工业控制系统信息安全防护技术目 录010203工控事件攻击技术概述工控系统安全技术工控系统防护体系思考04结束语信息化和软件服务业司HAVEX病毒•2014年，安全研究人员发现了一种类似震网病毒的恶意软件，并将其命名为：Havex，这种恶意软件已被用在很多针对国家基础设施的网络攻击中。

•就像著名的Stuxnet蠕虫病毒，Havex也是被编写来感染SCADA和工控系统中使用的工业控制软件，这种恶意软件在有效传播之后完全有能力实现禁用水电大坝、使核电站过载、甚至有能力关闭一个地区和国家的电网。

篡改供应商网站，在下载软件升级包中包含恶意间谍软件被攻击用户下被载篡改的升级包恶意间谍代码自动安装到OPC客户端OPC服务器回应数据信息黑客采集获取的数据恶意间谍代码通过OPC协议发出非法数据采集指令124将信息加密并传输到C&C （命令与控制）网站3576通过社会工程向工程人员发送包含恶意间谍代码的钓鱼邮件1供应商官方网站工控网络OPC客户端OPC客户端OPC服务器OPC服务器生产线PLCPLCHAVEX病毒攻击路径概述Havex 传播途径在被入侵厂商的主站上，向用户提供包含恶意代码的升级软件包利用系统漏洞，直接将恶意代码植入包含恶意代码的钓鱼邮件l有三个厂商的主站被这种方式被攻入，在网站上提供的软件安装包中包含了Havex。

这三家公司都是开发面向工业的设备和软件，这些公司的总部分别位于德国、瑞士和比利时。

l其中两个供应商为ICS系统提供远程管理软件，第三个供应商为开发高精密工业摄像机及相关软件。

Havex 深度解析•通过反向Havex程序，我们发现它会枚举局域网中的RPC服务，并寻找可连接的资源•Havex通过调用IOPCServerList和IOPCServerList2 DCOM接口来枚举目标机器上的OPC服务•随后Havex可以连接到OPC服务器，通过调用IOPCBrowse DCOM接口获取敏感信息方程式组织曝光—2015年信息安全界最重大的新闻方程式潜伏二十年，肆虐全球•从2001年到现在，“方程式组织”已经在伊朗、俄罗斯、叙利亚、阿富汗、阿拉伯联合大公国、中国（香港）、英国、美国等全球超过30个国家感染了数千个，甚至上万受害者。

方程式的攻击目标：以工业控制设施为主它所瞄准的不是个人用户，或普通的商业用户，而是一个国家的关键设施、经济命脉。

它的目的不是普通病毒的窃取信息、经济诈骗，而是破坏工业生产，制造社会混乱，乃至直接打击军事设施。

多种证据显示，“方程式”跟美国国家安全局、以色列情报机构、以及英国军方具有密切的联系。

结论：“方程式”是一种主要以工业控制网络为目标的病毒武器。

方程式的攻击目标：以美国敌国为主欧洲、北美、日本 、澳洲等地区是世界上经济最发达地区，拥有最多的计算机和最高的互联网普及率，从概率上而言，这些国家感染病毒的几率应该也是最高的。

但实际上，他们的感染率却是最低的。

感染“方程式”最多的国家，除了俄罗斯和中国以外，伊朗、巴基斯坦、阿富汗、叙利亚等国，都是比较落后的国家，计算机和互联网的使用率都很低。

凡是美国和它的盟国，感染率都很低，凡是美国的敌国或美国蓄意打压的国家，病毒感染率都名列前茅。

知己知彼：方程式的工具组件•“程式组织”发展了极为强大的“军火库”，恶意间谍软件至少包括EquationLaser、EquationDrug、DoubleFantasy、TripleFantasy、Fanny 、Gray Fish等。

