示如下圖，為了誘導(dǎo)受“注意！該文檔由較新版本的fe創(chuàng)建，為顯示文檔內(nèi)容，必須啟用宏?！眻D17Excel內(nèi)容25768個（PE圖18宏代碼然后通過一個循環(huán)將二進制數(shù)據(jù)寫入到指定的磁盤文件，對應(yīng)的路徑為：%TEMP%\vba_macro.exe，隨后執(zhí)行此文件，即BlackEnergyDropper，在經(jīng)過多次解密后，其會釋放BlackEnergy，并利用BlackEnergy下載插件對系統(tǒng)進行攻擊。圖19生成PEDropbearSSH該樣本是攻擊者使用組件，一個攻擊者篡改的SSH服務(wù)端程序，該程序是基于開源的SSH軟件DropbearSSH[16]，改動部分代碼后生成。攻擊者利用VBS文件啟動這個SSH服務(wù)端，VBS內(nèi)容如下：圖20VBS內(nèi)容VBSSSH6789SSHDropbearSSH“paDue7HDopbearH圖22添加后門的DropbearSSH代碼圖21DropbearSSHDropbearSSHSSH有后門的DropbearSSH23ESET圖23歷史檢測結(jié)果KillDiskKillDisk也是攻擊者使用的組件，主要目的是擦除證據(jù)，破壞系統(tǒng)。樣本運行后會遍歷文件進行擦除操作，還會擦寫磁盤MBR、破壞文件，最后強制關(guān)閉計算機。病毒名稱Trojan/Win32.KillDisk原始文件名c7536ab90621311b526aefd56003ef8e1166168f038307ae960346ce8f75203dMD57361B64DDCA90A1A1DE43185BD509B64處理器架構(gòu)X86-32文件大小96.0KB(98,304字節(jié))文件格式BinExecute/Microsoft.EXE[:X86]時間戳3693DD58->1999-01-0706:02:00數(shù)字簽名無加殼類型無編譯語言MicrosoftVisualC++8.0表3樣本標簽60轉(zhuǎn)為秒數(shù)，再使用函數(shù)RtlTimeToSecondsSince1970圖24寫入注冊表利用ShellExecuteW調(diào)用cmd.exe來執(zhí)行安裝操作，參數(shù)如下：圖25添加服務(wù)安裝完成之后，樣本會執(zhí)行一個循環(huán)操作，判斷當前系統(tǒng)時間是否已經(jīng)大于注冊表中的數(shù)值，若已經(jīng)大于，則執(zhí)行惡意操作；若未達到，則繼續(xù)執(zhí)行循環(huán)操作。圖26延時操作覆蓋MBR和部分扇區(qū)0x0000對系統(tǒng)中的前十塊磁盤進行擦除操作，打開磁盤，獲取句柄。圖27遍歷磁盤x200x0x10圖28磁盤擦除清理系統(tǒng)日志如對部分扇區(qū)的擦除工作能夠正常完成，該樣本會對系統(tǒng)的日志進行清理，以增加事后分析的難度，如圖29：圖29清理日志進程遍歷和清理進程此后樣本會遍歷系統(tǒng)中的進程，若進程名存在于下面的列表中，則會放行；否則會結(jié)束進程的運行。圖30進程列表從表中可以看出，多數(shù)為系統(tǒng)的關(guān)鍵進程，只有komut.exe不是系統(tǒng)進程。樣本中止掉其他進程，應(yīng)是為榨取更多的系統(tǒng)資源，以使下一個動作（文件擦除）產(chǎn)生更好的效果，但同時又避免誤殺系統(tǒng)進程導(dǎo)致系統(tǒng)運行受到影響。文件擦除該部分操作是由一個新創(chuàng)建的線程所執(zhí)行。它會先對磁盤中的文件進行全盤遍歷，根據(jù)文件后綴的不同分為兩類，最后使用隨機數(shù)字對文件進行擦除。