今日頭條
官方微信
官方抖音
資訊頻道摘要:本文首先對(duì)工控安全方面發(fā)生的大事件進(jìn)行了梳理,并在此基礎(chǔ)上簡(jiǎn)要分析了工控安全威脅的特點(diǎn)與趨勢(shì),并對(duì)于其中典型的事例進(jìn)行了基于軟件基因與工控安全的跨界融合分析與探討。一方面,隨著工業(yè)控制系統(tǒng)的通用化、網(wǎng)絡(luò)化、智能化發(fā)展,工業(yè)控制系統(tǒng)信息安全形勢(shì)日漸嚴(yán)峻,傳統(tǒng)的互聯(lián)網(wǎng)信息安全威脅正在向工業(yè)控制系統(tǒng)蔓延;另一方面,針對(duì)關(guān)鍵基礎(chǔ)設(shè)施及其控制系統(tǒng),以竊取敏感信息和破壞關(guān)鍵基礎(chǔ)設(shè)施運(yùn)行為主要目的的攻擊愈演愈烈。在我國(guó)制造業(yè)與互聯(lián)網(wǎng)融合步伐不斷加快的背景下,為工控安全可能存在核心技術(shù)薄弱、安全保障有待加強(qiáng)、體制機(jī)制亟需完善等問題提供一種新的思路與分析手段。
關(guān)鍵詞:軟件基因;工控系統(tǒng);信息安全
Abstract: This paper mainly reviews the major events in the aspect of industrial safety,and on this basis, it briefly analyzes the characteristics and trends of industrial security threats, and analyzes the typical cases based on cross-border integration of software genes and industrial security. On the one hand, with the generalization, networking and intelligent development of industrial control systems, the information security situation of industrial control systems is becoming more and more serious. The traditional Internet information security threats are spreading to industrial control systems. On the other hand, for critical infrastructure and Its control system is increasingly attacked with the primary purpose of stealing sensitive information and disrupting the operation of critical infrastructure. Under the background of the accelerating pace of China's manufacturing industry and Internet convergence, it may provide a new way of thinking and analysis for the problems of industrial security, such as weak core technology, security guarantees, and urgent improvement of institutional mechanisms.
Key words: Software gene; Industrial control system; Information security
1 概述
2016年5月21日,國(guó)務(wù)院印發(fā)《國(guó)務(wù)院關(guān)于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導(dǎo)意見》,意見中指出,當(dāng)前,我國(guó)制造業(yè)與互聯(lián)網(wǎng)融合步伐不斷加快,在激發(fā)“雙創(chuàng)”活力、培育新模式新業(yè)態(tài)、推進(jìn)供給側(cè)結(jié)構(gòu)性改革等方面已初顯成效,但仍存在平臺(tái)支撐不足、核心技術(shù)薄弱、應(yīng)用水平不高、安全保障有待加強(qiáng)、體制機(jī)制亟需完善等問題。
如今,信息化與工業(yè)化深度融合已經(jīng)在其中發(fā)揮了重要作用,深深關(guān)系著國(guó)家的戰(zhàn)略安全。雖然信息化與工業(yè)化的一體化程度不斷提高,但在這個(gè)工業(yè)控制系統(tǒng)“野蠻生長(zhǎng)”的過程中,工控安全的重要性愈發(fā)凸顯。在工控安全產(chǎn)品缺少標(biāo)準(zhǔn)、缺少市場(chǎng)實(shí)踐,用戶需求并不明確的種種客觀條件下,沒有充分考慮到安全性的工業(yè)管理系統(tǒng)屢屢面臨攻擊和威脅,已經(jīng)付出了慘痛的代價(jià)。2010年,震網(wǎng)病毒摧毀了伊朗的核設(shè)施,震驚了世界。這意味著網(wǎng)絡(luò)攻擊從“軟攻擊”階段進(jìn)入“硬摧毀”階段,直接攻擊能源、金融、通信和核設(shè)施等關(guān)鍵系統(tǒng)。
