Dragonfly病毒來(lái)襲 瞄準(zhǔn)工控系統(tǒng)

　　Havex：狩獵工控設(shè)備

　　在2014年的春天，人們發(fā)現(xiàn)Havex開(kāi)始對(duì)工業(yè)控制系統(tǒng)(IndustrialControlSystems，ICS)有特殊的興趣，該惡意軟件背后的組織使用了一個(gè)創(chuàng)新型木馬來(lái)接近目標(biāo)。攻擊者首先把ICS/SCADA制造商的網(wǎng)站上用來(lái)供用戶下載的相關(guān)軟件感染木馬病毒，當(dāng)用戶下載這些軟件并安裝時(shí)實(shí)現(xiàn)對(duì)目標(biāo)用戶的感染。

　　最初，人們分析Havex的主要目標(biāo)是能源部門(mén)相關(guān)的組織，而且，也確實(shí)發(fā)現(xiàn)曾經(jīng)被用于針對(duì)一些歐洲公司實(shí)施工業(yè)間諜活動(dòng)，并成功入侵1000多家歐洲和北美能源公司。

　　Havex的新變種有能力主動(dòng)掃描用來(lái)控制關(guān)鍵基礎(chǔ)設(shè)施、制造領(lǐng)域的SCADA系統(tǒng)中的OPC服務(wù)器。

　　OPC是一種通信標(biāo)準(zhǔn)，允許基于Windows的SCADA系統(tǒng)之間或者其他工業(yè)控制系統(tǒng)應(yīng)用程序和過(guò)程控制硬件之間進(jìn)行通信。新的Havex變種可以收集存儲(chǔ)在使用OPC標(biāo)準(zhǔn)的被入侵客戶端或服務(wù)端的系統(tǒng)信息和數(shù)據(jù)。

　　FireEye的研究人員在其官方博文中稱，“攻擊者已經(jīng)利用Havex攻擊那些能源部門(mén)一年多了，但暫時(shí)仍然不清楚受影響行業(yè)及工業(yè)控制系統(tǒng)的的受害程度。我們決定更詳盡地檢查Havex的OPC掃描組件，以便更好地理解當(dāng)掃描組件執(zhí)行時(shí)發(fā)生了什么以及可能產(chǎn)生的影響。”

　　該安全公司的研究人員建立了一個(gè)典型的OPC服務(wù)器環(huán)境對(duì)新變種的功能進(jìn)行實(shí)時(shí)測(cè)試。工業(yè)控制系統(tǒng)或SCADA系統(tǒng)包括OPC客戶端軟件以及與其直接交互的OPC服務(wù)端，OPC服務(wù)端與PLC串聯(lián)工作，實(shí)現(xiàn)對(duì)工控硬件的控制。

　　一旦進(jìn)入網(wǎng)絡(luò)后，Havex下載器就會(huì)調(diào)用DLL導(dǎo)出功能，啟動(dòng)對(duì)SCADA網(wǎng)絡(luò)中OPC服務(wù)器的掃描。為了定位潛在的OPC服務(wù)器，該掃描器模塊使用微軟的WNet(Windowsnetworking)功能如WNetOpenEnum和WNetEnumResources，以此枚舉網(wǎng)絡(luò)資源或存在的連接。

　　“掃描器建立了一個(gè)可以通過(guò)WNet服務(wù)進(jìn)行全局訪問(wèn)的服務(wù)器列表，然后檢查這個(gè)服務(wù)器列表以確定是否有向COM組件開(kāi)放的接口?！?/FONT>