烏克蘭電力系統(tǒng)BlackEnergy病毒分析與防御

王勇，王鈺茗，張琳，張林鵬

（上海電力學(xué)院計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，上海 200090）

烏克蘭電力系統(tǒng)BlackEnergy病毒分析與防御

王勇，王鈺茗，張琳，張林鵬

（上海電力學(xué)院計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，上海 200090）

2015年12月，烏克蘭電力系統(tǒng)遭到BlackEnergy病毒攻擊，導(dǎo)致伊萬諾—弗蘭科夫斯克州地區(qū)發(fā)生多處同時(shí)停電的事故，該病毒也威脅到我國(guó)電力系統(tǒng)安全。通過獲取不同版本的BlackEnergy病毒樣本，構(gòu)建了分析環(huán)境，發(fā)現(xiàn)了BlackEnergy攻擊方式，并給出了防御方法。

BlackEnergy病毒；病毒分析；入侵防御

1 引言

2015年12月14日，烏克蘭的伊萬諾—弗蘭科夫斯克州地區(qū)[1]發(fā)生多處同時(shí)停電的事件，黑客控制了電力系統(tǒng)，并遠(yuǎn)程關(guān)閉了電網(wǎng)。緊接著，2015年12月27日，烏克蘭電力公司網(wǎng)絡(luò)系統(tǒng)再次遭到黑客攻擊，這是首次由黑客攻擊行為導(dǎo)致的大規(guī)模停電事件，據(jù)統(tǒng)計(jì)，此次影響導(dǎo)致成千上萬的烏克蘭家庭無電可用。烏克蘭的國(guó)家安全局（SBU）表示，這起停電是由黑客以惡意軟件攻擊電網(wǎng)所造成，2016 年 1 月 4 日，安全公司iSight Partners[2]表示烏克蘭電力系統(tǒng)感染了名為BlackEnergy的惡意軟件，并且已取得造成該起大規(guī)模停電的惡意程序代碼。

在此事件發(fā)生后的第一時(shí)間，由哈爾濱安天科技股份有限公司、北京四方繼保自動(dòng)化股份有限公司與復(fù)旦大學(xué)創(chuàng)建的聯(lián)合分析小組正式啟動(dòng)，哈爾濱安天科技股份有限公司[3]對(duì)烏克蘭電力運(yùn)行系統(tǒng)和相關(guān)樣本進(jìn)行分析后指出，這次烏克蘭停電事故是以 BlackEnergy病毒為主要攻擊手段，通過BOTNET 體系進(jìn)行前期的資料采集和環(huán)境預(yù)置的有目的網(wǎng)絡(luò)攻擊事件；將惡意代碼通過電子郵件傳播，通過遠(yuǎn)程控制下達(dá)斷電指令來操控和毀壞SCADA系統(tǒng)；同時(shí)以DDoS服務(wù)電話作為干擾，最終感染了至少3個(gè)地區(qū)[4]電力部門的基礎(chǔ)設(shè)施，導(dǎo)致發(fā)電設(shè)備產(chǎn)生故障，引起公眾恐慌。

就我國(guó)電力系統(tǒng)情況而言，在電力系統(tǒng)中應(yīng)用最為廣泛的SCADA系統(tǒng)多以相對(duì)封閉網(wǎng)絡(luò)為主，通過橫向隔離裝置[4]進(jìn)行單比特的校驗(yàn)和單比特的回送確認(rèn)，像 BlackEnergy這樣的惡意代碼很難滲入到電力二次系統(tǒng)。但是，目前國(guó)內(nèi)的電力系統(tǒng)仍然有許多潛在風(fēng)險(xiǎn)，安全威脅主要來自外部與內(nèi)部2個(gè)方面：1) 外部威脅，如非授權(quán)用戶進(jìn)入控制系統(tǒng)，訪問內(nèi)部資源，造成機(jī)密信息泄露、系統(tǒng)控制權(quán)被奪取等無法挽回的影響；2) 內(nèi)部威脅主要集中在自身故障、授權(quán)用戶對(duì)系統(tǒng)的攻擊等方面。對(duì)此次烏克蘭事件，如果在攻擊者病毒中加入所需要的控制指令或攻擊代碼，只要設(shè)法將病毒帶入系統(tǒng)環(huán)境，那么在訪問文件或者調(diào)用動(dòng)態(tài)鏈接庫時(shí)，就會(huì)觸發(fā)病毒，再加入相關(guān)的定時(shí)器代碼，與本地時(shí)鐘同步后，就可以對(duì)電廠發(fā)起定時(shí)攻擊，危害電力系統(tǒng)的運(yùn)行。