圖31為部分代碼：圖31文件擦除.crt.bin.exe.db.dbf.pdf.djvu.doc.docx.xls.xlsx.jar.ppt.pptx.tib.vhd.iso.lib.mdb.accdb.sql.mdf.xml.rtf.ini.cfg.boot.txt.rar.msi.zip.jpg.bmp.jpeg.tiffm_FileSearchinList、outListinListoutList.crt.bin.exe.db.dbf.pdf.djvu.doc.docx.xls.xlsx.jar.ppt.pptx.tib.vhd.iso.lib.mdb.accdb.sql.mdf.xml.rtf.ini.cfg.boot.txt.rar.msi.zip.jpg.bmp.jpeg.tiff表4后綴列表inList8.03kb。結(jié)束進程通過遍歷系統(tǒng)進程，查找sec_service.exe，若存在該進程，則將其結(jié)束掉，并執(zhí)行兩次。圖32結(jié)束進程若不存在該進程，則判斷是否存在sec_service服務(wù)，若存在，則將其關(guān)閉并刪除該服務(wù)。關(guān)機操作當執(zhí)行完上面的操作之后，樣本會執(zhí)行關(guān)機操作。圖33關(guān)機操作該條指令執(zhí)行之后，會在5秒后關(guān)機，樣本在這5秒內(nèi)還會進行一次系統(tǒng)遍歷，結(jié)束三個系統(tǒng)進程csrss.exe、smss.exe、lsass.exe，猜測攻擊者是擔(dān)心因為這些進程的干擾導(dǎo)致無法達到重啟的目的。而在關(guān)機后，由于MBR已經(jīng)被破壞，系統(tǒng)將不能完成自舉。其它樣本樣本MD5樣本大小PE樣本MD5樣本大小PE時間戳功能CD1AA880F30F9B8BB6CF88KB(90,112字節(jié))562B8636->2015-10-24擦寫磁盤的前256個扇區(qū)4D4F9E41DDF421:23:02擦除16類特定后綴的文件結(jié)束非列表中的進程重啟系統(tǒng)66676DEAA9DFE98F84973124KB(126,976字節(jié))562B8C4F->2015-10-24從16類特定后綴的文件增加到92064AEFBAB21:49:0318045類。72BD40CD60769BAFFD41108KB(110,592字節(jié))562BCBB2->2015-10-25增加將自身添加為服務(wù)的功能，增加2B84ACC0337202:19:30注冊表操作，并使用動態(tài)獲取函數(shù)地址的方式，增加分析難度。7361B64DDCA90A1A1DE496KB(98,304字節(jié))3693DD58->1999-01-07增加定時啟動功能，增加對進程3185BD509B6406:02:00komut.exe的判斷，增加結(jié)束進程sec_service.exe，增加關(guān)閉服務(wù)sec_service，對字符串進行變形，增加分析難度。表5文件對比硬盤破壞程度0x200000x200256第1（R圖34MBR結(jié)構(gòu)分區(qū)項的結(jié)構(gòu)如下：圖35分區(qū)項結(jié)構(gòu)操作系統(tǒng)磁盤格式MBR地址引導(dǎo)扇區(qū)地址破壞結(jié)果WinXPNTFS0x00-0x2000x7E00-0x8000MBR及引導(dǎo)扇區(qū)被破壞FAT320x00-0x2000x7E00-0x8000Win7操作系統(tǒng)磁盤格式MBR地址引導(dǎo)扇區(qū)地址破壞結(jié)果WinXPNTFS0x00-0x2000