10.01.2011 / 12:00 progress of analysis Active MC7 Code Payload-DLL
CPU 417 组态CPU（SDB0, SDB4, SDB7存在于加载内存中）
100% 100%
60% of MC7 Code inactive
1. SZL 0x111包含“6ES7 315-2” 字符串 2. CCRtsLoader.exe处于运行状态 （说明WinCC已启动） 3. 计时19分钟后，触发篡改操作 4. CPU中存在OB1程序模块
3 07.25. 解密并提取病毒的PLC负载代码
4 08.16. 掌握病毒的感染和传播机制、触发条件 以及主要的PLC负载代码；结束初步分
析阶段
5 09.16. 公开发布首个关于PLC负载代码的分析 报告
客户信息收集与解决措施发布
1 07.19. 西门子官方发布关于木马的事故信息
2 07.21. 发布关于病毒的FAQ以及快速防范措施 的建议
工业基础设施面临安全威胁
工业信息安全就是要为制造工厂与 自动化系统提供安全防护
目前，工业基础设施面临的安全威胁 包括：
窃取数据、配方等 破坏制造工厂 由于病毒、恶意软件等导致的工厂停产 操纵数据或应用软件 对系统功能的未经授权的访问
近年来，各种安全事件已经充分说明 当前工业自动化控制系统存在着安全 脆弱性
(s7db_open, s7blk_read, …) • 被动侦察Passive reconnaissance • 隐藏恶意代码块 • 隐藏篡改过程
不活跃
40% Code 60%
S7-315-2
S7-417
Page 15
Dr. Wen Tang
协调PLC上的恶意 MC7代码
时长为5秒的线程:
• 实现状态机 • 协调运行在PLC上的恶意代码 状态机
国政府，在遭到拒绝后，攻击并导致电力中断几分钟
2008年，在美国国土安全局的一次针对电力系统的渗透测
试中，一台发电机在其控制系统收到攻击后被物理损坏 （ video ）
Page 6
Dr. Wen Tang
IT-Security, CT China
工业信息安全事件（2）- 水利与水处理
2000年，一个工程师在应聘澳大利亚的一家污水处理厂被 多次拒绝后，远程侵入该厂的污水处理控制系统，恶意造 成污水处理泵站的故障，导致超过1000立方米的污水被直 接排入河流，导致严重的环境灾难 2006年，黑客从Internet攻破了美国哈里斯堡的一家污水处 理厂的安全措施，在其系统内植入了能够影响污水操作的 恶意程序。 2007年，攻击者侵入加拿大的一个水利SCADA控制系统， 通过安装恶意软件破坏了用于控制从Sacrmento河调水的 控制计算机。
Page 9
Dr. Wen Tang
IT-Security, CT China
Case Study: Stuxnet “震网”
分析过程
1 07.15. 西门子收到首个Stuxnet报告，并立即启 动Industry TaskForce
2 07.19. 西门子CERT成立应急响应小组，并开始 分析病毒样本
10. 检查CPU中MC7-blocks木马的数字完全不受约束
篡改CPU 315-2的用户代码
调用s7blk_write_hook() （下载程序块） SZL 0x111包含“6ES7 417” 字符串
SDB7
1. DB8061 is in CPUTyp OB, DB, FC oder FB
2. successful up1lo. OadB,1 is available in CPU
s7blk_write_hook() （下载程序块） SZL 0x111包含“6ES7 417” 字符串 无法从CPU读取SDB7 无法从CPU读取SDB0 OB1存在且可以从CPU读取 OB1 尚未被感染 无法从CPU读取（第二次尝试）
无条件的取消篡改流程
不能篡改CPU 417的 用户代码
Page 14
Corporate Technology
工业基础设施信息安全
西门子中国研究院 信息安全部
Prof. Dr. 唐文
Copyright © Siemens Ltd. China, Cooperate Technology 2011. All rights reserved.
