作者 | 劉澤豪,董煜,宋智輝 戰略支援部隊信息工程大學
摘要:本文首先對工控安全方面發生的大事件進行了梳理,並在此基礎上簡要分析了工控安全威脅的特點與趨勢,並對於其中典型的事例進行了基於軟件基因與工控安全的跨界融合分析與探討。一方面,隨著工業控制系統的通用化、網絡化、智能化發展,工業控制系統信息安全形勢日漸嚴峻,傳統的互聯網信息安全威脅正在向工業控制系統蔓延;另一方面,針對關鍵基礎設施及其控制系統,以竊取敏感信息和破壞關鍵基礎設施運行為主要目的的攻擊愈演愈烈。在我國製造業與互聯網融合步伐不斷加快的背景下,為工控安全可能存在核心技術薄弱、安全保障有待加強、體制機制亟需完善等問題提供一種新的思路與分析手段。
關鍵詞:軟件基因;工控系統;信息安全
概述
2016年5月21日,國務院印發《國務院關於深化製造業與互聯網融合發展的指導意見》,意見中指出,當前,我國製造業與互聯網融合步伐不斷加快,在激發“雙創”活力、培育新模式新業態、推進供給側結構性改革等方面已初顯成效,但仍存在平臺支撐不足、核心技術薄弱、應用水平不高、安全保障有待加強、體制機制亟需完善等問題。
如今,信息化與工業化深度融合已經在其中發揮了重要作用,深深關係著國家的戰略安全。雖然信息化與工業化的一體化程度不斷提高,但在這個工業控制系統“野蠻生長”的過程中,工控安全的重要性愈發凸顯。在工控安全產品缺少標準、缺少市場實踐,用戶需求並不明確的種種客觀條件下,沒有充分考慮到安全性的工業管理系統屢屢面臨攻擊和威脅,已經付出了慘痛的代價。2010年,震網病毒摧毀了伊朗的核設施,震驚了世界。這意味著網絡攻擊從“軟攻擊”階段進入“硬摧毀”階段,直接攻擊能源、金融、通信和核設施等關鍵系統。
近年來,倍受保護與隔離的工業控制系統,淘汰了以前的封閉式,逐步採用標準、通用通訊協議、軟硬件系統並以某種形式連接到公共網絡中形成工業互聯網,長期未經歷種種安全威脅的工業控制系統面對具有先進的攻擊技術、漏洞信息不對稱、長期潛伏、致命性的APT攻擊時尤顯得脆弱不堪。
工業互聯網熱點安全事件梳理
近年,工業互聯網安全領域大事頻發,熱點升溫,引起了業界的高度重視。本文選取了幾個有代表性的惡意代碼,它們在工業互聯網安全領域產生過相當重要的影響。
2.1 震網病毒及其變種襲擊伊朗
2010年6月賽門鐵克曝光的“震網”(Stuxnet)病毒,對伊朗核設施造成了大面積損毀,核計劃也因此推遲。震網病毒是世界上第一個針對工業控制系統的病毒,其在癱瘓伊朗核設施時所呈現出的隱蔽性、複雜性、系統性震驚了世界。2018年11月初,伊朗的基礎設施與戰略網絡再一次受到了網絡病毒的攻擊。伊朗軍方有關人士證實,這次攻擊相比於2010年曾經癱瘓伊朗1000多臺離心機的“震網”病毒要“更加猛烈、更加先進、更加複雜” [1]。
2019年5月,在震網病毒被曝光的9年後,震網病毒又出現了新的消息。一個名為“Chronicle”的網絡安全公司的相關研究人員透露,他們發現有相關證據表明存在第四方網絡間諜組織可能參與了震網病毒對伊朗核設施的攻擊。
震網病毒就像一個“潘多拉盒子”,揭開了工業互聯網安全領域攻防的序幕,人們的目光逐漸聚焦到這個新興而又複雜的環境之上,它成為一個經典案例,開啟虛擬空間毀癱現實社會的大門。而震網病毒的變種再次襲擊伊朗則時刻警醒著這一領域鬥爭的激烈與殘酷。
2.2 WannaCry席捲全球信息系統
2017年5月12日,WannaCry蠕蟲通過MS17-010漏洞在全球範圍大爆發,至少150個國家、30萬名用戶中招,造成損失達80億美元。此後WannaCry及其變種已經影響到金融、能源、醫療等眾多行業,造成嚴重的危機管理問題。其中較為引人注目的是2018年8月3日,臺積電遭遇到勒索病毒WannaCry入侵,導致生產線全線停擺,造成損失達11.5億元。
2.3 Mirai掀起最大規模DDoS攻擊
2016年10月21日,美國域名解析服務提供商Dyn公司遭受到強力的分佈式拒絕服務攻擊(DDoS),導致美國東海岸地區發生了大面積的網絡癱瘓。後來證實DDoS攻擊來自於物聯網殭屍程序Mirai,通過感染存在漏洞或內置默認密碼的IoT設備,攻佔了大量物聯網設備,全球由其控制的BOT多達500萬以上。
