作者 | 刘泽豪,董煜,宋智辉 战略支援部队信息工程大学

摘要

本文首先对工控安全方面发生的大事件进行了梳理,并在此基础上简要分析了工控安全威胁的特点与趋势,并对于其中典型的事例进行了基于软件基因与工控安全的跨界融合分析与探讨。一方面,随着工业控制系统的通用化、网络化、智能化发展,工业控制系统信息安全形势日渐严峻,传统的互联网信息安全威胁正在向工业控制系统蔓延;另一方面,针对关键基础设施及其控制系统,以窃取敏感信息和破坏关键基础设施运行为主要目的的攻击愈演愈烈。在我国制造业与互联网融合步伐不断加快的背景下,为工控安全可能存在核心技术薄弱、安全保障有待加强、体制机制亟需完善等问题提供一种新的思路与分析手段。

关键词:软件基因;工控系统;信息安全

概述

2016年5月21日,国务院印发《国务院关于深化制造业与互联网融合发展的指导意见》,意见中指出,当前,我国制造业与互联网融合步伐不断加快,在激发“双创”活力、培育新模式新业态、推进供给侧结构性改革等方面已初显成效,但仍存在平台支撑不足、核心技术薄弱、应用水平不高、安全保障有待加强、体制机制亟需完善等问题。

如今,信息化与工业化深度融合已经在其中发挥了重要作用,深深关系着国家的战略安全。虽然信息化与工业化的一体化程度不断提高,但在这个工业控制系统“野蛮生长”的过程中,工控安全的重要性愈发凸显。在工控安全产品缺少标准、缺少市场实践,用户需求并不明确的种种客观条件下,没有充分考虑到安全性的工业管理系统屡屡面临攻击和威胁,已经付出了惨痛的代价。2010年,震网病毒摧毁了伊朗的核设施,震惊了世界。这意味着网络攻击从“软攻击”阶段进入“硬摧毁”阶段,直接攻击能源、金融、通信和核设施等关键系统。

近年来,倍受保护与隔离的工业控制系统,淘汰了以前的封闭式,逐步采用标准、通用通讯协议、软硬件系统并以某种形式连接到公共网络中形成工业互联网,长期未经历种种安全威胁的工业控制系统面对具有先进的攻击技术、漏洞信息不对称、长期潜伏、致命性的APT攻击时尤显得脆弱不堪。

工业互联网热点安全事件梳理

近年,工业互联网安全领域大事频发,热点升温,引起了业界的高度重视。本文选取了几个有代表性的恶意代码,它们在工业互联网安全领域产生过相当重要的影响。

2.1 震网病毒及其变种袭击伊朗

2010年6月赛门铁克曝光的“震网”(Stuxnet)病毒,对伊朗核设施造成了大面积损毁,核计划也因此推迟。震网病毒是世界上第一个针对工业控制系统的病毒,其在瘫痪伊朗核设施时所呈现出的隐蔽性、复杂性、系统性震惊了世界。2018年11月初,伊朗的基础设施与战略网络再一次受到了网络病毒的攻击。伊朗军方有关人士证实,这次攻击相比于2010年曾经瘫痪伊朗1000多台离心机的“震网”病毒要“更加猛烈、更加先进、更加复杂” [1]。

2019年5月,在震网病毒被曝光的9年后,震网病毒又出现了新的消息。一个名为“Chronicle”的网络安全公司的相关研究人员透露,他们发现有相关证据表明存在第四方网络间谍组织可能参与了震网病毒对伊朗核设施的攻击。

震网病毒就像一个“潘多拉盒子”,揭开了工业互联网安全领域攻防的序幕,人们的目光逐渐聚焦到这个新兴而又复杂的环境之上,它成为一个经典案例,开启虚拟空间毁瘫现实社会的大门。而震网病毒的变种再次袭击伊朗则时刻警醒着这一领域斗争的激烈与残酷。

2.2 WannaCry席卷全球信息系统

2017年5月12日,WannaCry蠕虫通过MS17-010漏洞在全球范围大爆发,至少150个国家、30万名用户中招,造成损失达80亿美元。此后WannaCry及其变种已经影响到金融、能源、医疗等众多行业,造成严重的危机管理问题。其中较为引人注目的是2018年8月3日,台积电遭遇到勒索病毒WannaCry入侵,导致生产线全线停摆,造成损失达11.5亿元。

2.3 Mirai掀起最大规模DDoS攻击

2016年10月21日,美国域名解析服务提供商Dyn公司遭受到强力的分布式拒绝服务攻击(DDoS),导致美国东海岸地区发生了大面积的网络瘫痪。后来证实DDoS攻击来自于物联网僵尸程序Mirai,通过感染存在漏洞或内置默认密码的IoT设备,攻占了大量物联网设备,全球由其控制的BOT多达500万以上。

