国产强伦姧在线观看无码,中文字幕99久久亚洲精品,国产精品乱码在线观看,色桃花亚洲天堂视频久久,日韩精品无码观看视频免费

1 事件綜述

2015年12月23日，烏克蘭電力部門遭受到惡意代碼攻擊，烏克蘭新聞媒體TSN在24日報(bào)道稱：“至少有三個電力區(qū)域被攻擊，并于當(dāng)?shù)貢r間15時左右導(dǎo)致了數(shù)小時的停電事故”；“攻擊者入侵了監(jiān)控管理系統(tǒng)，超過一半的地區(qū)和部分伊萬諾-弗蘭科夫斯克地區(qū)斷電幾個小時。”

Kyivoblenergo電力公司發(fā)布公告稱：“公司因遭到入侵，導(dǎo)致7個110KV的變電站和23個35KV的變電站出現(xiàn)故障，導(dǎo)致80000用戶斷電。”

安全公司ESET在2016年1月3日zui早披露了本次事件中的相關(guān)惡意代碼，表示烏克蘭電力部門感染的是惡意代碼BlackEnergy（黑色能量），BlackEnergy被當(dāng)作后門使用，并釋放了KillDisk破壞數(shù)據(jù)來延緩系統(tǒng)的恢復(fù)。同時在其他服務(wù)器還發(fā)現(xiàn)一個添加后門的SSH程序，攻擊者可以根據(jù)內(nèi)置密碼隨時連入受感染主機(jī)。BlackEnergy曾經(jīng)在2014年被黑客團(tuán)隊(duì)“沙蟲”用于攻擊歐美SCADA工控系統(tǒng)，當(dāng)時發(fā)布報(bào)告的安全公司iSIGHT Partners在2016年1月7日發(fā)文，將此次斷電事件矛頭直指“沙蟲”團(tuán)隊(duì)，而在其2014年關(guān)于“沙蟲”的報(bào)告中，iSIGHTPartners認(rèn)為該團(tuán)隊(duì)與俄羅斯密切相關(guān)。

俄烏兩國作為獨(dú)聯(lián)體中zui重要的兩個國家，歷史關(guān)系糾纏復(fù)雜。前蘇聯(lián)解體后，烏克蘭逐漸走向“親西疏俄”的方向，俄羅斯總統(tǒng)*于2008年在北約和俄羅斯的首腦會議上指出，如果烏克蘭加入北約，俄國將會收回烏克蘭東部和克里米亞半島（1954年由當(dāng)時的蘇共*決定從俄羅斯劃歸到烏克蘭）。在2010年年初，由于親俄的亞努科維奇當(dāng)選為烏克蘭總統(tǒng)，兩國關(guān)系重新改善，但隨著烏克蘭國內(nèi)政局，特別是在2014年發(fā)生了克里米亞危機(jī)等事件后，烏克蘭中斷了大部分與俄羅斯的合作，兩國關(guān)系再度惡化。而圍繞天然氣展開的能源供給問題，一直是兩國博弈的主要焦點(diǎn)。2014年3月16日，克里米亞發(fā)起全國公投，脫離烏克蘭，成立新的克里米亞共和國，加入俄羅斯聯(lián)邦。2015年11月22日凌晨，克里米亞遭烏克蘭斷電，近200萬人受影響。2015年12月23日，烏克蘭國家電力部門遭受惡意代碼攻擊導(dǎo)致斷電。

除ESET外，多個安全企業(yè)和安全組織跟進(jìn)了相關(guān)系列事件，2016年1月9日，美國工控系統(tǒng)安全組織SANS ICS發(fā)布報(bào)告對烏克蘭變電站SCADA系統(tǒng)被攻擊過程進(jìn)行了分析和猜測；2016年1月15日，根據(jù)CERT-UA的消息，烏克蘭zui大機(jī)場基輔鮑里斯波爾機(jī)場網(wǎng)絡(luò)遭受BlackEnergy攻擊；2016年1月28日，卡巴斯基的分析師發(fā)現(xiàn)了針對烏克蘭STB電視臺攻擊的BlackEnergy相關(guān)樣本；2016年2月16日，趨勢科技安全專家在烏克蘭一家礦業(yè)公司和鐵路運(yùn)營商的系統(tǒng)上發(fā)現(xiàn)了BlackEnergy和KillDisk樣本。

北京力控華康科技有限公司（簡稱"力控華康"）專業(yè)從事工業(yè)網(wǎng)絡(luò)及安全產(chǎn)品研發(fā)，提供整體安*方案，對此次事件進(jìn)行了分析。

根據(jù)對整體事件的跟蹤、電力運(yùn)行系統(tǒng)分析和相關(guān)樣本分析，認(rèn)為這是一起以電力基礎(chǔ)設(shè)施為目標(biāo)；以BlackEnergy等相關(guān)惡意代碼為主要攻擊工具；通過BOTNET體系進(jìn)行前期的資料采集和環(huán)境預(yù)置；以郵件發(fā)送惡意代碼載荷為zui終攻擊的直接突破入口；通過遠(yuǎn)程控制SCADA節(jié)點(diǎn)下達(dá)指令為斷電手段；以摧毀破壞SCADA系統(tǒng)實(shí)現(xiàn)遲滯恢復(fù)和狀態(tài)致盲；以DDoS作為干擾，zui后達(dá)成長時間停電并制造整個社會混亂的具有信息戰(zhàn)水準(zhǔn)的網(wǎng)絡(luò)攻擊事件。

特別值得注意的是，本次攻擊的攻擊點(diǎn)并不在電力基礎(chǔ)設(shè)施的縱深位置，同時亦未使用0Day漏洞，而是*通過惡意代碼針對PC環(huán)節(jié)的投放和植入達(dá)成的。其攻擊成本相對震網(wǎng)、方程式等攻擊，顯著降低，但同樣直接有效。

2 電力系統(tǒng)原理及斷電原因分析

2.1 電力系統(tǒng)概述

電力系統(tǒng)是一套由發(fā)電廠、送變電線路、供配電所和用電等環(huán)節(jié)組成的電能生產(chǎn)與消費(fèi)系統(tǒng)。整體的運(yùn)行過程是由電源（發(fā)電廠）的升壓變電站升壓到一定等級后，經(jīng)輸電線路輸送到負(fù)荷中心變電站，通過變電站降壓至一定等級后，再經(jīng)配電線路與用戶連接。在整體電力系統(tǒng)中，使用計(jì)算機(jī)的節(jié)點(diǎn)主要在發(fā)電、變電站以及調(diào)度中心部分。

圖1   電力系統(tǒng)示意圖

2.2 電力系統(tǒng)環(huán)節(jié)介紹

2.2.1 升壓變電站

圖2   升壓變電站

    升壓變電站可以將交流電從不大于20KV的電壓變換至需要的輸電電壓等級。其主要設(shè)備包括：升壓變壓器，斷路器、隔離開關(guān)、互感器、繼電保護(hù)等。