内容
一 信息安全的新战场－工业基础设施
Stuxnet原理与影响
Stuxnet分析
Stuxnet具有异常精巧的传播与感染机制
• 借助了4个0-day windows漏洞 • 窃取了2个有效的软件证书 • 60000 余行代码
制作该病毒需要非常丰富的SIMATIC 编程 及工业现场的专家知识
影响
感染普通PC数 被感染的安装SIMATIC 的PC数 影响的西门子合法渠道客户数
营商
2003年,美国俄亥俄州Davis-Besse的核电厂控制网络内的 一台计算机被微软的SQL Server蠕虫所感染，导致其安全 监控系统停机将近5小时 2003年，龙泉、政平、鹅城换流站控制系统发现病毒，外
国工程师在系统调试中用笔记本电脑上网所致。
2008年，黑客劫持了南美洲某国的电网控制系统，敲诈该
Page 5
Dr. Wen Tang
IT-Security, CT China
工业信息安全事件（1）- 能源
1994年，美国亚利桑那州Salt River Project (SRP) 被黑客
入侵
2000年，俄罗斯政府声称黑客成功控制了世界上最大的天 然气输送管道网络（属于GAzprom公司） 2001年，黑客侵入了监管加州多数电力传输系统的独立运
IT-Security, CT China
Stuxnet概述
Stuxnet编译模块
病毒载体 传播 目标选择 感染 支撑功能 驻留 伪装隐藏 与C&C服务器通讯 病毒负载
Source: CERT, Dr. Heiko Patzlaff
Page 12
传播
基于手工、人工 可移动USB设备 U盘 被感染的SIMAIC Step7 项目文件
Page 7
Dr. Wen Tang
IT-Security, CT China
工业信息安全事件（3）- 交通
1997年，一个十几岁的少年侵入（纽约）NYNES系统， 干扰了航空与地面通信，导致马萨诸塞州的Worcester机场 关闭6个小时 2003年，CSX运输公司的计算机系统被病毒感染，导致华 盛顿特区的客货运输中断 2003年，19岁的Aaron Caffrey侵入Houston渡口的计算机 系统，导致该系统停机 2008年，一少年攻击了波兰Lodz的城铁系统，用一个电 视遥控器改变轨道扳道器，导致4节车厢出轨
与传统的IT信息安全不同，工业基础设施中 关键ICS系统的安全事件会导致：
系统性能下降，影响系统可用性 关键控制数据被篡改或丧失 失去控制 环境灾难 人员伤亡 公司声誉受损 危及公众生活及国家安全 破坏基础设施 严重的经济损失等
Page 4
Dr. Wen Tang
IT-Security, CT China
二 工业基础设施安全分析 三 Siemens Answers
四 总结
Page 2
Dr. Wen Tang
IT-Security, CT China
工业自动化系统构成了工业基础设施的核心
工业自动化技术
典型的工业自动化设施
工业自动化是在产品制造与服务提供中 采用控制系统与信息技术。目前，工业 自动化在世界经济与日常生活中起到了 越来越重要的作用。 目前，工业自动化控制系统的作用已经 远远超出了传统的制造领域，例如
manipulation is cance3l.leAdbort, because CPU is not
-->
without conditions
manipulated up to now
SDB7 is unchanged
DB8061 is changed
不能篡改CPU 417的用户代码– 除非DB8061存在
5. 最少有一台CP342-5被组态为Central Rack 6. 最少有一台CP卡的工作模式为DP-Slave，其余CP卡的 工作模式为DP-Master 7. 扫描所有类型为2000的SDB模块，查找slave ident numbers为0x7050或0x9500的模块
8. 最少找到33个满足要求的模块（也就是最少需要有34个 DP-Slaves） 9. CPU中存在名字为“DP_RECV“的FC2程序块
IT-Security, CT China
Stuxnet分析 – 破坏操作
1
感染线程运行在Step7 DLL 中，并上传MC7恶意代码到 其他相邻PLC上
WinCC服务器
6
1
5
2
WinCC 客户端
控制线程里的状态机通过恢 复预先记录的频率值来隐藏 自己的篡改操作
4
43
在一个时长为5秒的控制线程里 状态机负责同步相邻PLC的操作
>10000 24 0
Page 11
Stuxnet攻击目标: WinCC服务器
*) BSI: Bundesamt für Sicherheit in der Informationstechnik
Source: Süddeutsche Zeitung Online, 22.9.2010
Dr. Wen Tang
IT-Security, CT China
示例：具备安全防范机制的工业控制网络布局
Stuxnet目标: WinCC服务器
Page 13
Dr. Wen Tang
IT-Security, CT China