在此後Mirai及其變種的攻擊中,教育、能源、製造業、娛樂行業和金融服務業等行業均遭受到不同程度的破壞。其中,一個名為IOTroop的變種就是出於Mirai而更勝於Mirai的殭屍網絡,IOTroop通過許多與Mirai相同或者相似的惡意程序來感染全球的IoT設備,進而形成大規模的殭屍網絡,用來針對醫院、運輸系統以及政治組織發動DDoS攻擊[2]。
2019年8月CheckPointResearch發佈的最新版《全球威脅指數》報告稱Mirai物聯網殭屍網絡的新變種Echobot已對一系列物聯網設備發起廣泛攻擊。Echobot最早於2019年5月出現,有消息稱它利用了50多個不同的漏洞,已經影響到了全球34%的組織。
2.4 BlackEnergy家族肆虐烏克蘭電網
2015年12月23日,烏克蘭電網受到網絡黑客的攻擊,60座變電站遭到入侵,導致數十萬用戶停電,後來證實,攻擊烏克蘭電網的是BlackEnergy(黑暗力量)的一個新變種。
自從2007年Arbor網絡公司首次發表了關於BlackEnergy的分析報告之後,該惡意軟件經歷了巨大的演變。最初,BlackEnergy只是一個較為簡單的DDoS木馬,如今已經演變成了一個擁有模塊化結構的、整體架構十分複雜的惡意軟件了。
在2015年的斷電事件過去一年之後,2016年12月17日,烏克蘭首都基輔又發生了一起斷電事件。烏克蘭電網運營商的網絡中被植入了一個名為“Industroyer”的軟件,破壞了基輔附近一個傳輸站的所有斷路器,從而造成了首都大部分地區斷電。
工業互聯網所面臨威脅的特點與趨勢
3.1 新型惡意軟件層出不窮,防不勝防
自從2010年針對伊朗核設施的“震網”病毒曝光,工業互聯網攻防大幕開啟以來,越來越多的黑客、組織、公司乃至國家將目光聚焦到這個快速發展的領域,常常是出現一個病毒之後馬上就會出現相應的變種或者是改良版,並逐漸形成一個龐大的惡意代碼家族,像是上文已經提到的WannaCry、Mirai、BlackEnergy等惡意代碼均形成了各自的家族,類似的還有Conficker、CryptoWall、HackerDefender、Humming等家族。這些惡意代碼往往是在吸取前者成功經驗的基礎上,對新的漏洞或者新的技術加以利用,安全從業者往往是堵住了一個漏洞,又有新的惡意軟件冒出來,令人防不勝防。
3.2 攻擊戰場不斷拓展,覆蓋範圍越來越廣
從一開始的針對核設施的攻擊,經過近10年的發展,黑客們已經將攻擊的觸角伸向了包括教育、醫療、製造業、運輸系統、基礎設施、信息系統等各行各業,只要連上網,就面臨著黑客的無處不在的威脅。以Mirai為例,自2016年被曝光以來,Mirai及其變種發動了多次攻擊,目標涵蓋教育、能源、製造業、娛樂行業和金融服務業等行業,黑客對其感興趣的領域,製作出針對這一領域的惡意軟件。
3.3 業者安全意識薄弱,攻擊滲透以點帶面
隨著“互聯網+”新產業形態高速發展,越來越多的傳統行業與互聯網進行深度融合,跨界融合創造了巨大的經濟效益和社會生產力,但隨之而來的是更多的安全漏洞。由於網站管理員缺乏相應的安全培訓,安全意識薄弱,人為的給“互聯網+”產業平添了大量隱患。很多網站管理員使用弱口令作為root賬戶,不及時給系統升級補丁,整個系統在互聯網世界“裸奔”。與之相對的,政府、企業、學校、醫院等局域網機構使用大多是充滿漏洞又無法及時修復的WindowsXP、Windows7等老舊系統,因此也成為網絡攻擊的重災區。通過一個漏洞侵入後,惡意代碼可以在毫無阻攔的局域網中肆意傳播。殭屍網絡Mirai即是通過掃描telnet弱口令登錄,輕易爆破成功,侵入物聯網設備,導致推特、亞馬遜以及華爾街日報等數百個有影響力的網站無法訪問。
工控惡意代碼風險的基因分析
軟件基因是軟件中攜帶功能或承載信息的二進制片段,類似於生物體的基因,一個基因對應了一段一致執行序列。軟件基因分析惡意代碼功能組成的過程中更加關注與以往樣本之間的遺傳效應和同源關係,這與生物基因分析的目標不謀而合,大量的生物基因分析思想與方法可被借鑑。同時,軟件基因對APT樣本的提取結果是大量的序列片段和圖結構,需要構建大量的判別模型和度量模型進行分析,因此,軟件基因能夠與大數據和人工智能的算法完美結合,並在研究中進一步推進大數據和人工智能技術的發展[3]。