x7E00-0x8000MBR及引導(dǎo)扇區(qū)被破壞FAT320x00-0x2000x7E00-0x8000Win7NTFS0x00-0x2000x100000-0x100200只有MBR被破壞FAT32因FAT32分區(qū)格式無法安裝Win7系統(tǒng)而未測試表6測試結(jié)果MBR可恢復(fù)程度測試MBRPTDDPartitionDoctorMBR這兩項修復(fù)工作只會對磁盤的第一個扇區(qū)進行修改，包含主引導(dǎo)程序的出錯信息、四個分區(qū)項和結(jié)束字。對兩塊硬盤進行了測試：一是XP系統(tǒng)的，分區(qū)項1的內(nèi)容在前256個扇區(qū)內(nèi)，已經(jīng)被破壞；二是Win7系統(tǒng)的，分區(qū)項1的內(nèi)容不在前256個扇區(qū)內(nèi)，未被破壞。XP系統(tǒng)磁盤修復(fù)該磁盤在修復(fù)前，因為MBR被破壞，找不到系統(tǒng)分區(qū)，系統(tǒng)顯示的錯誤信息如下：圖36MBR丟失將MBR進行修復(fù)之后，但由于系統(tǒng)啟動文件被破壞，會出現(xiàn)下面的錯誤：圖37系統(tǒng)文件破壞Win7系統(tǒng)磁盤修復(fù)MBRMBR38MBR扇區(qū)這時運行系統(tǒng)會出現(xiàn)如下錯誤：圖39系統(tǒng)錯誤bcdedit/set{default}devicepartition=c:bcdedit/set{default}osdevicepartition=c:bcdedit/set{default}detecthal1再使用WinPE進入系統(tǒng)，利用命令bcdeditbcdedit/set{default}devicepartition=c:bcdedit/set{default}osdevicepartition=c:bcdedit/set{default}detecthal1表7修復(fù)命令可正常啟動開機。MBR1MBR1MBR但樣本運行之后，對系統(tǒng)中磁盤的文件進行了擦除，即使MBR修復(fù)之后，由于系統(tǒng)文件的損壞，也無法進行恢復(fù)，可見樣本的破壞性之大。事件總結(jié)圖40烏克蘭停電攻擊事件過程總結(jié)這是一起以BlackEnergySCADASCADA。震網(wǎng)事件烏克蘭變電站遭受攻擊事件主要攻擊目標伊朗核工業(yè)設(shè)施烏克蘭電力系統(tǒng)關(guān)聯(lián)被攻擊目標FooladTechnicEngineeringCo（該公司為伊朗工業(yè)設(shè)施生產(chǎn)自動化系統(tǒng)）烏克蘭最大機場基輔鮑里斯波爾機場烏克蘭礦業(yè)公司BehpajoohCo.Elec&Comp.Engineering（開發(fā)工業(yè)自動化系統(tǒng)）烏克蘭鐵路運營商烏克蘭國有電力公司UKrenergoNedaIndustrialGroup（該公司為工控領(lǐng)域烏克蘭TBS電視臺A震網(wǎng)事件烏克蘭變電站遭受攻擊事件主要攻擊目標伊朗核工業(yè)設(shè)施烏克蘭電力系統(tǒng)關(guān)聯(lián)被攻擊目標FooladTechnicEngineeringCo（該公司為伊朗工業(yè)設(shè)施生產(chǎn)自動化系統(tǒng)）烏克蘭最大機場基輔鮑里斯波爾機場烏克蘭礦業(yè)公司BehpajoohCo.Elec&Comp.Engineering（開發(fā)工業(yè)自動化系統(tǒng)）烏克蘭鐵路運營商烏克蘭國有電力公司UKrenergoNedaIndustrialGroup（該公司為工控領(lǐng)域烏克蘭TBS電視臺提供自動化服務(wù)）Control