知己知彼：方程式的硬盘感染能力•“方程式”可以对数十种常见品牌的硬盘固件进行重新编程的。

包括三星、西数、希捷、迈拓、东芝以及日立等公司。

这些受到感染的硬盘使得攻击者可以持续的对受害者的计算机进行控制和数据窃取。

是首个已知的能够直接感染硬盘的恶意软件。

•方程式特别强化了其驻留硬盘的能力，躲过杀毒软件、操作系统重装、乃至硬盘格式化。

知己知彼：方程式的隔绝网络感染能力病毒会通过网络，感染某台能够上网的电脑A。

1234•隔离网络在工控中应用广泛， “方程式”病毒特别擅长攻击隔离网络，并在隔离网络和互联网之间传送信息。

步骤如下：567当电脑A插入某个U盘时，这个U盘也会被感染。

当被隔离的电脑B需要拷贝文件，插入被感染的U盘时，电脑B被感染。

病毒会从电脑B以及跟它联网的其他设备中收集信息，保存到U盘上。

当这个U盘又被拿出去，接到电脑A上时，前面收集到的信息，则会通过网络传回病毒的服务器。

服务器会分析通过U盘收集到的电脑B、以及电脑B所在网络的信息，发出进一步的命令，存储在U盘之中。

当U盘再次插入电脑B，则那些命令将会自动执行，执行更有针对性的窃取和破坏行为。

•沙虫攻击主要源自微软Windows对PowerPoint文件的处理错误，影响几乎所有的Windows版本。

通过利用该漏洞可以通过OFFICE文档嵌入恶意程序，造成任意代码执行，从而让黑客完全控制被攻击的电脑。

• 在针对能源企业的事件中，攻击者通过沙虫攻击入侵了目标主机后使用了GE Cimplicity HMI软件的一个安全漏洞进一步控制了现场的HMI主机，植入木马用于窃取数据或进行其他工作。

•通过分析恶意的工程文件（poc）的16进制数据流能够发现恶意嵌入的命令，当用户打开该工程文件时，就会执行恶意嵌入的命令，打开如下的工程文件会在用户界面弹出一个计算器。

•该攻击主要利用了GE Cimplicity HMI软件的一个安全隐患，当打开攻击者恶意构造的.cim或者.bcl文件时将允许在用户HMI主机上执行任意代码以及安装木马文件。

• cim 或者.bcl文件是Cimplicity的工程文件，一个典型的Cimplicity工程显示如下•攻击者在成功利用沙虫病毒成功植入了恶意构造的CIM工程文件，该工程文件植入了特定的攻击指令。

•通过执行上述指令，攻击者下载了恶意程序并伪装成GE Cim软件进程进行隐藏。

至此攻击者已经植入了复数的木马并成功控制了目标主机。

利用漏洞安装木马木马下载GE 恶意工程文件用户打开恶意文件执行恶意代码进一步攻击工控环境•通过引入PLC蠕虫，PLC成为了攻击源，而不只是攻击目标。

受感染的PLC可能通过工控组件提供商或者在组件传输过程中被掺入其中而进入到工控系统中。

•蠕虫之后便可以在工控网络内部进行扩散，且不需要任何标准电脑和服务器。

因此它不会被任何杀毒软件做侦测到。

最新工控攻击技术：PLC蠕虫最新工控攻击技术：PLC Rootkit•阿巴斯和哈舍米实现了基于可加载内核模块 (LKM)的rootkit 。

这种方式可绕过现有基于主机的入侵检测和用于嵌入式系统的控制流完整性工具，比如 Autoscopy Jr 和Doppelganger。

控制系统企业管理网车间监控网现场控制网互联网攻击路径介绍边界攻击控制系统企业管理网车间监控网现场控制网互联网攻击路径介绍介质攻击控制系统企业管理网车间监控网现场控制网互联网攻击路径介绍内部人员（误操作）攻击控制系统企业管理网车间监控网现场控制网互联网攻击路径介绍智能设备引入攻击目 录010203工控事件攻击技术概述工控系统安全防护技术工控系统防护体系思考04工控系统安全解决方案05结束语信息化和软件服务业司•工业防火墙工业防火墙技术是防范工控网络攻击最常用的技术手段，通过在工控网络和信息网络（或互联网）之间设置中间防护系统，形成一个安全屏障，将工控网络和信息网络分割开。