本文通過對(duì) BlackEnergy樣本的分析，簡(jiǎn)述其攻擊過程、惡意破壞行為以及造成的后果，概括了 BlackEnergy的演變過程及每一代BlackEnergy的特點(diǎn)，給出了BlackEnergy的漏洞封堵和防御措施。

2 BlackEnergy病毒簡(jiǎn)介

BlackEnergy的雛形最早形成于2007年，是一種近年來頗為流行的攻擊工具，廣泛用于實(shí)施網(wǎng)絡(luò)犯罪活動(dòng)。

BlackEnergy已經(jīng)形成了僵尸網(wǎng)絡(luò)（botnet）體系，它是采集目標(biāo)節(jié)點(diǎn)相關(guān)信息的有力工具，通過配置build_id[5]的值來甄別受感染的目標(biāo)，再從中選取較為容易攻破的系統(tǒng)進(jìn)行內(nèi)網(wǎng)縱深攻擊。經(jīng)過不斷發(fā)展，BlackEnergy開始支持Rootkit的技術(shù)、組件技術(shù)、遠(yuǎn)程代碼執(zhí)行、采集信息等一系列功能，更具有威脅的是，BlackEnergy可以針對(duì)不同攻擊目標(biāo)，由黑客選擇特定的組件組合使用。其更進(jìn)一步的升級(jí)包括支持代理服務(wù)器、越過用戶賬戶便能夠認(rèn)證（UAC）技術(shù)，以及針對(duì)64 bit Windows系統(tǒng)的簽名驅(qū)動(dòng)等。

2.1 BlackEnergy 1

最早的BlackEnergy主要用于DDoS攻擊。它配有一套完整的生成器[6]，被觸發(fā)后就會(huì)自動(dòng)生成客戶端程序和基于C&C（指揮和控制）服務(wù)器的命令生成腳本。攻擊者使用它建立僵尸網(wǎng)絡(luò)，只需在 C&C服務(wù)器端下達(dá)簡(jiǎn)單指令，僵尸網(wǎng)絡(luò)受害主機(jī)便會(huì)統(tǒng)一地執(zhí)行這一指令。與眾不同的是，這種bot并不與僵尸網(wǎng)絡(luò)IRC通信，也看不到任何從這個(gè)服務(wù)器上發(fā)起的攻擊。不同于傳統(tǒng)的 IRC，這是一個(gè)小（小于 50 kB）二進(jìn)制的Windows平臺(tái)使用的簡(jiǎn)單程序。

2.2 BlackEnergy 2

BlackEnergy 2[5]依然是一個(gè)DDoS類僵尸網(wǎng)絡(luò)程序，但在新的樣本中發(fā)現(xiàn)增加了加密程序，以欺瞞病毒軟件。驅(qū)動(dòng)文件釋放后以名為服務(wù)方式注入系統(tǒng)進(jìn)程，隨后遠(yuǎn)程連接服務(wù)器，下載攻擊插件，根據(jù)配置文件對(duì)目標(biāo)發(fā)起DDoS攻擊。

圖1 BlackEnergy 2 工作原理

任何可以接觸到 BlackEnergy 2的人都可以非常容易地利用它發(fā)起攻擊，而不需要復(fù)雜的部署和管理。黑客利用支持升級(jí)的組件更容易修改和擴(kuò)展其功能，只要遠(yuǎn)程控制中心發(fā)布命令，就可以快速實(shí)現(xiàn)組件的安裝和升級(jí)。

