编辑: 迷音桑 | 2014-06-18 |
2 |
24 Content 乌克兰电力公司设备被攻击事件
3 事件基本情况
3 攻击的基本过程
3 危害和影响分析
3 事件应对方案
5 产品自动升级服务
5 极光自助扫描服务
5 反垃圾邮件服务
5 专家团队检测服务
5 木马专杀解决方案
6 BlackEnergy 木马分析
6 执行架构
6 样本的启动方式
7 样本结构
7 详细文件功能
9 XLS
9 vba_macro.
exe
9 FONTCACHE.DAT
10 Droper2.exe
11 Driver.sys
13 SSH_Backdoor.exe(dropbear.exe)
14 Killdisk 组件
15 木马行为分析及攻击定位
21 行为分析
21 文件分析
21 进程分析
21 网络分析
22 注册表分析
22 攻击定位
23 利用技术跟踪
23 威胁情报
23 关于绿盟科技
24 内容摘要
2015 年12 月,乌克兰电力公司设备遭到黑客 攻击,并导致大规模停电事件,已引起公众极大的 恐慌.本文对该事件相关信息及核心样本进行了分 析及验证,并给出应对方案.
1 2015 年12 月23 日,乌克兰的 伊万诺-弗兰科夫斯克州地区 发生过多处同时停电的事件, 攻击者控制了电力系统,并远 程关闭了电网,导致
140 万居 民在黑暗中度过.
2 2015 年12 月27 日,黑客使用 高度破坏性的恶意软件感染了 至少
3 个地区的电力部门基础 设施, 导致发电设备产生故障, 已经引起公众恐慌.
3 2016 年1月7日,绿盟科技威 胁响应中心启动应急响应机 制,追踪事件进展.
4 2016 年1月11 日,绿盟科技安 全服务部门对相关漏洞进行分 析及验证.
5 2016 年1月15 日, 绿盟科技威 胁响应中心发布分析报告 绿盟科技威胁响应中心持续关注乌克兰电厂 攻击事件的进展,如果您需要了解更多信息,请联 系: ? 绿盟科技博客 ? http://blog.nsfocus.net/ ? 绿盟科技威胁响应中心微博 ? http://weibo.com/threatresponse ? 绿盟科技微信号 ? 搜索公众号 绿盟科技
3 |
24 乌克兰电力公司设备被攻击事件
2016 年1月4日,ESET 公司发表文章称,乌克兰境内的多家配电公司设备中监测到的 KillDisk,由此 怀疑使用了 BlackEnergy 后门,攻击者能够利用它来远程访问并控制电力控制系统.由于此事件是针对电 力设备的攻击, 对于国家关键基础设施的安全性具有非比寻常的意义, 故存在巨大的风险. 相关情况如下: 事件基本情况 攻击的基本过程 本次攻击主要针对乌克兰电力部门,攻击者以钓鱼邮件方式,附带木马 XLS 文件,诱惑用户打开这个 文件,从而运行木马,安装 SSH 后门,以便攻击者可以针对目标下发工业控制指令,必要时运行 killdisk 进行系统自毁,延长系统恢复时间. ? 什么是 XLS 就是 Microsoft Excel 工作表,是一种非常常用的电子表格格式,xls 文件可以使用 Microsoft Excel 打开;
? 什么是 SSH SSH 是(Secure SHell protocol) 的简写,便于在不安全网络上提供安全的远程登录及 其它安全网络服务的协议,保护信息传输的安全性.在此次事件中,BlackEnergy 木马放置了一个 后门程序 dropbear.exe,这个后门基于这个协议,在端口
6789 上与攻击者进行联系;
? 什么是 KillDisk 是BlackEnergy 木马中的一个组件,用于损毁目标设备的系统,在此次事件中将有可 能损毁电力设备的系统. 危害和影响分析 在此次事件中, BlackEnergy 木马被用于损毁电力设备或放置后门, 以便攻击者可以远程控制这些设备, 进行更多攻击动作.相关的危害性分析如下: 木马功能越来越强大 该木马从