2022蠕蟲攻擊工業(yè)控制系統(tǒng)事件的綜合分析報(bào)告

蠕蟲攻擊工業(yè)控制系統(tǒng)事件的綜合分析報(bào)告目錄事件景 1樣本型為析 1運(yùn)行境 1本地為 1傳播式 4攻擊為 7樣本件衍關(guān)系 8解決案安建議 10抵御次擊 10安全議 11攻擊件特點(diǎn) 11專門擊業(yè)統(tǒng) 11利用個(gè)日洞 11使用效數(shù)簽名 12明確攻目標(biāo) 13綜合價(jià) 13工業(yè)統(tǒng)全面嚴(yán)挑戰(zhàn) 13展望思考 15附錄：考料 17附錄：于天 17附錄：天急應(yīng)間表 18事件背景近日，國內(nèi)外多家媒體相繼報(bào)道了Stuxnet蠕蟲對西門子公司的數(shù)據(jù)采集與監(jiān)控系統(tǒng)SIMATICWinCC進(jìn)行攻擊的事件，稱其為“超級病毒”、“超級工廠病毒”，并形容成“超級武器”、“潘多拉的魔盒”。Stuxnet蠕蟲（俗稱“震網(wǎng)”、“雙子”）在今年7月開始爆發(fā)。它利用了微軟操作系統(tǒng)中至少4個(gè)漏洞，324500060%Stuxnet715Stuxnet13600樣本典型行為分析運(yùn)行環(huán)境Stuxnet蠕蟲在下列操作系統(tǒng)中可以激活運(yùn)行：Windows2000、WindowsServer2000WindowsXP、WindowsServer2003WindowsWindows7、WindowsServer2008當(dāng)它發(fā)現(xiàn)自己運(yùn)行在非WindowsNT系列操作系統(tǒng)中，會即刻退出。被攻擊的軟件系統(tǒng)包括：7.06.2但不排除其他版本的WinCC被攻擊的可能。本地行為樣本被激活后，典型的運(yùn)行流程如圖1所示。樣本首先判斷當(dāng)前操作系統(tǒng)類型，如果是Windows9X/ME，就直接退出。接下來加載一個(gè)DLL模塊，后續(xù)要執(zhí)行的代碼大部分都在其中。為了躲避反病毒軟件的監(jiān)視和查殺，樣本并不將DLL模塊釋放為磁盤文件，而是直接拷貝到內(nèi)存中，然后模擬正常的DLL加載過程。具體而言，樣本先申請一塊內(nèi)存空間，然后Hookntdll.dll導(dǎo)出的6個(gè)系統(tǒng)函數(shù)：ZwMapViewOfSectionZwCreateSectionZwOpenFileZwCloseZwQueryAttributesFileZwQuerySectionntdll.dllPE0x40hook。ZwCreateSection在內(nèi)存空間中創(chuàng)建一個(gè)新的PEDLL模塊拷貝到內(nèi)存中，最后使用LoadLibraryW來獲取模塊句柄。釋放驅(qū)動(dòng)文件mrxnet.sysmrxcls.sys激活樣本釋放驅(qū)動(dòng)文件mrxnet.sysmrxcls.sys激活樣本W(wǎng)in9x/ME判斷系統(tǒng)類型退出WinNT申請內(nèi)存空間HookNtdll中的函數(shù)傳播HookNtdll中的函數(shù)傳播模擬DLL加載方式，加載內(nèi)存數(shù)據(jù)攻擊WinCC系統(tǒng)RPC漏失敗 提權(quán)打印機(jī)服務(wù)漏洞快捷方式漏洞圖RPC漏失敗 提權(quán)打印機(jī)服務(wù)漏洞快捷方式漏洞此后，樣本跳轉(zhuǎn)到被加載的DLL中執(zhí)行，衍生下列文件：%System32%\drivers\mrxcls.sys%System32%\drivers\mrxnet.sys%Windir%\inf\oem7A.PNF%Windir%\inf\mdmeric3.PNF%Windir%\inf\mdmcpq3.PNF%Windir%\inf\oem6C.PNF其中有兩個(gè)驅(qū)動(dòng)程序mrxcls.sys和mrxnet.sys，分別被注冊成名為MRXCLS和MRXNET的系統(tǒng)服務(wù)，實(shí)現(xiàn)開機(jī)自啟動(dòng)。