BlackEnergy 2的3個(gè)主要功能組件是SYN、HTTP以及DDoS攻擊組件[5]，樣本將下載后的攻擊組件加載到內(nèi)存中執(zhí)行，實(shí)現(xiàn)對(duì)服務(wù)器的遠(yuǎn)程控制。BlackEnergy利用Windows Installer安裝包，將自身的安裝程序偽裝成名為 msiexec.exe的系統(tǒng)進(jìn)程。此版本的最核心功能位于主DLL組件。該組件可以根據(jù)攻擊者的目標(biāo)定制一個(gè)維護(hù)僵尸網(wǎng)絡(luò)的框架，用于與 C&C進(jìn)行通信，同時(shí)它本身被隱藏在驅(qū)動(dòng)組件中，文件系統(tǒng)無法察覺。但是主DLL組件只提供了一個(gè)最小的命令集合。

表1為烏克蘭病毒變種所支持的命令集合。主DLL組件通過一系列的API調(diào)用和組件進(jìn)行通信，它為插件產(chǎn)生一些函數(shù)調(diào)用，同時(shí)，插件也依賴導(dǎo)出2個(gè)函數(shù)才能工作。

表1 烏克蘭病毒變種所支持的命令集合

2.3 BlackEnergy 3

根據(jù) 2014年 9月 F-Secure[7]發(fā)布的報(bào)告，BlackEnergy又出現(xiàn)了新的變種，BlackEnergy2的代碼幾乎全部被重寫而且采用不同的格式對(duì)配置數(shù)據(jù)進(jìn)行保存。該變種不再使用驅(qū)動(dòng)組件，但目前對(duì)該版本的攻擊事件還比較稀少。

BlackEnergy3 安裝程序的文件名仍為msiexec.exe，它的釋放器會(huì)在前臺(tái)打開一個(gè)看似無害的文件，從而悄然釋放病毒文件并執(zhí)行。曾經(jīng)檢測(cè)到樣本偽裝成一個(gè)Adobe Flash安裝程序，它不使用任何欺騙性的文檔或應(yīng)用層程序，而且重啟后便不再運(yùn)行。此版本實(shí)現(xiàn)了代理服務(wù)器技術(shù)、使用Windows 64 bit環(huán)境下繞過UAC和驅(qū)動(dòng)程序簽名的相關(guān)技術(shù)。隨著不斷地演化，BlackEnergy不僅可以向Windows計(jì)算機(jī)發(fā)起攻擊，還對(duì)基于ARM或MIPS架構(gòu)的路由器和Linux系統(tǒng)造成破壞。

3 BlackEnergy樣本分析

3.1 樣本獲取

在撰寫本文時(shí)，筆者無法準(zhǔn)確得知受害者是如何接收到BlackEnergy惡意軟件的，但可以合理地推測(cè)出是他們?cè)诮邮瞻瑦阂飧郊泥]件時(shí)感染了該惡意軟件。在各方面的努力下，筆者獲取了一些 BlackEnergy樣本，通過對(duì)其進(jìn)行分析和篩選，選擇具有典型代表的BlackEnergy 1樣本和BlackEnergy 3樣本，并對(duì)其分析過程進(jìn)行詳述。BlackEnergy 1樣本帶有一個(gè)構(gòu)建器（builder）應(yīng)用程序，生成感染受害者機(jī)器的客戶端，同時(shí)該工具還配備了服務(wù)器端腳本，用于構(gòu)建命令及控制（C&C）服務(wù)器。這些腳本也提供了一個(gè)接口，攻擊者可以通過接口控制僵尸機(jī)。該工具具有簡(jiǎn)單易用的特點(diǎn)，即任何人只要能接觸到這個(gè)工具，就可以利用它來構(gòu)建自己的僵尸網(wǎng)絡(luò)。

3.2 分析環(huán)境

由于BlackEnergy可以影響Windows 2000、Windows XP、Windows7、Vista等眾多平臺(tái)，本文對(duì)各個(gè)平臺(tái)下的實(shí)驗(yàn)結(jié)果進(jìn)行了對(duì)比和總結(jié)，并簡(jiǎn)要概括具有代表性的 Windows 平臺(tái)下的實(shí)驗(yàn)過程和結(jié)果。為了更好地對(duì) BlackEnergy樣本進(jìn)行監(jiān)測(cè)，本文所涉及的測(cè)試都是在vmware虛擬機(jī)Windows XP、Windows 7 系統(tǒng)上進(jìn)行的。