2.2.2 輸電線路

圖3   輸電線路

l 輸電網(wǎng)：將發(fā)電廠發(fā)的電通過變壓器轉(zhuǎn)變?yōu)楦邏弘妭鬏數(shù)礁鱾€變電所。

l 配電網(wǎng)：將變電所的高壓電變成低壓電供到各個用戶。

l 輸電線路：110KV，220KV，330KV，500KV，750KV，1000KV。

2.2.3 降壓變電站

圖4   降壓變電站

l 將輸電線路較高電壓等級電能降低，供區(qū)域電網(wǎng)、地區(qū)電網(wǎng)或終端用戶使用。

l 根據(jù)變電站在系統(tǒng)中的地位，可分為：樞紐變電站、中間變電站、地區(qū)變電站、終端變電站。

圖5   某500KV樞紐變電站

圖6   某220KV中間變電站

圖7   某110KV地區(qū)變電站

圖8   某35KV終端變電站

2.2.4 配電網(wǎng)

配電網(wǎng)在電力網(wǎng)中主要是把輸電網(wǎng)送來的電能再分配和送到各類用戶，擔(dān)任配送電能的任務(wù)。配電設(shè)施包括配電線路、配電變電所、配電變壓器等。

2.3 變電站自動化系統(tǒng)概述

此次分析工作的一個困難，是難以獲得烏克蘭地區(qū)電力系統(tǒng)更準(zhǔn)確的資料。新中國在建國初期，得到了前蘇聯(lián)在專家、技術(shù)和設(shè)備上的支持，因此電網(wǎng)電壓等級有一部分沿襲自前蘇聯(lián)電壓等級，但之后由于特殊的歷史原因，雙方的技術(shù)被*切斷，改革開放后，中國又迅速轉(zhuǎn)向引進(jìn)*。相關(guān)信息只透露了受到影響的變電站為110kV和35kV。聯(lián)合分析組只能據(jù)此做出部分“常識性”的判斷，通常來看，交流750kV和直流±400kV以上的高壓電網(wǎng)主要是跨區(qū)域輸電網(wǎng)絡(luò)，交流500kV、330kV、220kV和110kV電網(wǎng)主要作為區(qū)域內(nèi)輸電主網(wǎng)，35kV和10kV電網(wǎng)主要作為配電網(wǎng)絡(luò)和農(nóng)電網(wǎng)絡(luò)，而其中110kV和35kV變電站屬于接近zui終用戶的變電站。

對于一個實(shí)際的變電站，通常習(xí)慣將隔離開關(guān)（刀閘）、斷路器、變壓器、PT、CT等直接與高壓（強(qiáng)電）相關(guān)的設(shè)備稱為一次設(shè)備，而將保護(hù)（繼電保護(hù)）、儀表、*信號、遠(yuǎn)動裝置等保護(hù)、測量、監(jiān)控和遠(yuǎn)方控制設(shè)備稱為二次設(shè)備，二次設(shè)備所需的信號線路、通信線路等稱為二次接線。變電站綜合自動化系統(tǒng)（以下簡稱變電站自動化系統(tǒng)）的核心是將二次設(shè)備系統(tǒng)進(jìn)行計(jì)算機(jī)化，集變電站保護(hù)、測量、監(jiān)控和遠(yuǎn)方控制于一體，替代常規(guī)變電站二次設(shè)備，簡化二次接線。變電站自動化系統(tǒng)是zui終實(shí)現(xiàn)變電站無人值守化的基礎(chǔ)。

在化工等工業(yè)體系中，工業(yè)控制系統(tǒng)以過程控制系統(tǒng)（PCS）為主，屬于閉環(huán)自動控制系統(tǒng)，儀表控制系統(tǒng)以及DCS均屬于PCS。但對于變電站自動化系統(tǒng)，目前仍然以人工監(jiān)控（開環(huán)控制）為主，主要需要實(shí)現(xiàn)遙測、遙信、遙控和遙調(diào)“四遙”功能，除了繼電保護(hù)系統(tǒng)需要獨(dú)立完成保護(hù)自動控制之外，變電站自動化系統(tǒng)一般認(rèn)為屬于以人工監(jiān)控為主的SCADA（數(shù)據(jù)采集和監(jiān)控系統(tǒng)），與屬于PCS的DCS系統(tǒng)有一定相似之處，但體系結(jié)構(gòu)不*相同，一個可能的變電站SCADA體系結(jié)構(gòu)如圖9所示。

圖9   一個可能的變電站SCADA體系結(jié)構(gòu)

如果將變電站SCADA與一般工業(yè)DCS做一個比較，則過程層相當(dāng)于DCS中的現(xiàn)場儀表層面，直接連接斷路器、變壓器、PT、CT等一次設(shè)備，完成zui終的遙測、遙控等功能；間隔層相當(dāng)于DCS中的現(xiàn)場控制層面，特別是繼電保護(hù)裝置屬于自動控制，相當(dāng)于DCS中的一個現(xiàn)場控制站；站控層相當(dāng)于DCS中的HMI、組態(tài)等層面，目前都基于PC和相應(yīng)軟件實(shí)現(xiàn)。站控層網(wǎng)絡(luò)相當(dāng)于工業(yè)以太網(wǎng)（工控內(nèi)網(wǎng)）；過程層網(wǎng)絡(luò)相當(dāng)于現(xiàn)場總線。對于智能變電站，目前一般統(tǒng)一使用基于以太網(wǎng)的IEC 61850標(biāo)準(zhǔn)通信協(xié)議；對于非智能變電站，過程層與間隔層沒有標(biāo)準(zhǔn)的通信協(xié)議，一般根據(jù)過程層設(shè)備（RTU等）確定通信協(xié)議。

2.3.1 PC以及Windows-In結(jié)構(gòu)在變電站自動化系統(tǒng)中的地位

工控系統(tǒng)的歷史比PC的歷史更為悠久，早期的工控系統(tǒng)是相對低級、原始的模擬量控制系統(tǒng)，以儀表為顯示回饋，其中自然沒有 PC系統(tǒng)的存在。PC系統(tǒng)進(jìn)入到工控系統(tǒng)的初期，并非扮演核心中樞的角色，而主要是提供監(jiān)控人機(jī)界面（HMI工作站）。但隨著工業(yè)化和信息化的逐步融合，通用性PC（含服務(wù)器）以其標(biāo)準(zhǔn)的體系結(jié)構(gòu)、豐富的軟件系統(tǒng)等優(yōu)勢，開始逐步在工業(yè)控制系統(tǒng)中扮演更關(guān)鍵的角色，特別是在承擔(dān)了自動控制的組態(tài)、配置等工作（工程師站、運(yùn)維計(jì)算機(jī)等），從而具備了直接操作實(shí)際生產(chǎn)環(huán)節(jié)的能力。