這兩個(gè)驅(qū)動(dòng)程序都使用了Rootkit技術(shù)，并使用了數(shù)字簽名。mrxcls.sys%Windir%\inf\oem7A.PNFservices.exeS7tgtopx.exeCCProjectMgr.exexne.ss通過修改一些內(nèi)核調(diào)用來隱藏被拷貝到U盤的nk文件和DL文件（圖圖2 驅(qū)動(dòng)程序隱藏某些lnk文件傳播方式Stuxnet蠕蟲的攻擊目標(biāo)是SIMATICWinCC軟件。后者主要用于工業(yè)控制系統(tǒng)的數(shù)據(jù)采集與監(jiān)控，一般部署在專用的內(nèi)部局域網(wǎng)中，并與外部互聯(lián)網(wǎng)實(shí)行物理上的隔離。為了實(shí)現(xiàn)攻擊，Stuxnet蠕蟲采取多種手段進(jìn)行滲透和傳播，如圖3所示。內(nèi)部網(wǎng)絡(luò)打印服務(wù)漏洞MS10-061lnk內(nèi)部網(wǎng)絡(luò)打印服務(wù)漏洞MS10-061lnk漏洞MS10-046 RPC漏洞MS08-067U盤WinCCRPC漏洞MS08-067被感染主機(jī)圖3 樣本的多種傳播方式整體的傳播思路是：首先感染外部主機(jī)；然后感染U盤，利用快捷方式文件解析漏洞，傳播到內(nèi)部網(wǎng)絡(luò)；在內(nèi)網(wǎng)中，通過快捷方式解析漏洞、RPC遠(yuǎn)程執(zhí)行漏洞、打印機(jī)后臺程序服務(wù)漏洞，實(shí)現(xiàn)聯(lián)網(wǎng)主機(jī)之間的傳播；最后抵達(dá)安裝了WinCC軟件的主機(jī)，展開攻擊。（MS10-046）這個(gè)漏洞利用Windows.lnkDLLDLL就會加載這個(gè)DLLDLLSuxnet圖DL文件拷貝圖5”圖4 查找U盤圖5 拷貝文件到U盤拷貝到U盤的DLL文件有兩個(gè)：~wtr4132.tmp和~wtr4141.tmp。后者Hook了kernel32.dll和ntdll.dll中的下列導(dǎo)出函數(shù)：FindFirstFileWFindNextFileWFindFirstFileExWNtQueryDirectoryFileZwQueryDirectoryFile實(shí)現(xiàn)對UlnkDLL戶態(tài)Hook來實(shí)現(xiàn)對URPC遠(yuǎn)程執(zhí)行漏洞（MS08-067）與提升權(quán)限漏洞2008圖6 發(fā)動(dòng)RPC攻擊RPCWindows2000、WindowsXPWindowsServer2003Suxnet圖6（圖（MS10-061）這是一個(gè)零日漏洞，首先發(fā)現(xiàn)于Stuxnet蠕蟲中。Windows%System32%圖7 利用打印服務(wù)漏洞Stuxnet7sysnullevnt.mofwinsta.exe攻擊行為SuxnetnC圖8HKLM\SOFTWARE\SIEMENS\WinCC\SetupHKLM\SOFTWARE\SIEMENS\STEP7圖8 查詢注冊表，判斷是否安裝WinCC一旦發(fā)現(xiàn)WinCC系統(tǒng)，就利用其中的兩個(gè)漏洞展開攻擊：QL圖9Step7DLL“DLL”StuxnetStep7s7otbxdx.dll，s7otbxsx.dllHook。圖9 查詢WinCC的數(shù)據(jù)庫樣本文件的衍生關(guān)系本節(jié)綜合介紹樣本在上述復(fù)制、傳播、攻擊過程中，各文件的衍生關(guān)系。如圖10所示。樣本的來源有多種可能。對原始樣本、通過RPC漏洞或打印服務(wù)漏洞傳播的樣本，都是exe文件，它在自己的.stud節(jié)中隱形加載模塊，名為“kernel32.dll.aslr.<隨機(jī)數(shù)字>.dll”。對U盤傳播的樣本，當(dāng)系統(tǒng)顯示快捷方式文件時(shí)觸發(fā)漏洞，加載~wtr4141.tmp文件，后者加載一個(gè)名為“shell32.dll.aslr.