3.3 BlackEnergy病毒分析

圖2為BlackEnergy病毒1.7版本的生成器界面；修改Web服務(wù)文件，如圖3所示；登錄C&C服務(wù)器，界面如圖4所示；Web服務(wù)器運(yùn)行界面如圖5所示。

圖2 BlackEnergy病毒1.7版本生成器界面

圖3 Web服務(wù)文件

圖4 Web服務(wù)器登錄界面

圖5 Web服務(wù)器運(yùn)行界面

該 Web版本服務(wù)器將受害者機(jī)器相關(guān)信息Base 64編碼后回傳到C&C服務(wù)器中，可以看出Base 64解碼后的內(nèi)容就是服務(wù)器上的配置信息加上一個(gè)上線ID號(hào)，BlackEnergy配置還包含一個(gè)叫build_id的值，該字符串是個(gè)特殊字符串，用來甄別受感染個(gè)體。Base 64加密和解密分別如圖6和圖7所示。

圖6 Base 64加密

圖7 Base 64解密

程序在執(zhí)行后，首先會(huì)查看當(dāng)前系統(tǒng)是否安裝病毒自身。如果沒有，程序運(yùn)行后會(huì)釋放文件到系統(tǒng)目錄下，名為mssrv32.exe，并創(chuàng)建一個(gè)互斥量來確保只運(yùn)行一個(gè)程序，并刪除自身程序，創(chuàng)建新的線程注入到SVCHOST.EXE中，聯(lián)網(wǎng)訪問服務(wù)器頁面。

圖8為釋放文件到系統(tǒng)目錄下并創(chuàng)建互斥量的代碼。在文件的.bdata節(jié)中，存放著Base64編碼數(shù)據(jù)。解碼后得到的是生成器的配置信息。如圖9所示。

圖8 Ollydbg分析結(jié)果1

圖9 Ollydbg分析結(jié)果2

病毒創(chuàng)建一個(gè)名為Microsoft defender update service的服務(wù)，如圖 10所示。使用該名稱來欺騙用戶啟動(dòng)看似正常的系統(tǒng)安全服務(wù)程序，通過該服務(wù)程序啟動(dòng)病毒復(fù)制自身到Windows目錄下的svchost.exe文件，如圖11所示，啟動(dòng)命令行的是svchost.exe -service。

圖10 創(chuàng)建Microsoft security update service服務(wù)

圖11 Windows目錄下的svchost.exe文件

程序運(yùn)行后會(huì)釋放文件到系統(tǒng)目錄下，名為mssrv32.exe，并創(chuàng)建一個(gè)互斥量來確保只運(yùn)行一個(gè)程序，并刪除自身程序，創(chuàng)建新的線程注入到svchost.exe中，聯(lián)網(wǎng)訪問服務(wù)器頁面。如圖12和圖13所示。

河南省旅游資源豐富，近年來旅游產(chǎn)業(yè)發(fā)展迅速。但由于旅游資源、旅游接待設(shè)施等客觀原因，河南省旅游經(jīng)濟(jì)發(fā)展不均衡，城市間的旅游經(jīng)濟(jì)聯(lián)系差異也較大。鄭州市雖作為河南省中心城市，但增長(zhǎng)極作用沒有得到充分發(fā)揮，各城市間旅游經(jīng)濟(jì)聯(lián)系不足，缺乏進(jìn)一步發(fā)展的動(dòng)力。而學(xué)者們對(duì)河南旅游經(jīng)濟(jì)的研究側(cè)重于旅游經(jīng)濟(jì)的演化和發(fā)展對(duì)策[20-21]，對(duì)河南省旅游經(jīng)濟(jì)聯(lián)系的網(wǎng)絡(luò)化探討不足。本文借助萬有引力模型，以旅游經(jīng)濟(jì)聯(lián)系為基礎(chǔ)，運(yùn)用社會(huì)網(wǎng)絡(luò)分析方法，對(duì)2010-2016年河南省18個(gè)城市之間旅游經(jīng)濟(jì)網(wǎng)絡(luò)結(jié)構(gòu)特征及其影響因素進(jìn)行深入探討，以期為河南省旅游業(yè)的持續(xù)協(xié)調(diào)發(fā)展提供理論指導(dǎo)。