-GostarJahedCompany（工業(yè)自動化公司）KalaElectric（該公司是鈾濃縮離心機設(shè)備主要供應(yīng)商）作用目標ndo、nCPC控制系PLCndo（Windows）造成后果大大延遲了伊朗的核計劃烏克蘭伊萬諾-弗蘭科夫斯克地區(qū)大面積停電核心攻擊原理修改離心機壓力參數(shù)、修改離心機轉(zhuǎn)子轉(zhuǎn)速參數(shù)通過控制SCADA系統(tǒng)直接下達斷電指令使用漏洞MS08-067（RPC遠程執(zhí)行漏洞）MS10-046（快捷方式文件解析漏洞）MS10-061（打印機后臺程序服務(wù)漏洞）MS10-07（內(nèi)核模式驅(qū)動程序漏洞）MS10-092（任務(wù)計劃程序漏洞）WINCC口令硬編碼未發(fā)現(xiàn)攻擊入口USB擺渡[17]人員植入（猜測）郵件發(fā)送帶有惡意代碼宏的文檔前置信息采集和環(huán)境預(yù)置可能與DUQU、FLAME[18][19]相關(guān)采集打擊一體通訊與控制高度嚴密的加密通訊、控制體系相對比較簡單惡意代碼模塊情況龐大嚴密的模塊體系，具有高度的復(fù)用性模塊體系，具有復(fù)用性抗分析能力高強度的本地加密，復(fù)雜的調(diào)用機制相對比較簡單，易于分析數(shù)字簽名盜用三個主流廠商數(shù)字簽名未使用數(shù)字簽名攻擊成本相對較低表8震網(wǎng)事件與烏克蘭變電站遭受攻擊事件對比APT攻擊或Cyber1Day的攻防態(tài)勢上來看，地下黑產(chǎn)的基礎(chǔ)設(shè)施也正在形成，并構(gòu)成了一個惟利是圖的多邊信息共享機制，被普通僵尸網(wǎng)絡(luò)采集竊取到的信息，有著巨大的流向不確定性，從而成為戰(zhàn)略攻擊者的信息采集源；而一般性的惡意代碼感染、弱化安全性的盜版鏡像、夾帶惡意代碼漢化、破解工具等等，都在客觀上起到降低戰(zhàn)略攻擊者門檻的作用。對那些“普通的”惡意代碼感染擴散事件予以漠視，而幻想依托威脅情報就可以發(fā)現(xiàn)攔截高級威脅的想法無疑是幼稚的。ITPCPCSCADA等PC改善基礎(chǔ)設(shè)施體系中PCTCP/IP+IT去。以國土安全的視野，以應(yīng)對為信息戰(zhàn)為要求，提升對關(guān)鍵基礎(chǔ)設(shè)施的防御能力，是中國在走向網(wǎng)絡(luò)強國過程中必須完成的工作。對一個國家來說，最幸運的是在別人間的戰(zhàn)爭中學(xué)習(xí)戰(zhàn)爭和理解防御。人無遠慮，必有近憂；前事不遠，吾輩之師。附錄一：鳴謝在針對本次攻擊事件的整體分析中，安天獲得了部分專家學(xué)者和研究者的支持與幫助，在此感謝為報告提供意見的黃晟、上海電力學(xué)院信息安全系的王勇教授以及華北電力大學(xué)的鄭雄同學(xué)。附錄二：相關(guān)樣本HASHXLSwithMacroSHA1：AA67CA4FB712374F5301D1D2BAB0AC66107A4DF18C26C70FBFFE7F250AAFF234BE9A014A996930BCBlackEnergySHA1：4C424D5C8CFEDF8D2164B9F833F7C631F94C5A4C46F901106C7020C860D71E0C7E709E0F5B3DEDD8DropbearSSHSHA-1:166D71C63D0EB609C4F77499112965DB7D9A51BBVBSSHA-1:72D0B326410E1D0705281FDE83CB7C33C67BC8CAKillDiskSHA-1:16F44FAC7E8BC94ECCD7AD9692E6665EF540EEC46D6BA221DA5B1AE1E910BBEAA07BD44AFF26A7C0F3E41EB94C4D72A98CD743BBB02D248F510AD9258AD6F88C5813C2B4CD7ABAB1D6C056D95D6AC569附錄三：部分樣本追影分析報告附錄四：事件分析跟進時間點時間描述2015時間描述2015年12月23日烏克蘭國家電力部門遭受到惡意代碼攻擊。