<隨機(jī)數(shù)字>.dll”的模塊，這個(gè)模塊將另一個(gè)文件~wtr4132.tmp加載為“kernel32.dll.aslr.<隨機(jī)數(shù)字>.dll”。模塊“kernel32.dll.aslr.<>.dll”2216201的mrxcls.sys242的mrxnet.sys兩個(gè)驅(qū)動(dòng)程序，以及4個(gè).pnf文件。#17攻擊系統(tǒng)208s7otbxdx.dll#19USB#17攻擊系統(tǒng)208s7otbxdx.dll#19USB傳播~wtr4132.tmp241~wtr4141.tmp240.lnk#22MS08-067、MS10-061250提權(quán)文件222打印文件221RPC文件#4、#18刪除自身.stub節(jié)映射kernel32.dll.aslr*.lnk~wtr4132.tmpexe樣本shell32.dll.aslr~wtr4141.tmp#16衍生文件mdmeric3.pnfmdmcpq3.pnfoem6c.pnfoem7a.pnf201mrxcls.sys#16衍生文件mdmeric3.pnfmdmcpq3.pnfoem6c.pnfoem7a.pnf201mrxcls.sys.242mrxnet.sys第17號導(dǎo)出函數(shù)用于攻擊WinCC系統(tǒng)的第二個(gè)漏洞，它釋放一個(gè)s7otbxdx.dll。第19號導(dǎo)出函數(shù)負(fù)責(zé)利用快捷方式解析漏洞進(jìn)行傳播。它釋放多個(gè)lnk文件和兩個(gè)擴(kuò)展名為tmp的DLL文件。22RPC221用于RPC222250解決方案與安全建議抵御本次攻擊西門子公司對此次攻擊事件給出了解決方案，鏈接地址見附錄。下面根據(jù)我們的分析結(jié)果，給出更具體的措施。Stuxnet使用安天Atool工具，結(jié)束系統(tǒng)中的父進(jìn)程不是winlogon.exelsass.exe進(jìn)程；%System32%\drivers\mrxcls.sys%System32%\drivers\mrxnet.sys%Windir%\inf\oem7A.PNF%Windir%\inf\mdmeric3.PNF%Windir%\inf\mdmcpq3.PNF%Windir%\inf\oem6C.PNFHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxClsHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxNET安裝微軟提供的下列補(bǔ)丁文件：RPC（MS08-067）（MS10-046）（MS10-061）安裝軟件補(bǔ)丁安裝西門子發(fā)布的WinCC系統(tǒng)安全更新補(bǔ)丁，下載地址見附錄。安全建議此次攻擊事件凸顯了兩個(gè)問題：（U攻擊事件的特點(diǎn)相比以往的安全事件，此次攻擊呈現(xiàn)出許多新的手段和特點(diǎn)，值得特別關(guān)注。專門攻擊工業(yè)系統(tǒng)Stuxnet蠕蟲的攻擊目標(biāo)直指西門子公司的SIMATICWinCC系統(tǒng)。這是一款數(shù)據(jù)采集與監(jiān)視控制（SCADA）系統(tǒng)，被廣泛用于鋼鐵、汽車、電力、運(yùn)輸、水利、化工、石油等核心工業(yè)領(lǐng)域，特別是國家基礎(chǔ)設(shè)施工程；它運(yùn)行于Windows平臺，常被部署在與外界隔離的專用局域網(wǎng)中。利用多個(gè)零日漏洞Stuxnet蠕蟲利用了微軟操作系統(tǒng)的下列漏洞：RPC（MS08-067）（MS10-046）（MS10-061）后三個(gè)漏洞都是在Stuxnet中首次被使用，是真正的零日漏洞。如此大規(guī)模的使用多種零日漏洞，并不多見。這些漏洞并非隨意挑選。從蠕蟲的傳播方式來看，每一種漏洞都發(fā)揮了獨(dú)特的作用。比如基于自動(dòng)播放功的U盤病毒被絕大部分殺毒軟件防御的現(xiàn)狀下，就使用快捷方式漏洞實(shí)現(xiàn)U盤傳播。另一方面，在安天捕獲的樣本中，有一部分實(shí)體的時(shí)間戳是今年3月。