在此后Mirai及其变种的攻击中,教育、能源、制造业、娱乐行业和金融服务业等行业均遭受到不同程度的破坏。其中,一个名为IOTroop的变种就是出于Mirai而更胜于Mirai的僵尸网络,IOTroop通过许多与Mirai相同或者相似的恶意程序来感染全球的IoT设备,进而形成大规模的僵尸网络,用来针对医院、运输系统以及政治组织发动DDoS攻击[2]。

2019年8月CheckPointResearch发布的最新版《全球威胁指数》报告称Mirai物联网僵尸网络的新变种Echobot已对一系列物联网设备发起广泛攻击。Echobot最早于2019年5月出现,有消息称它利用了50多个不同的漏洞,已经影响到了全球34%的组织。

2.4 BlackEnergy家族肆虐乌克兰电网

2015年12月23日,乌克兰电网受到网络黑客的攻击,60座变电站遭到入侵,导致数十万用户停电,后来证实,攻击乌克兰电网的是BlackEnergy(黑暗力量)的一个新变种。

自从2007年Arbor网络公司首次发表了关于BlackEnergy的分析报告之后,该恶意软件经历了巨大的演变。最初,BlackEnergy只是一个较为简单的DDoS木马,如今已经演变成了一个拥有模块化结构的、整体架构十分复杂的恶意软件了。

在2015年的断电事件过去一年之后,2016年12月17日,乌克兰首都基辅又发生了一起断电事件。乌克兰电网运营商的网络中被植入了一个名为“Industroyer”的软件,破坏了基辅附近一个传输站的所有断路器,从而造成了首都大部分地区断电。

工业互联网所面临威胁的特点与趋势

3.1 新型恶意软件层出不穷,防不胜防

自从2010年针对伊朗核设施的“震网”病毒曝光,工业互联网攻防大幕开启以来,越来越多的黑客、组织、公司乃至国家将目光聚焦到这个快速发展的领域,常常是出现一个病毒之后马上就会出现相应的变种或者是改良版,并逐渐形成一个庞大的恶意代码家族,像是上文已经提到的WannaCry、Mirai、BlackEnergy等恶意代码均形成了各自的家族,类似的还有Conficker、CryptoWall、HackerDefender、Humming等家族。这些恶意代码往往是在吸取前者成功经验的基础上,对新的漏洞或者新的技术加以利用,安全从业者往往是堵住了一个漏洞,又有新的恶意软件冒出来,令人防不胜防。

3.2 攻击战场不断拓展,覆盖范围越来越广

从一开始的针对核设施的攻击,经过近10年的发展,黑客们已经将攻击的触角伸向了包括教育、医疗、制造业、运输系统、基础设施、信息系统等各行各业,只要连上网,就面临着黑客的无处不在的威胁。以Mirai为例,自2016年被曝光以来,Mirai及其变种发动了多次攻击,目标涵盖教育、能源、制造业、娱乐行业和金融服务业等行业,黑客对其感兴趣的领域,制作出针对这一领域的恶意软件。

3.3 业者安全意识薄弱,攻击渗透以点带面

随着“互联网+”新产业形态高速发展,越来越多的传统行业与互联网进行深度融合,跨界融合创造了巨大的经济效益和社会生产力,但随之而来的是更多的安全漏洞。由于网站管理员缺乏相应的安全培训,安全意识薄弱,人为的给“互联网+”产业平添了大量隐患。很多网站管理员使用弱口令作为root账户,不及时给系统升级补丁,整个系统在互联网世界“裸奔”。与之相对的,政府、企业、学校、医院等局域网机构使用大多是充满漏洞又无法及时修复的WindowsXP、Windows7等老旧系统,因此也成为网络攻击的重灾区。通过一个漏洞侵入后,恶意代码可以在毫无阻拦的局域网中肆意传播。僵尸网络Mirai即是通过扫描telnet弱口令登录,轻易爆破成功,侵入物联网设备,导致推特、亚马逊以及华尔街日报等数百个有影响力的网站无法访问。

工控恶意代码风险的基因分析

软件基因是软件中携带功能或承载信息的二进制片段,类似于生物体的基因,一个基因对应了一段一致执行序列。软件基因分析恶意代码功能组成的过程中更加关注与以往样本之间的遗传效应和同源关系,这与生物基因分析的目标不谋而合,大量的生物基因分析思想与方法可被借鉴。同时,软件基因对APT样本的提取结果是大量的序列片段和图结构,需要构建大量的判别模型和度量模型进行分析,因此,软件基因能够与大数据和人工智能的算法完美结合,并在研究中进一步推进大数据和人工智能技术的发展[3]。