2016年1月5日安天、四方繼保、復(fù)旦大學(xué)三方在事件后，建立了聯(lián)合分析組。2016年1月6日啟動分析事件中相關(guān)樣本，并收集相關(guān)報道。2016年1月9日KillDiskSCADA、HMI2016年1月10日針對事件中的其它樣本進行分析。2016年1月11日BlackEnergy2016年1月11日-15日陸續(xù)有對此次事件發(fā)布報道的新聞。2016年1月14日形成報告提綱和章節(jié)分工。2016年1月17日邀請電力專家進行講解電力系統(tǒng)，在此其間烏克蘭自己檢查發(fā)現(xiàn)機場也遭到BlackEnergy攻擊。2016年1月18日初步編寫綜合分析報告。2016年1月23日完成初步分析報告，并報送給公安部第一研究所。2016年2月24日烏克蘭電力系統(tǒng)遭受攻擊事件綜合分析報告最終版發(fā)布。烏克蘭電力系統(tǒng)遭受攻擊事件綜合分析報告烏克蘭電力系統(tǒng)遭受攻擊事件綜合分析報告第第33頁烏克蘭電力系統(tǒng)遭受攻擊事件綜合分析報告烏克蘭電力系統(tǒng)遭受攻擊事件綜合分析報告第第32頁天融信：BlackEnergy攻擊致烏克蘭停電事件分析附錄六：事件時間鏈與相關(guān)鏈接編號時間廠商/機構(gòu)發(fā)布內(nèi)容簡介12015年12月30日SANS[20]網(wǎng)絡(luò)攻擊導(dǎo)致烏克蘭電力癱瘓的報告此次停電被認為是技術(shù)故障，發(fā)生于12月23日周三，影響了伊萬諾-弗蘭科夫斯克州附件周邊。有一份報告暗示變電站斷電沒有明顯的原因。該報告還描述了一個從外部發(fā)起攻擊的病毒，攻擊了“遠程管理系統(tǒng)”（參見A和EMS或Reuters（路透社）烏克蘭懷疑網(wǎng)絡(luò)攻擊致電力攻擊事件是俄羅斯所為烏克蘭周四表示將調(diào)查烏克蘭電力公司網(wǎng)絡(luò)系統(tǒng)遭到黑客攻擊事件并譴責(zé)俄羅斯黑客應(yīng)對此次事件負責(zé)。22015年12月31日32016年1月1日SANS[21]烏克蘭網(wǎng)絡(luò)攻擊的潛在的惡意軟件樣本被揭露SANSICS烏克蘭電網(wǎng)的網(wǎng)絡(luò)攻擊事件，持感興趣和重要的觀點。興趣是由于事件的嚴重性，關(guān)鍵的觀點是ICS有其他好的實例可以學(xué)習(xí)?；A(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊,對操作的影響是非常嚴重的,必須小心處理,特別是當烏克蘭等地區(qū)處于地緣政治的緊張局勢。42016年1月4日we SecurityBlackEnergy“weliveSecurity2016年142015123烏克蘭伊萬諾－弗蘭科夫斯克地區(qū)大約有一半的家庭遭受了停電的困擾，而且整個停電事件持續(xù)了數(shù)小時之久。根據(jù)烏克蘭的新TSN停電事件是由“黑客攻擊”以及“計算機病毒”所導(dǎo)致的。62016年1月5日Symantec系烏克蘭停電的破壞性Disakil惡意軟件也被用來對付媒體機構(gòu)Disakil據(jù)報道，在最近對烏克蘭能源部門的攻擊使用高度破壞性的木馬（oanDkl，早些時候用來對付該國的媒體機構(gòu)。賽門鐵克遙測證實，烏克蘭主要的媒體公司的電腦在十月下旬被Disakil攻擊，可能被惡意軟件破壞。