這意味著至少在3月份，上述零日漏洞就已經(jīng)被攻擊者掌握。但直到7月份大規(guī)模爆發(fā)，漏洞才首次披露出來。這期間要控制漏洞不泄露，有一定難度。使用有效的數(shù)字簽名Stuxnet在運(yùn)行后，釋放兩個(gè)驅(qū)動(dòng)文件：%System32%\drivers\mrxcls.sys%System32%\drivers\mrxnet.sys這兩個(gè)驅(qū)動(dòng)文件使用了圖11Stuxnet使用的數(shù)字簽名明確的攻擊目標(biāo)根據(jù)賽門鐵克公司的統(tǒng)計(jì)，7月份，伊朗感染Stuxnet蠕蟲的主機(jī)只占25%，到9月下旬，這一比例達(dá)到60%。927”8Stuxnet3月，直到7月才大規(guī)模爆發(fā)，與這一計(jì)劃不謀而合。因此，有充分的理由相信此次攻擊具有明確的地域性和目的性。綜合評價(jià)工業(yè)系統(tǒng)安全將面臨嚴(yán)峻挑戰(zhàn)在我國，WinCC系統(tǒng)已經(jīng)廣泛應(yīng)用于很多重要行業(yè)，一旦受到攻擊，可能造成相關(guān)企業(yè)和工程項(xiàng)目的基礎(chǔ)設(shè)施運(yùn)轉(zhuǎn)出現(xiàn)異常，甚至發(fā)生機(jī)密失竊、停工停產(chǎn)等嚴(yán)重事故。StuxnetDCS（PCWindows-Intel針對民用或商用計(jì)算機(jī)和網(wǎng)絡(luò)的攻擊，目前多以獲取經(jīng)濟(jì)利益為主要目標(biāo)；但針對工業(yè)控制網(wǎng)絡(luò)和現(xiàn)場總線的攻擊，則可能破壞企業(yè)重要裝置和設(shè)備的正常測控，由此引起的后果將是災(zāi)難性的。以化工行業(yè)為例，針對工業(yè)控制網(wǎng)絡(luò)的攻擊可能破壞反應(yīng)器的正常溫度與壓力測控，導(dǎo)致反應(yīng)器超溫或超壓，最終就會導(dǎo)致沖料、起火甚至爆炸等災(zāi)難性事故，還可能造成次生災(zāi)害和人道主義災(zāi)難。因此，這種襲擊工業(yè)網(wǎng)絡(luò)的惡意代碼一般帶有信息武器的性質(zhì)，目標(biāo)是對重要工業(yè)企業(yè)的正常生產(chǎn)進(jìn)行干擾甚至嚴(yán)重破壞，其發(fā)起者一般不是個(gè)人或者普通地下黑客組織。目前，工業(yè)以太網(wǎng)和現(xiàn)場總線標(biāo)準(zhǔn)均為公開標(biāo)準(zhǔn)，熟悉工控系統(tǒng)的程序員開發(fā)針對性的惡意攻擊代碼并不存在很高的技術(shù)門檻。因此，對下列可能的工業(yè)網(wǎng)絡(luò)安全薄弱點(diǎn)進(jìn)行增強(qiáng)和防護(hù)是十分必要的：Windows-Intel平臺的工控PCPC擊，例如通過UDCS（、害性不次于攻擊工業(yè)以太網(wǎng)?；赗S-485總線以及光纖物理層的現(xiàn)場總線，例如PROFIBUSMODBUS（Zigbee2.4GHz相對信息網(wǎng)絡(luò)而言，傳統(tǒng)工業(yè)網(wǎng)絡(luò)的安全一直是憑借內(nèi)網(wǎng)隔離，而疏于防范。因此，針對工業(yè)系統(tǒng)的安全檢查和安全加固迫在眉睫。展望和思考在傳統(tǒng)工業(yè)與信息技術(shù)的融合不斷加深、傳統(tǒng)工業(yè)體系的安全核心從物理安全向信息安全轉(zhuǎn)移的趨勢和背景下，此次Stuxnet蠕蟲攻擊事件尤為值得我們深入思考。這是一次極為不同尋常的攻擊，其具體體現(xiàn)是：因此，這次攻擊中所采用的多個(gè)新漏洞和傳播手段，將在接下來很長一段時(shí)間內(nèi)給新的攻擊提供最直接的動(dòng)力。至少有兩種新的攻擊趨勢值得注意：“”。UStuxnet工業(yè)電子化體系的第一次進(jìn)步是模擬電子技術(shù)與機(jī)械制造技術(shù)的結(jié)合。此后，隨著數(shù)字化技術(shù)的不斷引入，依托單片機(jī)、嵌