然后，該BlackEnergy 客戶端通過HTTP與C和 Cserver溝通。它使用 HTTP POST請(qǐng)求stat.php頁，如圖14所示。POST請(qǐng)求數(shù)據(jù)然后登錄到“統(tǒng)計(jì)”表中，信息發(fā)送的 HTTP POST請(qǐng)求消息包括ID和建立ID參數(shù)。

ID參數(shù)是一個(gè)組合的SMB主機(jī)名和C：被感染機(jī)器的卷信息。DDoS攻擊的 BlackEnergy僵尸網(wǎng)絡(luò)可以啟動(dòng)控制的“洪水”命令的參數(shù)，如下。

icmp：一個(gè)基于icmp ping洪水。

syn：基于TCP syn洪水。

udp：基于udp流量洪水。

http：http GET請(qǐng)求洪水。這個(gè)命令格式的洪水如下。

URI http 〈主機(jī)名〉 〈可選〉，如“洪水 http www.li-da.org index . php”。

圖12 成功創(chuàng)建并設(shè)置為自啟動(dòng)服務(wù)

圖13 釋放文件并創(chuàng)建互斥量

圖14 使用HTTP POST請(qǐng)求stat.php頁

data：一個(gè)基本的二進(jìn)制包洪水。

例如，http攻擊指令http_start，如圖15所示。

圖15 http攻擊指令

stop命令指示的 bot客戶端暫時(shí)停止 DDoS洪水，如圖16所示。

圖16 stop命令指示

die命令指示的bot客戶端刪除自己受感染的系統(tǒng)，它調(diào)用退出當(dāng)前進(jìn)程，終止進(jìn)程并停止所有的DDoS活動(dòng)。如圖17所示。

圖17 die命令指示

圖18為BlackEnergy病毒的樣本，DOC文檔中包含了宏病毒，當(dāng)用戶啟用宏，病毒就會(huì)伴隨著文檔的打開而自動(dòng)進(jìn)行感染系統(tǒng)。

圖18 攜帶宏病毒的Excel文件

本文通過使用 oledump軟件攻擊不運(yùn)行Word提取其中的宏，文件中包含的宏病毒一旦被打開就會(huì)自動(dòng)釋放.exe文件。如圖19和圖20所示。

圖19 oledump提取宏代碼 1

圖20 oledump提取宏代碼 2

如圖21所示，首先通過25個(gè)函數(shù)定義768個(gè)數(shù)組，并在數(shù)組中寫入二進(jìn)制數(shù)據(jù)。

圖21 oledump提取宏代碼 3

宏指令通過循環(huán)將二進(jìn)制數(shù)據(jù)寫入到指定磁盤文件（“vba_macro.exe”），即 BlackEnergy Dropper，此文件隨后通過Shell命令被執(zhí)行。

4 BlackEnergy的攻擊與防御

4.1 漏洞利用

Microsoft Windows OLE（對(duì)象鏈接與嵌入）是美國(guó)微軟公司的一種允許應(yīng)用程序共享數(shù)據(jù)和功能的技術(shù)。其中存在的一個(gè)漏洞CVE-2014-4114[8]，幾乎對(duì)目前所有Windows版本構(gòu)成威脅，該漏洞以郵件附件為傳播手段，在office文檔中嵌入惡意程序。office2007系列組件是一個(gè)主要的漏洞攻擊載體。

iSIGHT Partners廠商[9]宣稱發(fā)現(xiàn)，新的0day被俄羅斯黑客用在針對(duì)北約的名為“SandWorm”的APT攻擊中，該漏洞首次被發(fā)現(xiàn)。經(jīng)過初步分析，CVE-2014-4114漏洞也能被BlackEnergy利用，其觸發(fā)的核心在于 office系列組件加載 Ole對(duì)象，Ole對(duì)象可以通過遠(yuǎn)程下載，在加載 Ole包時(shí)，會(huì)下載2個(gè)文件，一個(gè)為inf文件，一個(gè)為gif（實(shí)質(zhì)上是可執(zhí)行病毒文件）。將下載的gif文件的后綴名改為exe并加入到開機(jī)啟動(dòng)項(xiàng)，此病毒文件就是 BlackEnergy。隨后調(diào)用 C:Win dowsSystem32InfDefaultInstall.exe 執(zhí)行下載下來的inf文件，從而造成了遠(yuǎn)程任意代碼執(zhí)行。