通常220kV及以上等級的變電站，監(jiān)控系統(tǒng)（屬于變電站SCADA站控層）使用的操作系統(tǒng)通常是Unix、Linux等系統(tǒng)，110kV和35kV變電站，監(jiān)控系統(tǒng)操作系統(tǒng)中則有較高比例的Windows操作系統(tǒng)?，F(xiàn)階段俄羅斯和其它前蘇聯(lián)加盟共和國大量存在110kV和35kV變電站，其監(jiān)控系統(tǒng)操作系統(tǒng)目前以Windows為主。需要指出的是，沒有任何操作系統(tǒng)能夠?qū)?ldquo;免疫”，任何關(guān)鍵位置的節(jié)點(diǎn)系統(tǒng)及其上的軟件與應(yīng)用，必然會面臨安全挑戰(zhàn)。這與其是何種操作系統(tǒng)沒有本質(zhì)關(guān)系。鑒于APT等攻擊發(fā)起者所擁有的資源、承擔(dān)攻擊成本的能力和鑒定的攻擊意志，不會有任何一種操作系統(tǒng)能憑借其自身的安力就可以使其上的業(yè)務(wù)系統(tǒng)免受攻擊。

SCADA系統(tǒng)是以計(jì)算機(jī)為基礎(chǔ)的生產(chǎn)過程控制與調(diào)度自動化系統(tǒng)。它可以對現(xiàn)場的運(yùn)行設(shè)備進(jìn)行監(jiān)視和控制，以實(shí)現(xiàn)數(shù)據(jù)采集、設(shè)備控制、測量、參數(shù)調(diào)節(jié)以及各類信號報(bào)警等各項(xiàng)功能。隨著智能電網(wǎng)的廣泛應(yīng)用，PC節(jié)點(diǎn)在整個電網(wǎng)體系中作用日趨重要。在變供電站的SCADA系統(tǒng)中，PC收集大量的實(shí)時電網(wǎng)數(shù)據(jù)，并進(jìn)行匯總和分析后，送到人機(jī)交互界面進(jìn)行相應(yīng)的展示。同時PC根據(jù)統(tǒng)計(jì)分析數(shù)據(jù)，對電網(wǎng)進(jìn)行電力的實(shí)時負(fù)載調(diào)配，并且針對調(diào)配對電網(wǎng)下達(dá)相應(yīng)的控制指令。另外PC在SCADA系統(tǒng)中同樣可以對系統(tǒng)中DCS的相關(guān)配置進(jìn)行遠(yuǎn)程配置。

在部分工業(yè)控制系統(tǒng)設(shè)計(jì)者的認(rèn)知中：自動控制的核心，對于DCS是由工控機(jī)、嵌入式系統(tǒng)或者PLC實(shí)現(xiàn)的現(xiàn)場控制站，屬于現(xiàn)場控制層面；對于變電站SCADA，是繼電保護(hù)裝置（35kV及其以下電壓等級的變電站可能使用保護(hù)測控一體化裝置），屬于間隔層，無論是現(xiàn)場控制站還是繼電保護(hù)裝置，都是獨(dú)立運(yùn)行的?，F(xiàn)場控制站、繼電保護(hù)裝置等能夠獨(dú)立運(yùn)行，完成控制、保護(hù)等功能。這一體系結(jié)構(gòu)設(shè)計(jì)稱為集散原則或者分布式原則，又稱為“分散控制+集中監(jiān)控”模式。在這種模式下，如果只是出現(xiàn)了上層SCADA系統(tǒng)的故障，有可能全系統(tǒng)依然能夠正常運(yùn)行一段時間。這種風(fēng)險(xiǎn)控制模式的效性是建立在應(yīng)對非主觀破壞帶來的單點(diǎn)失效和突發(fā)事故的前提假定下的；但對網(wǎng)絡(luò)攻擊乃至在信息戰(zhàn)場景，攻擊者基于環(huán)境預(yù)置、定向入侵滲透等方式取得了SCADA系統(tǒng)的控制權(quán)的情況下，僅靠這種簡單的集散原則是遠(yuǎn)遠(yuǎn)不夠的。

2.4 攻擊導(dǎo)致斷電的方法分析

目前變電站SCADA系統(tǒng)可以實(shí)現(xiàn)遠(yuǎn)程數(shù)據(jù)采集、遠(yuǎn)程設(shè)備控制、遠(yuǎn)程測量、遠(yuǎn)程參數(shù)調(diào)節(jié)、信號報(bào)警等功能。同時有多種方式可以通過SCADA導(dǎo)致斷電，如：

1.控制遠(yuǎn)程設(shè)備的運(yùn)行狀態(tài)。例如斷路器、閘刀狀態(tài)，這種方式比較直接，就是直接切斷供電線路，導(dǎo)致對應(yīng)線路斷電。

2.修改設(shè)備運(yùn)行參數(shù)。例如修改繼電保護(hù)裝置的保護(hù)整定值，過電流保護(hù)的電流整定值減小，這樣會使得繼電保護(hù)裝置將正常負(fù)荷稍重的情況誤判為過電流，引發(fā)保護(hù)動作進(jìn)而造成一定破壞，如使斷路器跳閘等。

對于烏克蘭停電事件中的攻擊者來講，在取得了對SCADA系統(tǒng)的控制能力后，可完成上述操作的手法也有多種：

1.通過惡意代碼直接對變電站系統(tǒng)的程序界面進(jìn)行控制

當(dāng)攻擊者取得變電站SCADA系統(tǒng)的控制權(quán)（如SCADA管理人員工作站節(jié)點(diǎn)）后，可取得與SCADA操作人員*一致的操作界面和操作權(quán)限（包括鍵盤輸入、鼠標(biāo)點(diǎn)擊、行命令執(zhí)行以及更復(fù)雜的基于界面交互的配置操作），操作員在本地的各種鑒權(quán)操作（如登錄口令等），也是可以被攻擊者通過技術(shù)手段獲取的，而采用USB KEY等登錄認(rèn)證方式的USB設(shè)備，也可能是默認(rèn)接入在設(shè)備上的。因此，攻擊者可像操作人員一樣，通過操作界面遠(yuǎn)程控制對遠(yuǎn)程設(shè)備進(jìn)行開關(guān)控制，以達(dá)到斷電的目的；同樣也可以對遠(yuǎn)程設(shè)備參數(shù)進(jìn)行調(diào)節(jié)，導(dǎo)致設(shè)備誤動作或不動作，引起電網(wǎng)故障或斷電。

