報告|重重包圍下的工業控制系統網路（上）

工業控制系統是關鍵基礎設施的重要組成部分，工業控制系統在電力，化工，食品和飲料加工、汽車產業、航空航天、製藥、自來水和廢水處理廠等眾多類型的工廠中起到關鍵性作用。

工業控制系統作為虛擬信息連接真實物理世界的關鍵樞紐，在拉近虛擬與現實的距離，讓生產變得更精準、更敏捷的同時，也使得網路攻擊可以直接破壞現實世界。更糟糕的是，越來越多的網路攻擊者已經意識到攻擊工業控制系統低投入、高回報的特點。

攻擊者身份多種多樣，可能是黑客，或者是大型有組織犯罪集團成員，甚至是敵對國家或恐怖組織的秘密部門。 一部分攻擊者渴望獲取經濟利益：通過掌控工業控制系統的控制權，向企業敲詐巨額資金，或者從企業的資料庫中竊取高價值知識產權。而一些敵對傾向攻擊者則更具破壞性，他們企圖癱瘓關鍵基礎設施，影響當地民眾生活，或通過攻擊工業控制系統造成人員傷亡。

作為可以破壞真實物理世界的攻擊手段，攻擊工業控制系統可能正在成為恐怖分子獲得影響力的捷徑。

例如在印度博帕爾發生的工業事故，使60多萬人受到了泄露的有毒氣體的傷害，粗略估計，將會有15,000人因為這次襲擊而死亡。 雖然此事件並非因網路威脅而起，但通過網路手段完全可以達到類似攻擊效果。倘若我們的工廠也受到了這樣的攻擊，那麼企業和社會受到的損失，將是不可估量甚至無法挽回的。

美國國家情報局前局長詹姆斯曾指出：「以政府為背景的網路攻擊的黑客正在不斷增多，來自國外黑客正在不斷偵查並訪問美國的一些重要基礎設施，這可能導致當有一天我們與他們敵對時，這些被入侵的系統將迅速遭到破壞」。

網路黑客正在進一步開發用於入侵工業控制系統的黑客工具，讓網路攻擊變得更加便捷化、自動化、智能化，攻擊波及面也將愈加龐大。

我們會遭遇多少起針對工業控制系統的網路攻擊呢？相信很多企業和調查機構都有自己的數據答案，但實際上，全球每天發生的攻擊事件遠遠不止這些。

原因有多方面，首先絕大多數攻擊都沒有被公布出來。大量安全事件和威脅的根源是企業高層對於工業控制系統網路安全重視程度不足以及企業員工的違規操作，所以在沒有強制通報機制約束下，許多企業選擇隱瞞事件息事寧人。

另一方面，很多企業由於缺乏基本的網路威脅預警和監測手段，根本沒有意識到自己蒙受的損失來源於網路攻擊，一旦發生設備異常首先聯想到的是設備質量問題並更換備品備件。

我們不但要意識到工業控制系統網路攻擊的巨大危害性更要學習前車之鑒。本報告挑選了較早期的三個著名事件案例以及本年度最新的五個案例，多角度解讀工業信息安全事件的攻擊方式與後果影響。

震網--2011年

震網病毒可能是最近對關鍵基礎設施工業控制系統發動攻擊的最有知名度的病毒，被認為是美國政府破壞或者拖延伊朗政府核計劃的產物。

據報道稱，震網的攻擊成功的破壞了伊朗20%多的鈾離心機，並使他們的核計劃倒退了1年多。假設一下，一旦離心機失去控制並報廢，使得放射性物質擴散，會帶來多麼嚴重的後果。震網病毒傳播者為了此次攻擊做了很多準備，巧妙使用u盤突破物理隔離，並徹底攻破了西門子的PLC。

Duqu--2011年

Duqu是2011年年底發現的一種非常複雜的高級病毒，由於其編寫格式和震網病毒有相似之處，我們可以將其視作震網病毒的變種。Duqu可能正在尋找攻擊目標，但值得慶幸的是目前Duqu並沒有對任何設施發動攻擊的實例或跡象。

根據MaAfee的研究顯示，Duqu主要的活動之一是搜集並獲取數字證書和私人秘鑰，以在未來支持惡意軟體能更有效的攻擊受入侵的電腦，Duqu使用像素jpeg文件和加密的虛擬文件作為容器將被盜數據偷運到其命令和控制中心。 時至今日，安全專家們仍然在分析代碼來確定這些通信所包含的信息。