4.2 攻擊步驟

攻擊者首先將惡意代碼嵌入電子郵件的office附件中，入侵目標(biāo)主機(jī)后，利用漏洞CVE-2014-4114迷惑目標(biāo)主機(jī)執(zhí)行病毒exe程序，遠(yuǎn)程連接 C&C服務(wù)器進(jìn)行交互，將目標(biāo)主機(jī)的關(guān)鍵信息發(fā)送給攻擊者。

宏病毒利用工控HMI（人機(jī)界面）遠(yuǎn)程執(zhí)行漏洞（CVE-2014-0751[10]）對(duì)內(nèi)網(wǎng)發(fā)起攻擊，遠(yuǎn)程攻擊者可通過向TCP 10212端口發(fā)送特制報(bào)文利用該漏洞執(zhí)行任意代碼，從而控制內(nèi)網(wǎng)的HMI。

攻擊者將 BlackEnergy嵌入內(nèi)網(wǎng) HMI，BlackEnergy開啟DropbearSSH[11]后門，SSH服務(wù)器連接端口6789。在被感染的內(nèi)網(wǎng)運(yùn)行SSH，攻擊者可以進(jìn)退自如。

攻擊者啟動(dòng)BlackEnergy的KillDisk組件，該組件的主要目的是破壞原有數(shù)據(jù)，用隨機(jī)數(shù)據(jù)覆蓋原文件，并且讓系統(tǒng)無法重啟。

4.3 防御措施

通過對(duì) BlackEnergy和烏克蘭事件各方面的分析可以看出，SCADA系統(tǒng)很大程度上仍受制于所采用操作系統(tǒng)自身的漏洞和缺陷。因此本文從以下幾個(gè)方面對(duì)SCADA系統(tǒng)進(jìn)行安全防護(hù)。雖然過去的工控系統(tǒng)相對(duì)封閉，但是隨著移動(dòng)互聯(lián)的發(fā)展，很多工控的采集點(diǎn)[11]都已經(jīng)暴露在互聯(lián)網(wǎng)上，可以輕易被攻擊，并以此為基礎(chǔ)進(jìn)入管理系統(tǒng)，因此加強(qiáng)系統(tǒng)與互聯(lián)網(wǎng)之間的安全防護(hù)級(jí)別至關(guān)重要，盡量避免把系統(tǒng)任何部分直接暴露在互聯(lián)網(wǎng)上。對(duì)工控系統(tǒng)采用的國(guó)外產(chǎn)品進(jìn)行全面的安全檢查，以避免可被利用的后門存在的風(fēng)險(xiǎn)，同時(shí)監(jiān)測(cè)第三方供貨商提供任何管理員級(jí)別賬戶的動(dòng)作，刪除或重命名系統(tǒng)默認(rèn)賬戶；安裝工控系統(tǒng)專用防火墻，對(duì)各部分通信行為進(jìn)行嚴(yán)格監(jiān)管，禁止外接設(shè)備，使用專用的安全U盤，阻斷潛在的攻擊路徑。關(guān)閉系統(tǒng)中不必要的應(yīng)用和服務(wù)，安排專人對(duì)工控設(shè)備做定時(shí)的升級(jí)和打補(bǔ)丁操作。

從此次烏克蘭電力系統(tǒng)遭受黑客攻擊導(dǎo)致停電的事件中，可以看到如下問題：存在安全防護(hù)體系方面的漏洞，工控系統(tǒng)與網(wǎng)絡(luò)直接相連沒有任何隔離措施；BlackEnergy病毒入侵工控系統(tǒng)后存在一定的潛伏期，但由于網(wǎng)絡(luò)安全監(jiān)控不到位并未發(fā)現(xiàn)任何病毒入侵異常；攻擊者通過發(fā)送偽裝郵件的方式致使烏克蘭方面的工作人員打開了惡意植入程序，雖然在此之前國(guó)際安全機(jī)構(gòu)曾向其發(fā)出過預(yù)警信息，但由于網(wǎng)絡(luò)信息安全防范方面的意識(shí)薄弱，并未得到重視。

