OPC服务器
生产线
PLC
OPC客户端
OPC服务器 PLC
3 恶意间谍代码自动安装到OPC客户端
7
黑客采集获取
4
恶意间谍代码通过OPC协议发出非法数据采集 指令
的数据
5 OPC服务器回应数据信息
6
将信息加密并传输到C&C （命令与控制 ）网站
虽然Havex现在只是在收集信息，但是它的攻击路径决定了它完全有能力对工控系统北进京匡行恩网破络科坏技有限责任公司
工控网络安全主题沙龙
保护国家基础设施网络空间安全 工业4.0时代的网络安全专家
北京匡恩网络科技有限责任公司
网络空间安全
互控保
北京匡恩网络科技有限责任公司
匡恩网络 工业控制网络安全现状
北京匡恩网络科技有限责任公司
北京匡恩网络科技有限责任公司
北京匡恩网络科技有限责任公司
典型工业控制网络
企业资源计 划ERP-L4
北京匡恩网络科技有限责任公司
工控网络与互联网和办公网有本质的区别
工控网络的特点决定了基于办公网和互联网设计的信息安全防护手段（如防火墙、病毒查杀等）无法有效地保护工控网络的安全
网络通讯协议不同
大量的工控系统采用私有协议
对系统稳定性要求高
网络安全造成误报等同于攻击
系统运行环境不同
工控系统运行环境相对落后
工控系统中存在的漏洞种类
设备漏洞
协议漏洞
系统漏洞
工业设备实现过程中 ，由于功能设计或代 码编写造成的硬件相 关漏洞，如缓存区溢 出漏洞等。
通信协议栈的实现过程 中，未对相关参数进行 合理限制或未对数据内 容进行合法检验导致的 漏洞。
由于系统组成的复杂 多样性，使得系统因 不确定因素导致不兼 容等系统级漏洞。

ask.az
…
北京匡恩网络科技有限责任公司
HAVEX深度解析
• 通过反向工程Havex程序，我们发现它会枚举局域网中的RPC服务，并寻找可连接的资源 • Havex通过调用IOPCServerList和IOPCServerList2 DCOM接口来枚举目标机器上的OPC服务
在石油石化、交通控制、电力设施、制造业以及核工业等各工业领域中大量使用了工业控制系统
工控系统信息安全尚未纳入生产安全、安全检查的工作范围。
生产工艺设计人员和控制系统设计人员几乎没有任何信息安全意识
系统体系架构缺乏基本的安全保障
系统外联缺乏风险评估和安全保障措施
关键与核心设备安全保障不足
控制系统基础和核心设备严重依赖国外产品和技术
手段更隐蔽 变种更多
由民间组织发起 传播速度更快
APT2.0攻击
传播手段不可预测 传播途径不可控 更容易被恐怖分子获得和利用 全球存在传播介质 背后有巨大的利益驱动 传播中迅速变种
攻击范围更广
针对工控网络 核心功能
攻击手段以工控网络固有 特性为出发点 针对工控网络安全保护缺 陷、盲点而设计 更贴近工控网络的核心业 务本质和协议
攻击手段-水坑攻击（HAVEX）
远程攻击木马套件 （RAT）
植入
被感染Web页面服务程序 （如PHP）
可以在服务器的代码中看到“Havex”这个名字
北京匡恩网络科技有限责任公司
Havex 传播途径
在被入侵厂商的主站上，向用户提供包含恶意代码的升级软件包
利用系统漏洞，直接将恶意代码植入
包含恶意代码的钓鱼邮件
北京匡恩网络科技有限责任公司
• 随后Havex可以连接到OPC服务器，通过调用IOPCBrowse DCOM接口获取敏感信息
北京匡恩网络科技有限责任公司
工业控制网络安全的对抗已经进入APT2.0时代
以Havex为代表的新一代APT攻击将工业控制网络安全的对抗带入了一个新的时代
工控网络安全APT1.0时代
震网病毒 Duqu病毒 Flame病毒
1
纵深防御体系
由传统信息安全厂商提出的， 大多数项目演变为信息安全产 品的简单堆砌，不能完全适应 工业网络安全的特点。
2
由工业控制系统内部 生长的持续性防御体系
适应工业控制网络的特点， 通过基础硬件创新来实现， 低延时，高可靠，可定制化 ，持续更新，简单化的实施 和操作等。
3
以攻为守的国家战略
以美国、以色列为代表，在 国家层面注重攻击技术的研 究、实验、突破和攻防演示 实验室的建设，以攻击技术 的提高，带动防御技术的提
27% 24% 9% 8% 7% 6% 5% 5% 5% 4% 北京匡恩网络科技有限责任公司
1
通过社会工程向工 程人员发送 包含恶意间谍代码 的钓鱼邮件
Havex 攻击路径概述
供应商官方网站
1 篡改供应商网站，在下载软件升级
包中包含恶意间谍软件
2 被攻击用户下被载篡改的升级包
工控 网络
