事件回顧：
2016年1月6日，據(jù)英國(guó)《金融時(shí)報(bào)》報(bào)道，上周烏克蘭電網(wǎng)系統(tǒng)遭黑客攻擊，數(shù)百戶家庭供電被迫中斷，這是有史以來(lái)首次導(dǎo)致停電的網(wǎng)絡(luò)攻擊，此次針對(duì)工控系統(tǒng)的攻擊無(wú)疑具有里程碑意義，引起國(guó)內(nèi)外媒體高度關(guān)注。
據(jù)iSight Partners網(wǎng)絡(luò)間諜情報(bào)負(fù)責(zé)人約翰?胡爾特奎斯特(John Hultquist)表示，本次攻擊來(lái)自俄羅斯黑客組織，使用的惡意軟件被稱為BlackEnergy（黑暗力量）。
Black Energy簡(jiǎn)介

Black Energy（黑暗力量）最早可以追溯到2007年，由俄羅斯地下黑客組織開發(fā)并廣泛使用在BOTNET，主要用于建立僵尸網(wǎng)絡(luò)，對(duì)定向目標(biāo)實(shí)施DDoS攻擊。
此后，Black Energy的攻擊開始轉(zhuǎn)向政治目標(biāo)，在2008年，俄羅斯與格魯吉亞沖突期間黑客組織利用Black Energy曾一度攻擊格魯吉亞政府。自2014年夏季，陸續(xù)從烏克蘭政府及企事業(yè)單位截獲Black Energy樣本，可以預(yù)見其矛頭開始瞄準(zhǔn)烏克蘭政府組織，并主要用于機(jī)密信息竊取和持續(xù)攻擊。
Black Energy有一套完整的生成器，可以生成感染受害主機(jī)的客戶端程序和架構(gòu)在C&C (指揮和控制)服務(wù)器的命令生成腳本。攻擊者利用這套黑客軟件可以方便地建立僵尸網(wǎng)絡(luò)，只需在C&C服務(wù)器下達(dá)簡(jiǎn)單指令，僵尸網(wǎng)絡(luò)受害主機(jī)便統(tǒng)一執(zhí)行其指令。
經(jīng)過(guò)數(shù)年的發(fā)展，Black Energy逐漸加入了Rootkit技術(shù)，插件支持，遠(yuǎn)程代碼執(zhí)行， 數(shù)據(jù)采集等功能，已能夠根據(jù)攻擊目的和對(duì)象，由黑客來(lái)選擇特制插件進(jìn)行APT攻擊。進(jìn)一步升級(jí)，包括支持代理服務(wù)器，繞過(guò)用戶賬戶認(rèn)證（UAC）技術(shù)，以及針對(duì)64位Windows系統(tǒng)的簽名驅(qū)動(dòng)等等。
Black Energy攻擊過(guò)程

BlackEnergy

Black Energy感染流程
上圖展示了Black Energy入侵目標(biāo)主機(jī)的過(guò)程。黑客通過(guò)收集目標(biāo)用戶郵箱，然后向其定向發(fā)送攜帶惡意文件的Spam郵件，疏于安全防范的用戶打開了帶宏病毒的Office文檔（或利用Office漏洞的文檔）即可運(yùn)行Installer（惡意安裝程序），Installer則會(huì)釋放并加載Rootkit內(nèi)核驅(qū)動(dòng)，之后Rootkit使用APC線程注入系統(tǒng)關(guān)鍵進(jìn)程svchost.exe（注入體main.dll），main.dll會(huì)開啟本地網(wǎng)絡(luò)端口，使用HTTPS協(xié)議主動(dòng)連接外網(wǎng)主控服務(wù)器，一旦連接成功，開始等待黑客下發(fā)指令就可以下載其他黑客工具或插件。
相關(guān)樣本分析

此次襲擊事件發(fā)生后，金山安全反病毒實(shí)驗(yàn)室第一時(shí)間從各個(gè)渠道采集到在烏克蘭爆發(fā)的BlackEnergy樣本。
從樣本中分析得到樣本連接惡意IP如下：
5.9.32.230
31.210.111.154
88.198.25.92