5 結(jié)束語

本文概括地介紹了 BlackEnergy病毒的發(fā)展歷程，將 BlackEnergy三代病毒分別進(jìn)行了初步分析，通過對(duì)現(xiàn)有樣本模擬攻擊以及反匯編原理的分析，得出了 BlackEnergy的入侵方法，分析推測(cè)得出烏克蘭事件 BlackEnergy的攻擊過程，以及此病毒對(duì)系統(tǒng)漏洞的利用從而逐步感染電力系統(tǒng)的過程。同時(shí)根據(jù) BlackEnergy的行為特點(diǎn)和烏克蘭事件所造成嚴(yán)重的后果指出了目前SCADA系統(tǒng)在網(wǎng)絡(luò)信息安全方面存在的隱患及不足。同時(shí)也給出了在電力安全工控系統(tǒng)當(dāng)中，針對(duì)網(wǎng)絡(luò)安全方面的一些可防護(hù)入侵措施。

但本文只是在理論分析層面以及BlackEnergy的入侵步驟等基礎(chǔ)方向進(jìn)行了初步分析，所給出的預(yù)防措施也沒有根據(jù)我國(guó)國(guó)情具體考慮在不同地區(qū)不同領(lǐng)域?qū)嶋H的可行度。未來的研究方向是，通過此次烏克蘭事件收集更多可用的信息，找到最新的病毒版本進(jìn)行分析，獲取BlackEnergy病毒的源代碼，并且構(gòu)建一套完整的模擬電力工控系統(tǒng)的體系，進(jìn)行實(shí)際的病毒入侵實(shí)驗(yàn)，在實(shí)際操作過程中確認(rèn)防護(hù)入侵措施的有效性、可行性，從而進(jìn)一步完善電力工控系統(tǒng)的安全性措施。

[1] Brian Prince(2014). Researchers go inside black energy malware[EB/OL]. http://www.securityweek.com/researchers-go-insideblackenergy-malware.

[2] John Hultquist(2014). Sandworm team – targeting SCADA systems[EB/OL]. https://www.isightpartners.com/2014/10/sandwormteam-targeting-scada-systems/.

[3] 安天實(shí)驗(yàn)室. 烏克蘭停電事件啟示錄[J]. 中國(guó)信息安全, 2016(4):48-53. Antiy Lab. Revelation of blackout in Ukraine[J]. China Information Security , 2016(4):48-53.

[4] 綠盟科技(2016). 從烏電事件看我國(guó)電力安全[EB/OL]. http://www. aiweibang.com/yuedu/82697112.html. NSFOCUS.(2016). Power safety in China from Ukraine's power grid incident[EB/OL]. http://www. aiweibang.com/yuedu/ 82697112. html.

[5] 哈爾濱安天科技股份有限公司、北京四方繼保自動(dòng)化股份有限公司、復(fù)旦大學(xué)網(wǎng)絡(luò)空間治理研究中心. 烏克蘭電力系統(tǒng)遭受攻擊事件綜合分析[J]. 信息安全研究, 2016(3):243. Harbin Antiy Tech. Co. Ltd., Beijing Sifang Automation Co. Ltd., Fudan University Network Space Management Research Center. Comprehensive analysis of Ukraine's power grid incident[J].Journal of Information Security Research, 2016(3):243.

[6] 安天實(shí)驗(yàn)室安全研究與應(yīng)急處理中心. BlackEnergy簡(jiǎn)報(bào)[EB/OL]. http://www.antiy.com/response/BlackEnergy/BlackEnergy.html. Antiy CERT. BlackEnergy briefing[EB/OL]. http://www.antiy.com/ response/BlackEnergy/ Black-Energy.html.