OPC客户端
•修改西门子控制器所连接的变频器 •检测变频器的工作状态
Stuxnet •改变变频器的工作参数 •欺骗控制中心
Duqu
•多模块组合的病毒 •安置后门 •收集工业控制系统信息 •模块方式实施组合式攻击
Flame
•记录语音、屏幕截图、键盘敲击、网络数据 •记录Skype语音通信 •开启蓝牙，下载周围设备的通信录
生产管理级MES-L3
过程控制级PCS-L2
基础自动化级BAS-L1
按控制功能和逻辑分为1-4级网络
• L4（企业资源计划级ERP）；
• L3（生产管理级MES）；
• L2（过程控制级PCS）：过程控制网
和 实时数据库采集网；
• L1（基础自动化级BAS）：由PLC组
成的控制层和SCADA形成的监控层
构成。
北京匡恩网络科技有限责任公司
典型ICS系统结构图
匡恩网络 版权所有 ©
北京匡恩网络科技有限责任公司
工业控制网络安全现实存在的威胁
随着“工业4.0”时代的来临和“两化融合”脚步的加快， 越来越多的网络安全隐患被带入了工业控制系统
外国设备 后门
高级持续性 威胁
（APT）
工业网络病 毒
工控设备 高危漏洞
工控网络安全APT2.0时代
Havex
沙虫病毒 方程式组织
2010
2011
2012
工控网络安全事件数量统计
257
39 2010
140 2011
197 2012
2013
2014上半年 2014下半年 2015
被攻击行业比例统计
石化 23%
电力 20%
核工业 17%
水利 17%
制造 10%
交通 13%
北京匡恩网络科技有限责任公司
更新代价高
无法像办公网或互联网那样通过补丁来解决安全问题
网络结构和行为稳定性高
不同于互联网和办公网的频繁变动
工业控制网络
北京匡恩网络科技有限责任公司
谢谢！后面有彩蛋
北京匡恩网络科技有限责任公司
电话: (010) 5707-6468 传真: (010) 5707-6272 地址：北京市朝阳区阜通东大街1号院 望京SOHO写字楼 塔1 A座 608室 邮编100102
渗透破防
其他伊朗公司 中间目标
“震网病毒”的技术特点
长期步骤1：利用技术和 管理漏洞，多重摆渡 渗透，突破传统物理
隔离
步骤2：利用系统漏洞， 长期潜伏伪装、有条件
时激活
步骤3：充分利用漏洞，实现复杂 分步攻击.
北京匡恩网络科技有限责任公司
Duqu、Flame
面对APT2.0时代的威胁，我们必须打造针对工控网络的新一代防御体系
北京匡恩网络科技有限责任公司
北京匡恩网络科技有限责任公司
匡恩网络 工业控制网络安全认识
北京匡恩网络科技有限责任公司
现有防护手段已经无法防御不断升级的网络攻击
基于信息网络安全的防护手段以及现有的工控网络防护手段在APT2.0时代的攻击面前已经成为“皇帝的新衣”
北京匡恩网北络京科匡技恩有网限络科责技任有公限司责任公司
Havex 幕后的黑客组织
蜻蜓组织 或 活力熊
（Dragonfly Group） （Energetic Bear）
2011被发现
主要攻击目标以能源行业为主
已经发现的前10大主要攻击对象
西班牙 美国 法国 意大利 德国 土耳其 波兰 罗马尼亚 希腊 塞尔维亚
原有S7otbxdx.dll文件
企业管理网 生产控制网 现场控制网
控制系统 离心机正常
损坏
4. 借助WinCC软件，向传西感门器子、控变制送器器P、LC执注行入机恶构意控制程序DB890 5. PLC向离心机发送恶意控制指令，使其超速；向控制室发送欺骗性的北京“匡恩正网络科常技有”限责数任公司
利用漏洞
现在已经有三个厂商的主站被这种方式被攻入，在网站上提供的软件安装包中包含了Havex。我们 怀疑还会有更多类似的情况，但是尚未确定。
这三家公司都是开发面向工业的设备和软件，这些公司的总部分别位于德国、瑞士和比利时。其中 两个供应商为ICS系统提供远程管理软件，第三个供应商为开发高精密工业摄像机及相关软件。
以Havex为代表的APT2.0时代攻击的特点
加密传输 利用多种C&C服务器作为中转站
通过合法指令窃取非法数据 发现版本已经超过88种
更多的版本和变种正在出现
2013年Havex攻击领域主 要为国防、航空行业
2014年Havex主要攻击领 域已经转向能源行业
此病毒正表现出向其它行 业蔓延的强烈趋势
4 高，以攻击威慑力，换取安
全性。
-
09 -
北京匡恩网络科技有限责任公司
工控安全对抗形势及发展
1、各国网军不断扩大， 对抗升级