事件發(fā)生之后，這3臺(tái)服務(wù)器已經(jīng)無(wú)法正常連接，其中截獲的HTTPS POST請(qǐng)求URL：
https://5.9.32.230/Microsoft/Update/KS1945777.php

https://31.210.111.154/Microsoft/Update/KS081274.php

https://88.198.25.92/fHKfvEhleQ/maincraft/derstatus.php
同時(shí)，實(shí)驗(yàn)室截獲的Black Energy樣本經(jīng)過(guò)驗(yàn)證，均可在32位的XP – 8.1系統(tǒng)上正常運(yùn)行。

惡意樣本偽裝為微軟 USB MDM Driver 驅(qū)動(dòng)文件，但缺乏數(shù)字簽名

驅(qū)動(dòng)被Installer加載后，首先執(zhí)行解壓脫殼，然后創(chuàng)建設(shè)備驅(qū)動(dòng)，名字為：\DosDevice{C9059FFF-1**9-83E8-4F16387C720}，用來(lái)與用戶端（main.dll）通信。

隨后，驅(qū)動(dòng)開始向svchost.exe申請(qǐng)內(nèi)存空間并寫入shellcode，再通過(guò)APC線程注入方式注入svchost.exe。
APC注入的原理是利用當(dāng)線程被喚醒時(shí)APC中的注冊(cè)函數(shù)會(huì)被執(zhí)行的機(jī)制，并以此去執(zhí)行我們的DLL加載代碼，進(jìn)而完成DLL注入的目的。

注入的shellcode與Rootkit代碼，黑客統(tǒng)一使用了通過(guò)壓棧API函數(shù)的HASH值，調(diào)用_GetFuncAddr動(dòng)態(tài)獲取API函數(shù)地址，用來(lái)干擾和對(duì)抗逆向分析

由APC注入的線程會(huì)啟動(dòng)一個(gè)主線程

與Rootkit內(nèi)核模塊建立通信

連接C&C服務(wù)器，不知是不是事件發(fā)生之后，該IP就再也連不上了

上圖是與C&C服務(wù)器通信的控制指令
至此，Black Energy整體攻擊架構(gòu)已經(jīng)呈現(xiàn)出來(lái)，一旦用戶機(jī)器被滲透攻擊成功，黑客便可輕易控制并實(shí)施具體攻擊。也證明了在此次烏克蘭電網(wǎng)斷電事件，Black Energy完全有能力實(shí)施精確打擊。
防御Black Energy

針對(duì)Black Energy的攻擊過(guò)程可以在三個(gè)階段進(jìn)行有效攔截。首先，用戶接收到郵件時(shí)對(duì)郵件內(nèi)包含的所有文件進(jìn)行動(dòng)態(tài)行為鑒定，一旦判定文件具有惡意行為會(huì)將其刪除或隔離。第二，對(duì)系統(tǒng)關(guān)鍵進(jìn)程進(jìn)行監(jiān)控，一旦發(fā)現(xiàn)可疑操作立即阻斷其執(zhí)行。第三，阻斷惡意代碼對(duì)外連接，設(shè)置一個(gè)IP黑白庫(kù)對(duì)系統(tǒng)外連的ip地址進(jìn)行過(guò)濾，攔截與惡意服務(wù)器交互的所有網(wǎng)絡(luò)數(shù)據(jù)包。
總結(jié)

烏克蘭電廠遭襲事件是第一次經(jīng)證實(shí)的計(jì)算機(jī)惡意程序?qū)е峦ｋ姷氖录?#xff0c;證明了通過(guò)網(wǎng)絡(luò)攻擊手段是可以實(shí)現(xiàn)工業(yè)破壞的。雖然針對(duì)工控系統(tǒng)的網(wǎng)絡(luò)安全保護(hù)早已提上日程，目前國(guó)內(nèi)也沒有發(fā)生類似攻擊，但此次事件再次給相關(guān)部門敲響警鐘。未來(lái)安全形勢(shì)必將越來(lái)越嚴(yán)峻，需要相關(guān)各方嚴(yán)格部署網(wǎng)絡(luò)安全措施，加強(qiáng)網(wǎng)絡(luò)安全防范。

總結(jié)

以上是生活随笔為你收集整理的乌克兰电网遭黑客攻击事件之Black Energy深入剖析，从技术角度看待这一事件。的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。