德國鋼鐵廠事件--2014

2014年，德國的一家主要鋼鐵廠成為複雜攻擊的目標，德意志聯邦信息安全局（BSI）報告了這次攻擊。但是許多攻擊的細節，包括所使用的惡意軟體的性質和類型，公司的身份和安全報告等都被當局扣留了下來。

這種先進的攻擊使用社會工程和魚叉式釣魚攻擊相結合，可以進入鋼鐵廠的企業網路，通過使用企業網路和工業控制系統網路之間的聯繫，攻擊者能夠穿透製造和過程式控制制所涉及的網路，生產線由於受到攻擊而長時間停機，本次攻擊還造成中央廠房高爐的損壞，對工廠生產造成了非常嚴重的影響。

從一系列的攻擊事件可以看出，從震網病毒出現開始，針對管業基礎設施控制系統的網路攻擊已經改變了原有的網路攻擊形態，攻擊可以成功破壞設備資產，並對人員造成身體傷害。此類攻擊已被眾多國家視作國家戰略的基石之一，以百萬美元的投資即可獲得相當於傳統軍事計劃和部署中投入的數十億美元收益，這也意味著更多關鍵基礎設施控制系統網路正在成為攻擊目標。

最新研究案例

我們通過分析今年以來的幾項攻擊事件，做出以下列案例研究報告。這些案例所處行業和其中涉及的攻擊手段頗具代表性。我們希望通過這些具體案例分析，幫助讀者對工業控制系統網路攻擊有新的認識。

全球某藥品製造商-智能製造行業

我們的第一個案例是一家全球製藥企業，企業擁有高度集成的自動化生產系統，自動化包裝及倉儲系統。涉及的資產包括一個非常龐大的工業控制系統以及一些額外的過程式控制制系統組件。

在我們介入調查之前，這個製造商並不知道控制網內部已遭到惡意軟體感染並面臨高級持久性威脅。企業管理者對於自己的網路防禦措施相當自信，工業控制網路和集團網路之間通過部署網路安全設備套件實現「物理隔離」效果，控制網和辦公協作網通過僅有的幾條安全鏈路連。

我們在客戶的工業控制網路中部署威脅感知系統，監控先進控制系統和數據採集系統（SCADA）的流量和異常行為。網路威脅感知系統可在發現設備資產存在異常活動時識別威脅並報警。

不出意料的，我們發現了SCADA系統操作站遭到蠕蟲病毒感染：

該網路蠕蟲通過掃描445埠上隨機生成的IP地址來攻擊網路。一旦建立連接，蠕蟲將漏洞利用代碼發送到目標計算機。漏洞利用代碼會導致計算機使用TFTP協議下載蠕蟲病毒副本並運行。隨後，病毒連接到IRC伺服器以接收攻擊者的下一步命令，可能包括刪除原始病毒代碼、檢索系統信息、下載更多惡意軟體（可能是勒索軟體），甚至通過縱向傳播奪取RTU/PLC控制權。

我們在處理該病毒之後迅速開展調查，以了解惡意軟體如何能夠滲透到這個關鍵的安全網路。最終我們確定，感染來源於對工業控制系統維護和升級的供應商人員。

儘管有嚴格的經過授權的安全協議，但維護人員在將受感染的USB儲存器插入停電恢復管理套件伺服器（ORMS）進行升級過程中還是使病毒感染到製藥廠， 病毒首先感染了伺服器，並最終傳染至工業控制系統中的操作站。

通過對該惡意軟體的分析，我們發現還有另外兩個操作站也受到損害，更糟糕的是，主機安全套件將病毒識別為 「關鍵文件」，並部署在關鍵區域。

威脅描述：

· MD5 - 7a67f7a8c844820c1bae3ebf720c1cd9

· 第二階段感染 : tftp://x.x.x.x/a3048.exe

· 有效的文件名 : a3048.exe

通過本案例我們可得出如下結論：

1. 「空氣隔離」並不可靠，可以被USB存儲器等介質所破壞。

2. 網路威脅感知技術有助於增強網路可視性，是傳統安全解決方案的有效補充。對於未知的網路威脅可以確定其攻擊來源、攻擊類型、攻擊對象、攻擊波及面。

3. 操作站主機需要部署針對工業控制系統定製的主機免疫防護系統，對系統進程實時監控，並只允許可信進程運行。

報名參會通道

報名參會