迈克菲解析首个针对能源部门的恶意软件Stuxnet

  • 时间:
  • 浏览:3

  中国北京,7月28日:最近后后冒出 的Stuxnet 恶意软件是解释迈克菲为哪些地方致力于保护关键基础设施(如:能源部门)免遭攻击的重要例证之一。Stuxnet是首个利用Windows零日漏洞、针对控制系统和公共事业机构发动攻击的恶意软件。Stuxnet 的设计者综合运用了漏洞知识、黑客伎俩以及潜在的物理安全漏洞,来发起针对重要基础设施系统的攻击。

  Stuxnet 攻击运用的高级知识不言而喻“巧妙”,原困 有二。首先,该恶意软件通过利用先前未知的 Windows 漏洞实施攻击和传播。其次,该恶意软件的组件包括一1个 具有rootkit行为、有数字签名的驱动tcp连接池池,对于恶意软件而言,这点很不寻常。

  这两点已被媒体广泛报道。有后后重点谈一谈遭受攻击系统居于的潜在风险、多种不同攻击媒介协同“作战”的错综错综复杂,以及这对能源领域原困 着哪些地方。

  以下是朋友目前了解到的Stuxnet攻击的运行机制:

  用户将 USB 驱动器(或任何移动存储介质)连接到系统;

  已感染的驱动器利用零日Windows Shell Code漏洞实施攻击,运行恶意软件;

  该恶意软件在受攻击系统中进行搜索,试图访问西门子Windows SIMATIC WinCC SCADA 系统数据库。(万幸的是,该恶意软件的一1个 签名证书已被吊销,后后也即将被吊销)

  该恶意软件使用 WinCC 西门子系统中的硬编码密码来访问存储在 WinCC 软件SQL 数据库中的控制系统运行数据。

  什儿 事件有何潜在影响?该恶意软件的攻击目标是西门子SIMATIC WinCC 监控与数据埋点 (SCADA) 系统。该软件可作为公用事业机构工业控制系统的 HMI(人机交互界面)。HMI 以图形最好的办法 管理并显示负责主要发电和输电设施运行的电厂控制系统信息。

  HMI 不间断的监控发电厂控制系统的正常运行和整体运行情况汇报。有些情况汇报下,设置 HMI 的目的是为了对控制系统间的流程加以控制。HMI提供的图形化信息犹如一张地图,累似 于计算机网络的拓扑图。恶意软件机会将每项重要基础设施的“地图”提交给有些恶意实体。

  控制系统安全与 IT 安全

  控制系统与 IT系统之间居于有些不同。IT系统要确保传输的机密性和可用性,而控制系统要保证全天候持续可用性。通常情况汇报下,控制系统和IT 系统在相互独立的网络中运行,并由相互独立的团队进行管理。

  机会控制系统须要做到全天候持续可用,控制系统环境中传统的管理流程变更非常耗时。有后后,补丁tcp连接池池更新、安全保护更新和修补tcp连接池池或有些相关资源通常不不作为优先考虑的事项。在此示例中,西门子在其应用tcp连接池池中使用硬编码密码,以提供对其 SQL 数据库的访问。该公司曾警告更改此类密码有机会危及系统的可用性。有些安全研究人员都曾对西门子什儿 明显违反安全策略的做法提出过异议。有后后,考虑到在该环境中优先保证可用性的需求,上述做法是非常常见的。

  美国能源部 (DOE)、美国国家标准技术局和有些私营机构都曾呼吁弥合 IT 系统和控制系统在安全原则上的鸿沟。通过建立累似 国家能源法规委员会(NERC)的传统IT流程和法规遵从框架,都须要实现上述目标。

  有关控制系统的安全保护需求机会讨论了一段时间,但在得出结论后后,新威胁就冒出 了。让朋友看一看在控制系统领域机会居于了哪些地方:概念证明攻击、意外实例、不满员工的恶作剧、机会掌握的证据很多而无法选泽其真实意图的针对特定实例的攻击。

  2009年一切始于了了改变,4月7日NERC发布了一份公开警告,提示一种来自境外实体的恶意软件攻击已在电网中露出苗头。这而是目前声名大噪的Stuxnet攻击。让朋友假设Stuxnet 意欲破坏电网、并将重要信息传给不法分子,来了解一下Stuxnet攻击的错综错综复杂。

  毋庸置疑,在 Microsoft Windows 中寻找一1个 支持代码执行的零日漏洞须要相当的专业知识,不后后后的例子也屡见不鲜。了解对控制系统的攻击最好的办法 就能明晰什儿 攻击异乎寻常的错综错综复杂。

  攻击者了解通常SCADA 系统会限制通过以太网端口的网络访问和通过USB设备的物理访问。同時 攻击者须要拥有西门子控制系统的相应知识,什儿 知识对于在控制系统领域实施攻击以及找到访问数据库所需的默认硬编码密码均大有帮助。此类攻击的错综错综复杂可见一斑。

  最后有些,攻击者咋样伪造认证凭据?整体而言,这是一1个 异乎寻常的错综复杂攻击。

  咋样抵御 Stuxnet

  咋样有效防范什儿 攻击?迈克菲有几种不同的工具才能有效应对什儿 特定威胁。朋友须要将此威胁分为一1个 不同的组成每项,逐一攻克。

  首先是恶意软件,借助20046 版DAT,迈克菲提供了针对 Stuxnet 蠕虫的检测功能。迈克菲的处置方案不仅才能检测有后后才能清除与什儿 威胁相关的组件。另外,不不签名更新,McAfee Application Control(原名称为Solidcore)产品,即可有效处置与什儿 威胁相关的感染、恶意代码执行和恶意有效负载。

  其次是漏洞,通过迈克菲在2010 年7 月 16 日进行的 Vulnerability Manager 检查,发现了该Windows 漏洞。Vulnerability Manager 都须要发现所有机会遭受什儿 威胁攻击的系统。

  最后有些是攻击媒介。USB 驱动器是主要的感染机制之一,累似 设备在控制系统世界里无孔不入。该攻击媒介才能帮助“攻击”绕过外围安全最好的办法 。累似 McAfee Device Control的安全工具所嵌入的恶意软件防护技术使用户才能将计算机锁定为只接受经批准的USB设备。这利于降低整体安全风险。

  对于能源行业这原困 着哪些地方?什儿 攻击的错综错综复杂以及协同的高级持续性威胁的杀伤力足以令能源和公用事业企业胆战心惊。在迈克菲看来,Stuxnet 攻击移就出了朋友为确保数字世界安全所做努力的重要性。

  有后后,Stuxnet 攻击也凸现了迈克菲最近与美国能源部、国土安完整篇 以及有些公共和私营机构间一系列密切合作最好的办法 者举措的必要性,哪些地方地方举措旨在帮助用户弥合 IT 安全与控制系统安全之间的间隙。