Infosecurity雜志沙蟲（Sandworm）團隊或為烏克蘭電網(wǎng)攻擊之幕后兇手據(jù)研究表明，攻擊烏克蘭電網(wǎng)的俄羅斯黑客，很可能是我們熟知（Sandworm）Partners2014年攻擊了美國和歐美SCADA工控系統(tǒng)的沙蟲團隊，也許會應(yīng)該惡意軟黑暗力量是該團隊的首選惡意軟件，它在過去的一年里活躍于烏惡意軟件被用于攻擊破壞烏克蘭的媒體。72016年1月5日ARStechnica烏克蘭電力系統(tǒng)遭黑客攻擊據(jù)研究人員表示，上周，在烏克蘭，至少有三個區(qū)域的電力系統(tǒng)被具有高度破壞性的惡意軟件攻擊并導(dǎo)致大規(guī)模的停電，造成成千上萬的家庭在黑暗中度過。這次大規(guī)模的電力中斷使得近一半的烏克蘭伊萬諾-弗蘭科夫斯克地區(qū)的家庭陷入在黑暗當中，烏克蘭新聞通訊社TSN報道了本82016年1月5日黑客在烏克蘭國家電網(wǎng)中植入了惡意軟件，從而導(dǎo)致發(fā)電站意外關(guān)閉。DatacenterDynamics黑客攻擊烏克蘭電網(wǎng)據(jù)稱,黑客攻擊了位于烏克蘭伊萬諾-弗蘭科夫斯克的電力系統(tǒng)，標志著第一次這樣的攻擊已據(jù)當?shù)赝ㄓ嵣鏣SN23日有一半以上的地區(qū)停電幾小時。工業(yè)控制系統(tǒng)的專家一直在分析惡意軟件樣本，初步確定其BlackEnergy被部署打擊的目標。92016年1月6日isightpartnersSandworm團隊與烏克蘭電力部門的攻擊事件有關(guān)“isightpartners”20161月7Sandworm上曾多次對烏克蘭的政府機構(gòu)發(fā)起過攻擊，而且他們也非常熱衷于攻擊工業(yè)自動化控制系統(tǒng)。此次事件與Sandworm團隊聯(lián)系了起來，主要是因為此次事件中的BlackEnergy3，而這款惡意軟件已經(jīng)成為了這個黑客團伙的代名詞。102016年1月7日112016年1月9日SANS[22]網(wǎng)絡(luò)協(xié)同攻擊—烏克蘭停電事件的推演與啟示SANSICS19定為“網(wǎng)絡(luò)協(xié)同攻擊”造成的烏克122016年1月14日McAfeeBlackEnergy木馬升級了12了烏克蘭停電，導(dǎo)致幾十萬市民停電數(shù)小時。威脅研究人員很快就證實了于2007年首先開發(fā)的BlackEnergy禍首。他們還發(fā)現(xiàn)該惡意軟件是自第一個版本發(fā)布以來的升級。最初BlackEnergy馬程序，能夠進行分布式拒絕服132016年1月16日安全牛沒有確鑿證據(jù)表明烏克蘭停電與惡意軟件有關(guān)但工控系統(tǒng)的確越來越危險“”2016116上月末，烏克蘭當局控訴俄羅斯發(fā)動網(wǎng)絡(luò)攻擊致使其大規(guī)模停電。這或許是首例由網(wǎng)絡(luò)攻擊引發(fā)的停電事件。烏克蘭機場電腦網(wǎng)絡(luò)感染惡意軟142016年1月19日Hackread網(wǎng)站件在烏克蘭首都基輔(烏克蘭首都)主要機場的電腦網(wǎng)絡(luò)中，已經(jīng)確認發(fā)現(xiàn)了惡意軟件。這一事件被路透社的一份報告所公開。報告中指出，位于基輔附近的鮑里斯波爾國際機場的電腦網(wǎng)絡(luò)已經(jīng)感染了惡意軟件。針對烏克蘭電力工業(yè)的新一輪攻152016年1月20日weliveSecurity網(wǎng)站擊“weliveSecurity”20161月20針對烏克蘭電力基礎(chǔ)設(shè)施的新一輪網(wǎng)絡(luò)攻擊。在此次攻擊事件中,烏