2.通過惡意代碼偽造和篡改指令來控制電力設(shè)備

除直接操作界面這種方式外，攻擊者還可以通過本地調(diào)用API接口、或從網(wǎng)絡(luò)上劫持等方式，直接偽造和篡改指令來控制電力設(shè)備。目前變電站SCADA站控層之下的通信網(wǎng)絡(luò)，并無特別設(shè)計(jì)的安全加密通信協(xié)議。當(dāng)攻擊者不同位置的控制權(quán)（如SCADA站控層PC、生產(chǎn)網(wǎng)絡(luò)相關(guān)網(wǎng)絡(luò)設(shè)備等）后，可以直接構(gòu)造和篡改SCADA監(jiān)控軟件與間隔層設(shè)備的通信，例如IEC 61850通信明碼報(bào)文，IEC 61850屬于公開協(xié)議、明碼通信報(bào)文，截獲以及偽造IEC 61850通信報(bào)文并不存在技術(shù)上的問題，因此攻擊者可以構(gòu)造或截獲指令來直接遙控過程層電力設(shè)備，同樣可以完成遠(yuǎn)程控制設(shè)備運(yùn)行狀態(tài)、更改設(shè)備運(yùn)行參數(shù)引起電網(wǎng)故障或斷電。

上述兩種方式都不僅可以在攻擊者遠(yuǎn)程操控情況下交互作業(yè)，同樣可以進(jìn)行指令預(yù)設(shè)、實(shí)現(xiàn)定時觸發(fā)和條件觸發(fā)，從而在不能和攻擊者實(shí)時通訊的情況下發(fā)起攻擊。即使是采用操控程序界面的方式，同樣可以采用鍵盤和鼠標(biāo)的行為的提前預(yù)設(shè)來完成。

2.5 攻擊全程分析

通過以上對變電站系統(tǒng)的分析并基于目前公開的樣本，我們分析攻擊者可能采用的技術(shù)手法為：通過魚叉式釣魚郵件或其他手段，首先向“跳板機(jī)”植入BlackEnergy，隨后通過BlackEnergy建立據(jù)點(diǎn)，以“跳板機(jī)”作為據(jù)點(diǎn)進(jìn)行橫向滲透，之后通過攻陷監(jiān)控/裝置區(qū)的關(guān)鍵主機(jī)。同時由于BlackEnergy已經(jīng)形成了具備規(guī)模的僵尸網(wǎng)絡(luò)以及定向傳播等因素，亦不排除攻擊者已經(jīng)在烏克蘭電力系統(tǒng)中完成了前期環(huán)境預(yù)置和持久化。

攻擊者在獲得了SCADA系統(tǒng)的控制能力后，通過相關(guān)方法下達(dá)斷電指令導(dǎo)致斷電：其后，采用覆蓋MBR和部分扇區(qū)的方式，導(dǎo)致系統(tǒng)重啟后不能自舉；采用清除系統(tǒng)日志的方式提升事件后續(xù)分析難度；采用覆蓋文檔文件和其他重要格式文件的方式，導(dǎo)致實(shí)質(zhì)性的數(shù)據(jù)損失。這一組合拳不僅使系統(tǒng)難以恢復(fù)，而且在失去SCADA的上層故障回饋和顯示能力后，工作人員被“致盲”，從而不能有效推動恢復(fù)工作。

攻擊者一方面在線上變電站進(jìn)行攻擊的同時，另一方面在線下還對電力客服中心進(jìn)行DDoS攻擊，兩組“火力”共同配合發(fā)起攻擊完成攻擊者的目的。整體的攻擊全景如下圖所示：

 圖10  烏克蘭停電事件攻擊全程示意圖

3 攻擊組織及BlackEnergy分析 

3.1 SandWorm（沙蟲組織）

SandWorm（沙蟲組織）是由iSIGHT于2014年10月發(fā)現(xiàn)，iSIGHT認(rèn)為該組織與俄羅斯有關(guān)，該組織使用漏洞和惡意軟件對感興趣的目標(biāo)進(jìn)行攻擊，主要的目標(biāo)包括：北大西洋公約組織、烏克蘭政府組織、西歐的政府組織、能源部門的公司（特別是波蘭）、歐洲電信公司、美國學(xué)術(shù)組織等。

在此次烏克蘭變電站遭受攻擊事件中，攻擊者采用了帶有惡意宏代碼的xls文檔，我們通過對該文檔的分析，發(fā)現(xiàn)其釋放的惡意代碼及相關(guān)特性與沙蟲組織的攻擊特性十分相似，比如：釋放FONTCACHE.DAT文件、啟動目錄添加CLSID格式名稱的快捷方式、釋放的文件都是BlackEnergy僵尸網(wǎng)絡(luò)程序。因此，力控華康認(rèn)為本次攻擊事件可能與沙蟲組織有關(guān)。

3.2 BlackEnergy（黑色能量）

BlackEnergy是一種頗為流行的攻擊工具，主要用于實(shí)施自動化犯罪活動，通常賣于俄羅斯的地下網(wǎng)絡(luò)，其zui早出現(xiàn)的時間可追溯到2007年。該軟件zui初被設(shè)計(jì)用于創(chuàng)建僵尸網(wǎng)絡(luò)、實(shí)施DDoS攻擊和竊取銀行憑證的一款惡意軟件，逐漸演變?yōu)橹С侄喾N組件的工具，其組件可根據(jù)不同攻擊意圖組合使用。

因?yàn)锽lackEnergy具有多組件、多用途的特點(diǎn)，它已被多個團(tuán)伙用于不同目的。例如，發(fā)送DDoS攻擊、發(fā)送垃圾郵件、密碼偷竊、盜取銀行證書和搜索特定的文件類型等。近幾年多次被利用攻擊烏克蘭政府、攻擊工控系統(tǒng)、甚至攻擊路由器等設(shè)備。

BlackEnergy已經(jīng)形成了BOTNET（僵尸網(wǎng)絡(luò)）體系，它成為采集相關(guān)基礎(chǔ)設(shè)施和重要目標(biāo)節(jié)點(diǎn)相關(guān)信息，建設(shè)在目標(biāo)基礎(chǔ)資源體系中建立持久化能力的重要利器。它通過配置build_id的值來甄別受感染的目標(biāo)，再從中選取脆弱系統(tǒng)進(jìn)行內(nèi)網(wǎng)縱深攻擊。

3.3  版本演進(jìn)歷史

3.3.1 BlackEnergy1

BlackEnergy工具帶有一個構(gòu)建器（builder）應(yīng)用程序，下圖是2007年發(fā)現(xiàn)的BlackEnergy構(gòu)建器程序，稱之為BlackEnergy1，主要用于實(shí)施DDoS攻擊。

圖11   BlackEnergy1構(gòu)建程序

DDoS攻擊的BlackEnergy僵尸網(wǎng)絡(luò)可以啟動控制的“洪水”命令的參數(shù)，例如：ICMPping洪水、TCP SYN洪水、UDP流量洪水、二進(jìn)制包洪水、DNS請求洪水等。

該版本服務(wù)器程序?yàn)閃EB版本，將受害者機(jī)器相關(guān)信息Base64編碼后回傳C&C服務(wù)器中。

圖12   Base64加密

圖13   解密后數(shù)據(jù)