[7] F-secure. (2014) BLACKENERGY & QUEDAGH: the convergence of crimeware and APT attacks[EB/OL]. https://www.f-secure.com/ documents/996508/1030745/blackenergy_whitepaper.pdf

[8] CVE通用漏洞與披露(2014). Microsoft Windows OLE 遠(yuǎn)程執(zhí)行代碼漏洞(CNNVD-201410-268)[EB/OL]. http://cve.scap.org.cn/ CVE-2014-4114.html. CVE Common vulnerabilities and disclosures(2014). Windows OLE remote code execution vulnerability (CNNVD-201410-268) [EB/OL]. http://cve.scap.org.cn/CVE-2014-4114.html.

[9] 翰海源安全(2014). Windows任意代碼執(zhí)行0day (CVE-2014-4114)分析報(bào)告[EB/OL]. http://www.freebuf. com/news/46956.html. Nanjing Vulnhunt Information Security Inc. Analysis report of Windows arbitrary code execution of 0day (CVE-2014-4114) [EB/OL]. http://www.freebuf.com/news/46956.html.

[10] CVE通用漏洞與披露(2014). GE intelligent platforms proficy HMI/SCADA-CIMPLICITY 目錄遍歷漏洞(CNNVD-201401-524) [EB/OL]. http://cve.scap.org.cn/CVE-2014-0751.html. CVE Common vulnerabilities and disclosures. GE Intelligent platforms proficy HMI/SCADA-CIMPLICITY directory traversal vulnerability (CNNVD-201401-524) [EB/OL]. http://cve.scap.org. cn/CVE-2014-0751.html.

[11] 王得金. 從烏克蘭電網(wǎng)被攻擊事件看我國(guó)基礎(chǔ)電網(wǎng)面臨的安全風(fēng)險(xiǎn)及處置建議[J]. 中國(guó)信息安全, 2016(3): 91-93. WANG D J. Security risks faced by China's basic power grids and suggestions on disposal from the attacked events in Ukraine power grid[J]. China Information Security, 2016(3): 91-93.

Analysis and defense of the BlackEnergy malware in the Ukrainian electric power system

WANG Yong, WANG Yu-ming, ZHANG Lin, ZHANG Lin-peng

(School of Computer Science and Technology, Shanghai University of Electric Power, Shanghai 200090, China)

Ukrainian electric power system suffered BlackEnergy virus attacks in December 2015, resulting in blackout accident occurred simultaneously at multiple areas in Ivano-Frankovsk region, the malware also pose a threat to the electric power system security in China. Based on different versions of samples of BlackEnergy acquired, the attack mode was analyzed and the prevention of the virus was provided under the proper analysis environment.

BlackEnergy virus, virus analysis, intrusion prevention

TP393

A

10.11959/j.issn.2096-109x.2017.00139

王勇（1973-），男，河南駐馬店人，博士，上海電力學(xué)院教授，主要研究方向?yàn)殡娏ο到y(tǒng)攻防試驗(yàn)床、病毒分析、入侵檢測(cè)。

王鈺茗（1994-），女，山東煙臺(tái)人，上海電力學(xué)院本科生，主要研究方向?yàn)椴《痉治觥?/p>

張琳（1995-），女，黑龍江綏化人，上海電力學(xué)院本科生，主要研究方向?yàn)椴《痉治觥?/p>

張林鵬（1991-），男，河北邢臺(tái)人，上海電力學(xué)院碩士生，主要研究方向?yàn)殡娏ο到y(tǒng)防火墻。

2016-10-14；

2016-12-30。通信作者：王鈺茗，bubugab@163.com

上?？莆胤侥芰ㄔO(shè)基金資助項(xiàng)目（No.15110500700）；上海市浦江人才計(jì)劃基金資助項(xiàng)目(No.16PJ1433100)；上海自然科學(xué)基金資助項(xiàng)目（No.16ZR1436300）；上?？莆行∑髽I(yè)創(chuàng)新基金資助項(xiàng)目（No.1601H1E2600）

Foundation Items: The Project of Shanghai Science and Technology Committee (No.15110500700), Shanghai Pujiang Program (No.16PJ1433100), Shanghai Municipal Natural Science Foundation (No.16ZR1436300), Shanghai Science and Technology Innovation Fund for Small and Medium Enterprises (No.1601H1E2600)