工业控制系统信息安全防护技术 信息化和软件服务业司 01工控事件攻击技术概述 02工控系统安全技术 目录03工控系统防护体系思考 04结束语 智能工业控制网络安全专家 HAVEX病毒 •2014年，安全研究人员发现了一种类似震网病毒的恶意软件，并将其命名为：Havex，这种 恶意软件已被用在很多针对国家基础设施的网络攻击中。 •就像著名的Stuxnet蠕虫病毒，Havex也是被编写来感染SCADA和工控系统中使用的工业控 制软件，这种恶意软件在有效传播之后完全有能力实现禁用水电大坝、使核电站过载、甚至 有能力关闭一个地区和国家的电网。 智能工业控制网络安全专家 HAVEX病毒攻击路径概述 篡改供应商网站，在下载软件升级 1 1包中包含恶意间谍软件 通过社会工程向供应商官方网站 工程人员发送 包含恶意间谍 代码的钓鱼邮件2被攻击用户下被载篡改的升级包 3恶意间谍代码自动安装到OPC客户端7 OPC客户端OPC客户端黑客采集获取 恶意间谍代码通过OPC协议发出非法数据的数据 工控4采集指令 网络 5OPC服务器回应数据信息 OPC服务器OPC服务器 将信息加密并传输到C&C 6（命令与控制）网站 生产线PLCPLC 智能工业控制网络安全专家 Havex传播途径 在被入侵厂商的主站上，向用户提供包含恶意代码的升级软件包 利用系统漏洞，直接将恶意代码植入包含恶意代码的钓鱼邮件 l有三个厂商的主站被这种方式被攻入，在网站上提供的软件安装包中包含了 Havex。这三家公司都是开发面向工业的设备和软件，这些公司的总部分别位于德 国、瑞士和比利时。 l其中两个供应商为ICS系统提供远程管理软件，第三个供应商为开发高精密工业摄 像机及相关软件。 智能工业控制网络安全专家 Havex深度解析 •通过反向Havex程序，我们发现它会枚举局域网中的RPC服务，并寻找可连接的资源 •Havex通过调用IOPCServerList和IOPCServerList2DCOM接口来枚举目标机器上的 OPC服务 •随后Havex可以连接到OPC服务器，通过调用IOPCBrowseDCOM接口获取敏感信息 智能工业控制网络安全专家 方程式组织曝光—2015年信息安全界最重大的新闻 智能工业控制网络安全专家 方程式潜伏二十年，肆虐全球 •从2001年到现在，“方程式组织”已经在伊朗、俄罗斯、叙利亚、阿富汗、 阿拉伯联合大公国、中国（香港）、英国、美国等全球超过30个国家感染了 数千个，甚至上万受害者。 智能工业控制网络安全专家 方程式的攻击目标：以工业控制设施为主 它所瞄准的不是它的目的不是普通多种证据显示，结论：“方程 个人用户，或普病毒的窃取信息、“方程式”跟美式”是一种主要 通的商业用户，经济诈骗，而是破国国家安全局、以工业控制网络 而是一个国家的坏工业生产，制造以色列情报机为目标的病毒武 关键设施、经济社会混乱，乃至直构、以及英国军器。 命脉。接打击军事设施。方具有密切的联 系。 智能工业控制网络安全专家 方程式的攻击目标：以美国敌国为主 欧洲、北美、日 感染“方程式”最 本、澳洲等地区是世界凡是美国和它的盟 多的国家，除了俄罗斯 上经济最发达地区，拥国，感染率都很低， 和中国以外，伊朗、巴 有最多的计算机和最高凡是美国的敌国或美 基斯坦、阿富汗、叙利 的互联网普及率，从概国蓄意打压的国家， 亚等国，都是比较落后 率上而言，这些国家感 的国家，计算机和互联病毒感染率都名列前 染病毒的几率应该也是 网的使用率都很低。茅。 最高的。但实际上，他 们的感染率却是最低 的。 智能工业控制网络安全专家 知己知彼：方程式的工具组件 •“程式组织”发展了极为强大的“军火库”，恶意间谍软件至少包括 EquationLaser、EquationDrug、DoubleFantasy、TripleFantasy、 Fanny、GrayFish等。 智能工业控制网络安全专家 知己知彼：方程式的硬盘感染能力 •“方程式”可以对数十种常 见品牌的硬盘固件进行重新 编程的。包括三星、西数、 希捷、迈拓、东芝以及日立 等公司。这些受到感染的硬 盘使得攻击者可以持续的对 受害者的计算机进行控制和 数据窃取。是首个已知的能 够直接感染硬盘的恶意软 件。 •方程式特别强化了其驻留硬 盘的能力，躲过杀毒软件、 操作系统重装、乃至硬盘格 式化。 智能工业控制网络安全专家 知己知彼：方程式的隔绝网络感染能力 •隔离网络在工控中应用广泛，“方程式”病毒特别擅长攻击隔离 网络，并在隔离网络和互联网之间传送信息。步骤如下： 1病毒会通过网络，感染某台能够上网的电脑A。 2当电脑A插入某个U盘时，