Base64解碼后的內(nèi)容為服務(wù)器上的配置信息加上一個上線ID號，BlackEnergy配置還包含一個叫build_id的值，該字符串是個特殊字符串，是用來甄別受感染個體的，比如：

表 1   build_id

BlackEnergy1本惡意代碼釋放的文件名通常為mssrv32.exe，并將該進(jìn)程注入Svchost.exe中，隱藏自身，伺機(jī)發(fā)動DDoS攻擊。

3.3.2 BlackEnergy2

BlackEnergy2依然是一個具備DDoS功能的僵尸網(wǎng)絡(luò)程序，該樣本新增類加密軟件以對自身加密處理，防止反病毒軟件查殺。該版本程序首先釋放驅(qū)動文件以服務(wù)方式運(yùn)行，將驅(qū)動程序注入系統(tǒng)進(jìn)程，隨后樣本連接遠(yuǎn)程服務(wù)器，下載DDoS攻擊組件，根據(jù)配置文件對目標(biāo)發(fā)起DDoS攻擊。

圖 14   BlackEnergy2 工作原理圖

BlackEnergy2惡意程序不僅功能強(qiáng)大，實(shí)用性廣，而且非常易于部署和管理。支持可升級的組件（附加模塊），使得黑客更容易修改和擴(kuò)展其功能。黑客可以通過遠(yuǎn)程控制中心發(fā)布命令，實(shí)現(xiàn)組件的快速安裝和升級。

BlackEnergy2擁有3個組件，分別SYN、HTTP、DDoS攻擊組件，組件下載后樣本會將其加載到內(nèi)存中執(zhí)行，然后對遠(yuǎn)程服務(wù)器配置展開攻擊。

對于大部分BlackEnergy2安裝程序來說，安裝程序名均為msiexec.exe。msiexec.exe是系統(tǒng)進(jìn)程，是Windows Installer的一部分，用于安裝Windows Installer安裝包（MSI）用途，被BlackEnergy惡意混淆利用。

3.3.3  BlackEnergy3

2014年9月F-Secure發(fā)布報(bào)告稱，發(fā)現(xiàn)了一個以前未曾見到過的變種，該版本已經(jīng)重寫了代碼而且對配置數(shù)據(jù)采用了不同的保存格式。該版本不再使用驅(qū)動組件。我們把這個新變種稱之為BlackEnergy 3。但目前對該版本的攻擊事件，還并不常見。

3.4 攻擊裝備/組件介紹

BlackEnergy組件是DLL庫文件，一般通過加密方式發(fā)送到僵尸程序，一旦組件DLL被接收和解密，將被置于分配的內(nèi)存中。然后等待相應(yīng)的命令。例如：可以通過組件發(fā)送垃圾郵件、竊取用戶機(jī)密信息、建立代理服務(wù)器、伺機(jī)發(fā)動DDoS攻擊等。

表2   BlackEnergy目前流行已知攻擊組件

3.5 歷史事件及攻擊對象回顧

圖15   BlackEnergy歷史事件

? 2007年

BlackEnergyzui初版本出現(xiàn)在2007年，主要在俄羅斯地下網(wǎng)絡(luò)流行，實(shí)現(xiàn)DDoS攻擊、創(chuàng)建僵尸網(wǎng)絡(luò)、竊取銀行憑證等。

? 2008年

俄格沖突期間，該工具被用來對格魯吉亞實(shí)施網(wǎng)絡(luò)攻擊。

? 2009年

BlackEnergy攻擊美國花旗銀行，盜取數(shù)千萬美金。

? 2010年

BlackEnergy2在2010年發(fā)布，支持更多的插件功能。

?  2014年

BlackEnergy的樣本目標(biāo)鎖定在烏克蘭和波蘭的攻擊。

?  2014年10月

BlackEnergy惡意軟件針對不同廠商的HMI進(jìn)行攻擊，被攻擊廠商的系統(tǒng)已包括GE、研華WebAccess、西門子WinCC。

?  2014年10月14日

SandWorm被iSIGHT發(fā)現(xiàn)利用CVE-2014-4114傳播的BlackEnergy樣本。安天于2014年10月15日發(fā)布“沙蟲（CVE-2014-4114）相關(guān)威脅綜合分析報(bào)告”對相關(guān)漏洞和樣本進(jìn)行復(fù)盤分析。

?  2014年11月

攻擊Linux和Cisco思科設(shè)備。

? 2014年12月

德國聯(lián)邦信息*公室（BSI）發(fā)布2014年的信息安全報(bào)告，報(bào)告中披露了一起針對德國鋼廠基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊，并造成重大物理傷害，相關(guān)報(bào)道指出該事件可能與BlackEnergy有關(guān)。安天隨后跟進(jìn)分析，于次日形成關(guān)于BlackEnergy的分析報(bào)告。

? 2015年11月

烏克蘭大選期間曾遭受過黑客的攻擊，導(dǎo)致資料被竊取。

?  2015年12月

烏克蘭稱電網(wǎng)遭遇黑客攻擊，相關(guān)報(bào)告稱這起事件和BlackEnergy有關(guān)。

4 相關(guān)樣本分析

4.1前導(dǎo)文檔

通過對公開的樣本進(jìn)行關(guān)聯(lián)，關(guān)聯(lián)到發(fā)送前導(dǎo)文檔的原始郵件。該郵件在2015年3月被用于攻擊烏克蘭媒體，其中一個包含惡意代碼的文檔，攻擊者在文檔中嵌入了惡意宏代碼，一旦用戶打開文檔并運(yùn)行宏就會對目標(biāo)系統(tǒng)進(jìn)行感染。

這與我們過去看到的大量APT攻擊中出現(xiàn)的格式溢出文檔所不同的是，盡管其也使用了郵件和Office文檔作為攻擊手段，但并沒有使用0Day，甚至相關(guān)載荷都沒有使用格式溢出方式，而是類似一個傳統(tǒng)的宏病毒。這說明攻擊中是否使用0Day與相關(guān)組織的作業(yè)能力、0Day儲備、以及對目標(biāo)的適應(yīng)性有關(guān)，的攻擊未必需要使用“攻擊技術(shù)”（如格式溢出、0Day）。

圖16   郵件內(nèi)容

郵件譯文：

烏克蘭總統(tǒng)對部分動員令

據(jù)烏克蘭總統(tǒng)2015年第15號局部動員令，法令從15年1月14日開始。為了保持烏克蘭武裝*和其他軍事單位進(jìn)行戰(zhàn)斗動員和動員準(zhǔn)備。

烏克蘭公民組織負(fù)責(zé)人必須提供的組織示例（附件1），當(dāng)?shù)卣蛦T的列表、用戶類別。不包含烏克蘭總統(tǒng)令中附錄2和信息附錄3所列的順序動員。