当前,恶意代码对工业互联网威胁日益增强,软件基因提出了一种快速响应工业互联网恶意代码攻击的方法。通过软件基因分析,可以对其它未遭受感染的设备进行检测分析和快速响应。在此以软件基因视角对攻击乌克兰国家电网的BlackEnergy从家族分析、深度分析等方面进行剖析解密。

4.1 家族分析

由于此前乌克兰电网瘫痪事件中的BlackEnergy遭受外界怀疑,指向了国外某黑客组织,本文利用开发的软件基因提取工具对该样本进行提取分析,首先分析其家族同源性。将BlackEnergy样本与已曝光的APT28的恶意代码样本以及APT29组织的恶意代码样本进行聚类分析,如图1所示,从图中可以看出BlackEnergy样本与APT28组织的样本出现在同一个簇中,这说明其样本攻击特点以及结构特点与此组织的样本相似,很可能属于同一家族。

图1 对BlackEnergy与APT28、APT29聚类分析

基于上述的判断,在基因组中找到APT28组织进行网络攻击的Delphocy,与BlackEnergy的软件基因组进行深度对比分析对比它们相同与差异。BlackEnergy与Delphocy样本在基因谱下的对比分析图如图2所示,图中左侧纵向刻度表示文件上基因组的位置,中央两条柱状图表示两个对比文件,文件上的横向横条表示基因组,横条的长度表示此基因组的所含基因数,白色的基因组中基因的数量相等,相似度为100%,红色的基因组表示非100%相似的基因组。可以发现在微观角度上,两个样本中的表现出较为相似的性状,更加验证了两个样本均出自于同一组织。

图2 BlackEnergy与Delphocy样本基因组对比图

4.2 深度分析

对两个样本分别进行静态分析,可以发现在两个样本的某些用户函数之间,虽然控制流程图并不一样,但是在反编译后分析功能可以发现,其中的许多函数或者代码段功能是完全相似的,在整个流程中,可以发现很多类似的代码段。

图3 两组样本相同功能代码段对比图

进一步分析结果如表1所示,所列基因APT28系列样本与BlackEnergy的共性基因,这些基因在APT28样本中普遍存在,占约60%的样本,这些基因本身复杂度较高,在其他恶意代码中出现的可能性很低。

表1 基因APT28系列样本与BlackEnergy的共性基因

结语

当前软件基因技术发展正走在信息安全服务的十字路口,对于软件基因的发展需求也逐渐扩大:从对抗“黑客”到对抗“黑产”,再到有效应对有组织的APT攻击,最后上升到国家战略安全需求。而软件基因技术无疑给工控安全系统指出了一条新的解决方案。目前软件基因的建设,总体上包括对于软件基因全球网络安全数据库的建设,以及以此为基础的提供服务的恶意代码基因检测引擎平台和安全数据综合平台的建设。通过主动探测、被动蜜罐、第三方情报提供等多维度搜集数据,并将其容器化管理。建立统一的数据库,在其中囊括软件样本、基因信息、IP指纹、威胁信息和漏洞信息。为了使软件基因的安全防护更加契合工控系统,还需要重点搜集工控设备系统和的软件漏洞,并基于现有工控系统的恶意代码和软件基因数据库,建立工控安全检测体系。在软件基因全球网络安全数据综合服务平台的支持下,提供区域联网设备分析、网络空间基础设施设备查询、安全事件关联分析响应、重要网络安全威胁预警预测等工控安全防护。

刘泽豪(1998-),男,河南人,本科,现就读于战略支援部队信息工程大学,主要研究方向为软件基因。

董煜(1998-),男,山东人,本科,现就读于战略支援部队信息工程大学,主要研究方向为软件基因。

宋智辉(1999-),男,福建人,本科,现就读于战略支援部队信息工程大学,主要研究方向为软件基因。

[1] 秦安.“震网”升级版袭击伊朗,网络毁瘫离我们有多远[J]. 网络空间安全, 2018, 9 ( 11 ) : 45 - 47.

[2]贾斌. 基于机器学习和统计分析的DDoS攻击检测技术研究[D]. 北京邮电大学, 2017.

[3]孟曦. 基于深度学习的恶意代码分类与聚类技术研究[D]. 战略支援部队信息工程大学, 2018.

摘自《工业控制系统信息安全专刊(第六辑)》

声明:本文来自工业安全产业联盟,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。