PDF《乌克兰电厂攻击事件》

乌克兰电厂攻击事件 分析及防护方案

2 |

24 Content 乌克兰电力公司设备被攻击事件

3 事件基本情况

3 攻击的基本过程

3 危害和影响分析

3 事件应对方案

5 产品自动升级服务

5 极光自助扫描服务

5 反垃圾邮件服务

5 专家团队检测服务

5 木马专杀解决方案

6 BlackEnergy 木马分析

6 执行架构

6 样本的启动方式

7 样本结构

7 详细文件功能

9 XLS

9 vba_macro.

exe

9 FONTCACHE.DAT

10 Droper2.exe

11 Driver.sys

13 SSH_Backdoor.exe(dropbear.exe)

14 Killdisk 组件

15 木马行为分析及攻击定位

21 行为分析

21 文件分析

21 进程分析

21 网络分析

22 注册表分析

22 攻击定位

23 利用技术跟踪

23 威胁情报

23 关于绿盟科技

24 内容摘要

2015 年12 月,乌克兰电力公司设备遭到黑客 攻击,并导致大规模停电事件,已引起公众极大的 恐慌.本文对该事件相关信息及核心样本进行了分 析及验证,并给出应对方案.

1 2015 年12 月23 日,乌克兰的 伊万诺-弗兰科夫斯克州地区 发生过多处同时停电的事件, 攻击者控制了电力系统,并远 程关闭了电网,导致

140 万居 民在黑暗中度过.

2 2015 年12 月27 日,黑客使用 高度破坏性的恶意软件感染了 至少

3 个地区的电力部门基础 设施, 导致发电设备产生故障, 已经引起公众恐慌.

3 2016 年1月7日,绿盟科技威 胁响应中心启动应急响应机 制,追踪事件进展.

4 2016 年1月11 日,绿盟科技安 全服务部门对相关漏洞进行分 析及验证.

5 2016 年1月15 日, 绿盟科技威 胁响应中心发布分析报告 绿盟科技威胁响应中心持续关注乌克兰电厂 攻击事件的进展,如果您需要了解更多信息,请联 系: ? 绿盟科技博客 ? http://blog.nsfocus.net/ ? 绿盟科技威胁响应中心微博 ? http://weibo.com/threatresponse ? 绿盟科技微信号 ? 搜索公众号 绿盟科技

3 |

24 乌克兰电力公司设备被攻击事件

2016 年1月4日,ESET 公司发表文章称,乌克兰境内的多家配电公司设备中监测到的 KillDisk,由此 怀疑使用了 BlackEnergy 后门,攻击者能够利用它来远程访问并控制电力控制系统.由于此事件是针对电 力设备的攻击, 对于国家关键基础设施的安全性具有非比寻常的意义, 故存在巨大的风险. 相关情况如下: 事件基本情况 攻击的基本过程 本次攻击主要针对乌克兰电力部门,攻击者以钓鱼邮件方式,附带木马 XLS 文件,诱惑用户打开这个 文件,从而运行木马,安装 SSH 后门,以便攻击者可以针对目标下发工业控制指令,必要时运行 killdisk 进行系统自毁,延长系统恢复时间. ? 什么是 XLS 就是 Microsoft Excel 工作表,是一种非常常用的电子表格格式,xls 文件可以使用 Microsoft Excel 打开;

? 什么是 SSH SSH 是(Secure SHell protocol) 的简写,便于在不安全网络上提供安全的远程登录及 其它安全网络服务的协议,保护信息传输的安全性.在此次事件中,BlackEnergy 木马放置了一个 后门程序 dropbear.exe,这个后门基于这个协议,在端口

6789 上与攻击者进行联系;

? 什么是 KillDisk 是BlackEnergy 木马中的一个组件,用于损毁目标设备的系统,在此次事件中将有可 能损毁电力设备的系统. 危害和影响分析 在此次事件中, BlackEnergy 木马被用于损毁电力设备或放置后门, 以便攻击者可以远程控制这些设备, 进行更多攻击动作.相关的危害性分析如下: 木马功能越来越强大 该木马从