這是一種針對性攻擊常用的手法，首先攻擊者在一封郵件中嵌入一個惡意文檔發(fā)送給目標(biāo)，如果目標(biāo)主機(jī)存在安全隱患，則在打開附件時就會自動運(yùn)行宏代碼，附件（Excel）打開后顯示如下圖，為了誘導(dǎo)受害者啟用宏，攻擊者還使用烏克蘭語進(jìn)行了提醒，圖中文字含義為：“注意！該文檔由較新版本的Office創(chuàng)建，為顯示文檔內(nèi)容，必須啟用宏。”

圖17     Excel內(nèi)容

經(jīng)分析人員對宏代碼進(jìn)行提取分析，發(fā)現(xiàn)宏代碼主要分為兩個部分，首先通過25個函數(shù)定義768個數(shù)組，在數(shù)組中寫入二進(jìn)制數(shù)據(jù)（PE文件）備用，如下圖：

圖18   宏代碼

然后通過一個循環(huán)將二進(jìn)制數(shù)據(jù)寫入到的磁盤文件，對應(yīng)的路徑為：%TEMP%\vba_macro.exe，隨后執(zhí)行此文件，即BlackEnergy Dropper，在經(jīng)過多次解密后，其會釋放BlackEnergy，并利用BlackEnergy下載插件對系統(tǒng)進(jìn)行攻擊。

圖19   生成PE

4.2 Dropbear SSH

該樣本是攻擊者使用組件，一個攻擊者篡改的SSH服務(wù)端程序，該程序是基于開源的SSH軟件Dropbear SSH，改動部分代碼后生成。

攻擊者利用VBS文件啟動這個SSH服務(wù)端，VBS內(nèi)容如

圖20    VBS內(nèi)容

VBS腳本啟動SSH程序，開啟6789端口等待連接，這樣攻擊者可以在內(nèi)網(wǎng)中連接到受害機(jī)。

這個SSH程序是攻擊者使用Dropbear SSH源碼重新編譯的，在其中添加了固定密碼“passDs5Bu9Te7”，因此只有使用這個密碼才能連接上SSH服務(wù)，下圖是原版Dropbear SSH源碼和攻擊者修改后的代碼：

圖21   Dropbear SSH

圖22   添加后門的Dropbear SSH代碼

分析工程師認(rèn)為不排除DropbearSSH正是烏克蘭電力部門使用的SSH管理工具，假定，相關(guān)帶有后門的Dropbear SSH的出現(xiàn)，也不排除是此次攻擊的環(huán)境預(yù)置的一部分。同時攻擊者使用開源代碼為基礎(chǔ)，構(gòu)造可疑功能，可以起到躲避安全軟件的檢測的目的。通過圖23所示該文件的檢測歷史情況，可以看出該樣本剛出現(xiàn)時，所有的安全軟件都不能檢測，之后由于ESETzui早獲得樣本，而能夠*檢測，其后各廠商才陸續(xù)檢出。

圖23   歷史檢測結(jié)果

4.3 KillDisk

KillDisk也是攻擊者使用的組件，主要目的是擦除證據(jù)，破壞系統(tǒng)。樣本運(yùn)行后會遍歷文件進(jìn)行擦除操作，還會擦寫磁盤MBR、破壞文件，zui后強(qiáng)制關(guān)閉計(jì)算機(jī)。

4.3.1樣本標(biāo)簽

§ 

表3   樣本標(biāo)簽

4.3.2 樣本安裝流程

樣本具有延遲觸發(fā)的功能，在啟動樣本時，需要添加一個參數(shù)，用來樣本在多少分鐘之后執(zhí)行惡意操作。樣本會將輸入的參數(shù)乘以60轉(zhuǎn)為秒數(shù)，再使用函數(shù)RtlTimeToSecondsSince1970獲取當(dāng)前的秒數(shù)相加，將此值寫入到注冊表中。

圖24   寫入注冊表

利用ShellExecuteW調(diào)用cmd.exe來執(zhí)行安裝操作，參數(shù)如下：

圖25    添加服務(wù)

安裝完成之后，樣本會執(zhí)行一個循環(huán)操作，判斷當(dāng)前系統(tǒng)時間是否已經(jīng)大于注冊表中的數(shù)值，若已經(jīng)大于，則執(zhí)行惡意操作；若未達(dá)到，則繼續(xù)執(zhí)行循環(huán)操作。

圖26   延時操作

4.3.3 樣本功能分析

4.3.3.1 覆蓋MBR和部分扇區(qū)

樣本會將系統(tǒng)中的磁盤進(jìn)行破壞，將磁盤的前0x20000字節(jié)寫入“\x00”，使系統(tǒng)重啟之后無法正常啟動。

對系統(tǒng)中的*塊磁盤進(jìn)行擦除操作，打開磁盤，獲取

圖27   遍歷磁盤

從磁盤的起始位置開始進(jìn)行擦除，每次寫入0x200字節(jié)的“\x00”，執(zhí)行0x100次操作。

圖28   磁盤擦除

4.3.3.2 清理系統(tǒng)日志

如對部分扇區(qū)的擦除工作能夠正常完成，該樣本會對系統(tǒng)的日志進(jìn)行清理，以增加事后分析的難度，如圖29：

圖29   清理日志

4.3.3.3 進(jìn)程遍歷和清理進(jìn)程

此后樣本會遍歷系統(tǒng)中的進(jìn)程，若進(jìn)程名存在于下面的列表中，則會放行；否則會結(jié)束進(jìn)程的運(yùn)行。

圖30   進(jìn)程列表

從表中可以看出，多數(shù)為系統(tǒng)的關(guān)鍵進(jìn)程，只有komut.exe不是系統(tǒng)進(jìn)程。樣本中止掉其他進(jìn)程，應(yīng)是為榨取更多的系統(tǒng)資源，以使下一個動作（文件擦除）產(chǎn)生更好的效果，但同時又避免誤殺系統(tǒng)進(jìn)程導(dǎo)致系統(tǒng)運(yùn)行受到影響。

4.3.3.4   文件擦除

該部分操作是由一個新創(chuàng)建的線程所執(zhí)行。它會先對磁盤中的文件進(jìn)行全盤遍歷，根據(jù)文件后綴的不同分為兩類，zui后使用隨機(jī)數(shù)字對文件進(jìn)行擦除。圖31為部分代碼：

圖31  文件擦除

通過函數(shù)m_FileSearch對文件的遍歷，得到inList、outList。若文件后綴存在于下面的表中，則文件路徑存放到inList中；否則存放到outList中。

表4   后綴列表

由于該部分運(yùn)行在線程中，無法保證所有文件都被破壞。樣本首先擦除的是inList中的文件，可見攻擊者是想先破壞掉帶有上面后綴的文件，如果有時間，再去破壞系統(tǒng)中的其它文件，被擦除后的文件大小均為8.03kb。