信息化和软件服务业司•工业防火墙功能：•支持多种工业控制协议•支持OPC协议•支持指令集的白名单控制•支持阈值的控制•日志记录及使用统计•其它安全机制•下一代智能防火墙功能：•工业协议智能建模深度解析•智能配置访问控制规则•隐形防攻击工控防火墙下一代智能工控防火墙•抓包分析技术抓包分析技术是从微观上保证网络安全的技术手段，通过捕获网络中传输的数据包并对数据包进行统计和分析，可以从中了解协议的实现情况、是否存在网络攻击等，为制定安全策略及进行安全审计提供直接的依据。

抓包分析技术是实现工业防火墙、工控审计系统、工业协议防护等防护技术和策略的基础。

工控审计系统•工控漏洞扫描技术传统网络安全漏洞挖掘技术可以预先发现网络安全漏洞，提前采取补救措施，从而预防网络安全事故的发生。

网络安全漏洞挖掘技术通常包括漏洞扫描和模拟攻击两种。

•漏洞扫描：通过与目标主机TCP/IP端口建立连接并请求某些服务（如FTP，HTTP等），记录目标主机的应答，从而收集目标系统的安全漏洞信息。

•模拟攻击：通过模拟攻击的方法，如：IP欺骗、缓冲区溢出、DOS攻击等方法对目标系统可能存在的已知安全漏洞进行逐项检查，从而发现系统的安全漏洞所在。

工控漏洞扫描过程：•首先进行端口扫描，获取目标工控设备、工控软件等指纹信息；•通过获取的指纹信息识别目标系统的种类、型号或版本等，将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配，查询相关安全漏洞。

系统漏洞库扫描引擎模块规则匹配库扫描客户端模块5 漏洞数据2 扫描方法3 扫描网络4 主机响应1 扫描命令6 扫描结果输入输入输出输出模糊测试固件分析工业控制系统安全防护技术工控漏洞fuzzing测试：模糊测试正常报文模板变形算法记录入库等待分析发送报文对比特征模型确认潜在漏洞变形后报文集工业控制系统安全防护技术工业控制系统安全防护技术被检测设备工控漏洞发现与挖掘系统客户端测试数据监视数据监视数据点对点测试被检测设备被检测设备控制系统测试数据监视数据监视数据正常数据包工控漏洞发现与挖掘系统•网络隔离技术网络隔离技术的目标是确保隔离有害的攻击，在可信网络之外和保证可信网络内部信息不外泄的前提下，完成网间数据的安全交换。

网络隔离技术相对于防火墙技术的优势在于：防火墙的思路是在保障互联互通的前提下，尽可能安全；而网络隔离的思路是在必须保证安全的前提下，尽可能支持数据交换，如果不安全则断开。

网络隔离技术可以解决以下问题：Ø 操作系统漏洞Ø TCP/IP 漏洞Ø 应用协议漏洞Ø 链路连接漏洞Ø 安全策略漏洞Ø 文件带有病毒/恶意代码等。

工控安全隔离网关•单向导入技术单向导入技术的工作原理类似于“二极管”单向导电的特性，采用硬件架构设计使数据仅能从外网主机（非信任端）传输至内网主机（信任端），中间没有任何形式的反馈信号，所有需要“握手”确认的通信协议在信息单向导入系统中都会失去意义。

•白名单技术运用白名单的思想，通过对工控网络流量、工作站软件运行状态等进行监控，运用大数据技术收集并分析流量数据及工作站状态，建立工控系统及网络正常工作的安全模型，进而构筑工业控制系统的可靠运行环境。

•只有可信任的 设备，才允许接入控制网络；•只有可信任的 命令，才能在网络上传输；•只有可信任的 软件，才能在主机上执行。