當前,惡意代碼對工業互聯網威脅日益增強,軟件基因提出了一種快速響應工業互聯網惡意代碼攻擊的方法。通過軟件基因分析,可以對其它未遭受感染的設備進行檢測分析和快速響應。在此以軟件基因視角對攻擊烏克蘭國家電網的BlackEnergy從家族分析、深度分析等方面進行剖析解密。
4.1 家族分析
由於此前烏克蘭電網癱瘓事件中的BlackEnergy遭受外界懷疑,指向了國外某黑客組織,本文利用開發的軟件基因提取工具對該樣本進行提取分析,首先分析其家族同源性。將BlackEnergy樣本與已曝光的APT28的惡意代碼樣本以及APT29組織的惡意代碼樣本進行聚類分析,如圖1所示,從圖中可以看出BlackEnergy樣本與APT28組織的樣本出現在同一個簇中,這說明其樣本攻擊特點以及結構特點與此組織的樣本相似,很可能屬於同一家族。
圖1 對BlackEnergy與APT28、APT29聚類分析
基於上述的判斷,在基因組中找到APT28組織進行網絡攻擊的Delphocy,與BlackEnergy的軟件基因組進行深度對比分析對比它們相同與差異。BlackEnergy與Delphocy樣本在基因譜下的對比分析圖如圖2所示,圖中左側縱向刻度表示文件上基因組的位置,中央兩條柱狀圖表示兩個對比文件,文件上的橫向橫條表示基因組,橫條的長度表示此基因組的所含基因數,白色的基因組中基因的數量相等,相似度為100%,紅色的基因組表示非100%相似的基因組。可以發現在微觀角度上,兩個樣本中的表現出較為相似的性狀,更加驗證了兩個樣本均出自於同一組織。
圖2 BlackEnergy與Delphocy樣本基因組對比圖
4.2 深度分析
對兩個樣本分別進行靜態分析,可以發現在兩個樣本的某些用戶函數之間,雖然控制流程圖並不一樣,但是在反編譯後分析功能可以發現,其中的許多函數或者代碼段功能是完全相似的,在整個流程中,可以發現很多類似的代碼段。
圖3 兩組樣本相同功能代碼段對比圖
進一步分析結果如表1所示,所列基因APT28系列樣本與BlackEnergy的共性基因,這些基因在APT28樣本中普遍存在,佔約60%的樣本,這些基因本身複雜度較高,在其他惡意代碼中出現的可能性很低。
表1 基因APT28系列樣本與BlackEnergy的共性基因
結語
當前軟件基因技術發展正走在信息安全服務的十字路口,對於軟件基因的發展需求也逐漸擴大:從對抗“黑客”到對抗“黑產”,再到有效應對有組織的APT攻擊,最後上升到國家戰略安全需求。而軟件基因技術無疑給工控安全系統指出了一條新的解決方案。目前軟件基因的建設,總體上包括對於軟件基因全球網絡安全數據庫的建設,以及以此為基礎的提供服務的惡意代碼基因檢測引擎平臺和安全數據綜合平臺的建設。通過主動探測、被動蜜罐、第三方情報提供等多維度搜集數據,並將其容器化管理。建立統一的數據庫,在其中囊括軟件樣本、基因信息、IP指紋、威脅信息和漏洞信息。為了使軟件基因的安全防護更加契合工控系統,還需要重點蒐集工控設備系統和的軟件漏洞,並基於現有工控系統的惡意代碼和軟件基因數據庫,建立工控安全檢測體系。在軟件基因全球網絡安全數據綜合服務平臺的支持下,提供區域聯網設備分析、網絡空間基礎設施設備查詢、安全事件關聯分析響應、重要網絡安全威脅預警預測等工控安全防護。
作者簡介
劉澤豪(1998-),男,河南人,本科,現就讀於戰略支援部隊信息工程大學,主要研究方向為軟件基因。
董 煜(1998-),男,山東人,本科,現就讀於戰略支援部隊信息工程大學,主要研究方向為軟件基因。
宋智輝(1999-),男,福建人,本科,現就讀於戰略支援部隊信息工程大學,主要研究方向為軟件基因。
參考文獻
[1] 秦安.“震網”升級版襲擊伊朗,網絡毀癱離我們有多遠[J]. 網絡空間安全, 2018, 9 ( 11 ) : 45 - 47.
[2]賈斌. 基於機器學習和統計分析的DDoS攻擊檢測技術研究[D]. 北京郵電大學, 2017.
[3]孟曦. 基於深度學習的惡意代碼分類與聚類技術研究[D]. 戰略支援部隊信息工程大學, 2018.
摘自《工業控制系統信息安全專刊(第六輯)》
關鍵字: 工控 BlackEnergy 樣本