4.3.3.5   結(jié)束進(jìn)程

通過遍歷系統(tǒng)進(jìn)程，查找sec_service.exe，若存在該進(jìn)程，則將其結(jié)束掉，并執(zhí)行兩次。

圖32   結(jié)束進(jìn)程

若不存在該進(jìn)程，則判斷是否存在sec_service服務(wù)，若存在，則將其關(guān)閉并刪除該服務(wù)。

4.3.3.6   關(guān)機(jī)操作

當(dāng)執(zhí)行完上面的操作之后，樣本會執(zhí)行關(guān)機(jī)操作。

圖33   關(guān)機(jī)操作

該條指令執(zhí)行之后，會在5秒后關(guān)機(jī)，樣本在這5秒內(nèi)還會進(jìn)行一次系統(tǒng)遍歷，結(jié)束三個系統(tǒng)進(jìn)程csrss.exe、smss.exe、lsass.exe，猜測攻擊者是擔(dān)心因?yàn)檫@些進(jìn)程的干擾導(dǎo)致無法達(dá)到重啟的目的。

而在關(guān)機(jī)后，由于MBR已經(jīng)被破壞，系統(tǒng)將不能完成自舉。

4.3.3.7   其它樣本

關(guān)于KillDisk的樣本共有四個，上面的分析是功能zui為強(qiáng)大的一個樣本。對另外三個樣本，我們也進(jìn)行了分析，發(fā)現(xiàn)它們之間功能基本一致，多個函數(shù)都*一樣，前三個樣本的時間戳信息接近，推斷這四個樣本是由同一個團(tuán)隊(duì)，對同一套代碼的不斷修改所編譯出來的，而且zui后一個樣本的時間戳是被修改的。下面是它們之間的對比信息：

表5    文件對比

4.4 硬盤破壞程度

樣本會對磁盤的前0x20000字節(jié)進(jìn)行擦寫。每個扇區(qū)的大小為0x200字節(jié)，換句話說，樣本會擦寫磁盤的前256個扇區(qū)。

第1個扇區(qū)為主引導(dǎo)扇區(qū)（MBR），其結(jié)構(gòu)如下：

圖34    MBR結(jié)構(gòu)

分區(qū)項(xiàng)的結(jié)構(gòu)如下：

圖35   分區(qū)項(xiàng)結(jié)構(gòu)

系統(tǒng)引導(dǎo)扇區(qū)（BOOT區(qū)）存放在哪個扇區(qū)一般由分區(qū)項(xiàng)1決定。我們使用WinXP與Win7分別進(jìn)行了測試。結(jié)果如下：

表6   測試結(jié)果

樣本一定會破壞掉MBR，使系統(tǒng)無法正常啟動，但是否會破壞到系統(tǒng)引導(dǎo)扇區(qū)以及破壞的程度大小無法確定，這取決于磁盤的大小、所使用的分區(qū)工具、所安裝的操作系統(tǒng)等等多種因素。

4.5 可恢復(fù)程度測試

以下測試僅針對擦寫磁盤MBR后，樣本未將磁盤文件擦除的前提下所進(jìn)行的。我們對被樣本擦寫后的磁盤進(jìn)行了恢復(fù)測試，首先使用工具PTDD Partition Table Doctor對磁盤MBR進(jìn)行重建，再對分區(qū)表進(jìn)行重建，測試修復(fù)后的磁盤是否可以正常啟動系統(tǒng)，文件是否完整。

這兩項(xiàng)修復(fù)工作只會對磁盤的*個扇區(qū)進(jìn)行修改，包含主引導(dǎo)程序的出錯信息、四個分區(qū)項(xiàng)和結(jié)束字。

對兩塊硬盤進(jìn)行了測試：一是XP系統(tǒng)的，分區(qū)項(xiàng)1的內(nèi)容在前256個扇區(qū)內(nèi)，已經(jīng)被破壞；二是Win7系統(tǒng)的，分區(qū)項(xiàng)1的內(nèi)容不在前256個扇區(qū)內(nèi)，未被破壞。

· 

l XP系統(tǒng)磁盤修復(fù)

· 

該磁盤在修復(fù)前，因?yàn)镸BR被破壞，找不到系統(tǒng)分區(qū)，系統(tǒng)顯示的錯誤信息如下：

圖36    MBR丟失

將MBR進(jìn)行修復(fù)之后，但由于系統(tǒng)啟動文件被破壞，會出現(xiàn)下面的錯誤：

圖37   系統(tǒng)文件破壞

l Win7系統(tǒng)磁盤修復(fù)

對磁盤MBR進(jìn)行重建之后，利用工具無法找到磁盤分區(qū)，這時需要人工查找系統(tǒng)盤所在分區(qū)，確定所有位置及大小，并將這些信息寫入到MBR扇區(qū)對應(yīng)位置。

圖38    MBR扇區(qū)

這時運(yùn)行系統(tǒng)會出現(xiàn)如下錯誤：

圖39   系統(tǒng)錯誤

再使用WinPE進(jìn)入系統(tǒng)，利用命令bcdedit進(jìn)行修復(fù)，命令如下：

表7   修復(fù)命令

可正常啟動開機(jī)。

通過以上的測試可以看出，如果MBR與分區(qū)項(xiàng)1的內(nèi)容都被樣本擦寫，只可以對MBR進(jìn)行修復(fù)，分區(qū)項(xiàng)1中的內(nèi)容無法進(jìn)行修復(fù)，也無法開機(jī)；若只有MBR被擦寫，可以對其修復(fù)并正常開機(jī)。

但樣本運(yùn)行之后，對系統(tǒng)中磁盤的文件進(jìn)行了擦除，即使MBR修復(fù)之后，由于系統(tǒng)文件的損壞，也無法進(jìn)行恢復(fù)，可見樣本的破壞性之大。

5 事件總結(jié)

圖40   烏克蘭停電攻擊事件過程總結(jié)

正如我們開篇指出的那樣：這是一起以BlackEnergy等相關(guān)惡意代碼為主要攻擊工具；通過BOTNET體系進(jìn)行前期的資料采集和環(huán)境預(yù)置；以郵件發(fā)送惡意代碼載荷為zui終攻擊的直接突破入口；通過遠(yuǎn)程控制SCADA節(jié)點(diǎn)下達(dá)指令為斷電手段；以摧毀破壞SCADA系統(tǒng)實(shí)現(xiàn)遲滯恢復(fù)和狀態(tài)致盲；以DDoS作為干擾，zui后達(dá)成長時間停電并制造整個社會混亂的具有信息戰(zhàn)水準(zhǔn)的網(wǎng)絡(luò)攻擊事件。

此次攻擊的對象為關(guān)鍵基礎(chǔ)設(shè)施，這就使人們很自然地聯(lián)想到六年前的“震網(wǎng)蠕蟲”。我們把相關(guān)事件的要素放在一起對比，則會看到不同的攻擊組織帶有*迥異的風(fēng)格，如果說“震網(wǎng)”這樣的A2PT攻擊讓人看到更多的是0Day、復(fù)雜嚴(yán)密的加密策略、PLC與固件等等；而烏克蘭停電事件的“戰(zhàn)果”，是攻擊者在未使用任何0Day，也未使用位于生產(chǎn)系統(tǒng)側(cè)的攻擊組件，僅僅依托PC端的惡意代碼作業(yè)的情況下取得的，顯然其攻擊成本和“震網(wǎng)”相比要低得多。

表8   震網(wǎng)事件與烏克蘭變電站遭受攻擊事件對比

這也再一次提醒我們需要重新審視所謂APT攻擊或CyberWar的評價標(biāo)準(zhǔn)，事件的定性不在于刻板的字面意義，而是其背后深層次的動機(jī)與能力的綜合因素，對攻擊集團(tuán)來說，只要可以完成作業(yè)目的，一切手段皆可用，我們依然會遭遇“震網(wǎng)”、“方程式”風(fēng)格的對手，但通用網(wǎng)絡(luò)攻擊工具、商用惡意代碼、被改造的開源工具、1Day漏洞、傳統(tǒng)的宏病毒等等，也將更多地被用于對關(guān)鍵目標(biāo)的攻擊當(dāng)中。在商業(yè)軍火和開源工具被廣泛應(yīng)用的場景下，通過惡意代碼本身來確定攻擊來源將面臨更多的干擾項(xiàng)，而放在更大的攻防態(tài)勢上來看，地下黑產(chǎn)的基礎(chǔ)設(shè)施也正在形成，并構(gòu)成了一個惟利是圖的多邊信息共享機(jī)制，被普通僵尸網(wǎng)絡(luò)采集竊取到的信息，有著巨大的流向不確定性，從而成為戰(zhàn)略攻擊者的信息采集源；而一般性的惡意代碼感染、弱化安全性的盜版鏡像、夾帶惡意代碼漢化等等，都在客觀上起到降低戰(zhàn)略攻擊者門檻的作用。對那些“普通的”惡意代碼感染擴(kuò)散事件予以漠視，而幻想依托威脅情報(bào)就可以發(fā)現(xiàn)攔截威脅的想法無疑是幼稚的。

對于關(guān)鍵基礎(chǔ)設(shè)施特別是工控系統(tǒng)的IT管理者們來說，需要走入“物理隔離”帶來的虛假安全感：傳統(tǒng)的內(nèi)網(wǎng)隔離安全很大程度上是受到封閉空間保障的，封閉空間的場景依托物理安全措施提升攻擊成本，提升了接觸式攻擊的成本。但社會基礎(chǔ)設(shè)施則是需要向社會縱深進(jìn)行有效覆蓋的，特別是像電網(wǎng)這樣的注定呈現(xiàn)出巨大的物理空間覆蓋力體系，必然需要大量使用無人值守設(shè)備的方式。因此，這些孤點(diǎn)的風(fēng)險(xiǎn)不止在于他們可能是失能的末梢，也在于它們可能是攻擊的入口。

而在對關(guān)鍵基礎(chǔ)設(shè)施防御點(diǎn)和投入配比上，當(dāng)人們認(rèn)為對關(guān)鍵基礎(chǔ)設(shè)施的攻擊必然在“縱深位置”時，烏克蘭停電事件則提醒我們，隨著儀表盤和操控面板被更多的PC設(shè)備替代。PC環(huán)境已經(jīng)在工業(yè)控制體系中，扮演“一覽眾山小”的位置。如果SCADA等PC節(jié)點(diǎn)失守，攻擊者幾乎可以為所欲為。為有效改善基礎(chǔ)設(shè)施體系中PC節(jié)點(diǎn)和TCP/IP網(wǎng)絡(luò)，需要通過網(wǎng)絡(luò)捕獲與檢測、沙箱自動化分析、白名單+安全基線等綜合方式改善防御縱深能力；同時，也要和防火墻、補(bǔ)丁與配置強(qiáng)化、反病毒等傳統(tǒng)手段有效結(jié)合，改善IT治理；需要把更多更細(xì)膩的工作放到內(nèi)部的安全策略與管理以及外部供應(yīng)鏈安全等環(huán)節(jié)中去。

以國土安全的視野，以應(yīng)對為信息戰(zhàn)為要求，提升對關(guān)鍵基礎(chǔ)設(shè)施的防御能力，是中國在走向網(wǎng)絡(luò)強(qiáng)國過程中必須完成的工作。

對一個國家來說，zui幸運(yùn)的是在別人間的戰(zhàn)爭中學(xué)習(xí)戰(zhàn)爭和理解防御。

人無遠(yuǎn)慮，必有近憂；前事不遠(yuǎn)，吾輩之師。

北京力控華康科技有限公司（簡稱"力控華康"）成立于2009年，是專業(yè)從事工業(yè)網(wǎng)絡(luò)及安全產(chǎn)品研發(fā)，提供整體安*方案，通過"雙軟"認(rèn)證的*。力控華康立足于自主研發(fā)，始終致力于工業(yè)安全和數(shù)據(jù)通信的創(chuàng)新與*。

借助多年積淀的工業(yè)領(lǐng)域行業(yè)經(jīng)驗(yàn)，以及工控行業(yè)監(jiān)控軟件和工業(yè)協(xié)議分析處理技術(shù)，成功研發(fā)出適用于工業(yè)控制系統(tǒng)的工業(yè)隔離網(wǎng)關(guān)pSafetyLink、工業(yè)通信網(wǎng)關(guān)pFieldComm?和工業(yè)防火墻HC-ISG等系列產(chǎn)品。廣泛應(yīng)用于各個行業(yè)，其中包括核設(shè)施、鋼鐵、有色、化工、石油石化、電力、天然氣、*制造、水利樞紐、環(huán)境保護(hù)、鐵路、城市軌道交通、城市供水供氣供熱以及其他與國計(jì)民生緊密相關(guān)領(lǐng)域的工業(yè)控制系統(tǒng)。

在"兩化"深度融合的背景下，力控華康堅(jiān)持以自主創(chuàng)新、持續(xù)發(fā)展為原則，圍繞"以客戶為中心不斷為客戶創(chuàng)造價值"的服務(wù)理念，為數(shù)據(jù)采集與監(jiān)控（SCADA）、分布式控制系統(tǒng)（DCS）、過程控制系統(tǒng)（PCS）、可編程邏輯控制器（PLC）等所有工業(yè)控制系統(tǒng)（ICS）的信息安全接入和智能化數(shù)據(jù)交換，提供安全、可靠的解決方案和工業(yè)產(chǎn)品。

關(guān)于力控華康相關(guān)產(chǎn)品信息及解決方案請?jiān)L問：

http://www.huacon.com.cn