近年來,倍受保護(hù)與隔離的工業(yè)控制系統(tǒng),淘汰了以前的封閉式,逐步采用標(biāo)準(zhǔn)、通用通訊協(xié)議、軟硬件系統(tǒng)并以某種形式連接到公共網(wǎng)絡(luò)中形成工業(yè)互聯(lián)網(wǎng),長(zhǎng)期未經(jīng)歷種種安全威脅的工業(yè)控制系統(tǒng)面對(duì)具有先進(jìn)的攻擊技術(shù)、漏洞信息不對(duì)稱、長(zhǎng)期潛伏、致命性的APT攻擊時(shí)尤顯得脆弱不堪。
2 工業(yè)互聯(lián)網(wǎng)熱點(diǎn)安全事件梳理
近年,工業(yè)互聯(lián)網(wǎng)安全領(lǐng)域大事頻發(fā),熱點(diǎn)升溫,引起了業(yè)界的高度重視。本文選取了幾個(gè)有代表性的惡意代碼,它們?cè)诠I(yè)互聯(lián)網(wǎng)安全領(lǐng)域產(chǎn)生過相當(dāng)重要的影響。
2.1 震網(wǎng)病毒及其變種襲擊伊朗
2010年6月賽門鐵克曝光的“震網(wǎng)”(Stuxnet)病毒,對(duì)伊朗核設(shè)施造成了大面積損毀,核計(jì)劃也因此推遲。震網(wǎng)病毒是世界上第一個(gè)針對(duì)工業(yè)控制系統(tǒng)的病毒,其在癱瘓伊朗核設(shè)施時(shí)所呈現(xiàn)出的隱蔽性、復(fù)雜性、系統(tǒng)性震驚了世界。2018年11月初,伊朗的基礎(chǔ)設(shè)施與戰(zhàn)略網(wǎng)絡(luò)再一次受到了網(wǎng)絡(luò)病毒的攻擊。伊朗軍方有關(guān)人士證實(shí),這次攻擊相比于2010年曾經(jīng)癱瘓伊朗1000多臺(tái)離心機(jī)的“震網(wǎng)”病毒要“更加猛烈、更加先進(jìn)、更加復(fù)雜” [1]。
2019年5月,在震網(wǎng)病毒被曝光的9年后,震網(wǎng)病毒又出現(xiàn)了新的消息。一個(gè)名為“Chronicle”的網(wǎng)絡(luò)安全公司的相關(guān)研究人員透露,他們發(fā)現(xiàn)有相關(guān)證據(jù)表明存在第四方網(wǎng)絡(luò)間諜組織可能參與了震網(wǎng)病毒對(duì)伊朗核設(shè)施的攻擊。
震網(wǎng)病毒就像一個(gè)“潘多拉盒子”,揭開了工業(yè)互聯(lián)網(wǎng)安全領(lǐng)域攻防的序幕,人們的目光逐漸聚焦到這個(gè)新興而又復(fù)雜的環(huán)境之上,它成為一個(gè)經(jīng)典案例,開啟虛擬空間毀癱現(xiàn)實(shí)社會(huì)的大門。而震網(wǎng)病毒的變種再次襲擊伊朗則時(shí)刻警醒著這一領(lǐng)域斗爭(zhēng)的激烈與殘酷。
2.2 WannaCry席卷全球信息系統(tǒng)
2017年5月12日,WannaCry蠕蟲通過MS17-010漏洞在全球范圍大爆發(fā),至少150個(gè)國(guó)家、30萬(wàn)名用戶中招,造成損失達(dá)80億美元。此后WannaCry及其變種已經(jīng)影響到金融、能源、醫(yī)療等眾多行業(yè),造成嚴(yán)重的危機(jī)管理問題。其中較為引人注目的是2018年8月3日,臺(tái)積電遭遇到勒索病毒W(wǎng)annaCry入侵,導(dǎo)致生產(chǎn)線全線停擺,造成損失達(dá)11.5億元。
2.3 Mirai掀起最大規(guī)模 DDoS攻擊
2016年10月21日,美國(guó)域名解析服務(wù)提供商Dyn公司遭受到強(qiáng)力的分布式拒絕服務(wù)攻擊(DDoS),導(dǎo)致美國(guó)東海岸地區(qū)發(fā)生了大面積的網(wǎng)絡(luò)癱瘓。后來證實(shí)DDoS攻擊來自于物聯(lián)網(wǎng)僵尸程序Mirai,通過感染存在漏洞或內(nèi)置默認(rèn)密碼的IoT設(shè)備,攻占了大量物聯(lián)網(wǎng)設(shè)備,全球由其控制的BOT多達(dá)500萬(wàn)以上。
在此后Mirai及其變種的攻擊中,教育、能源、制造業(yè)、娛樂行業(yè)和金融服務(wù)業(yè)等行業(yè)均遭受到不同程度的破壞。其中,一個(gè)名為IOTroop的變種就是出于Mirai而更勝于Mirai的僵尸網(wǎng)絡(luò),IOTroop通過許多與Mirai相同或者相似的惡意程序來感染全球的IoT設(shè)備,進(jìn)而形成大規(guī)模的僵尸網(wǎng)絡(luò),用來針對(duì)醫(yī)院、運(yùn)輸系統(tǒng)以及政治組織發(fā)動(dòng)DDoS攻擊[2]。
2019年8月CheckPointResearch發(fā)布的最新版《全球威脅指數(shù)》報(bào)告稱Mirai物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)的新變種Echobot已對(duì)一系列物聯(lián)網(wǎng)設(shè)備發(fā)起廣泛攻擊。Echobot最早于2019年5月出現(xiàn),有消息稱它利用了50多個(gè)不同的漏洞,已經(jīng)影響到了全球34%的組織。
2.4 BlackEnergy家族肆虐烏克蘭電網(wǎng)
2015年12月23日,烏克蘭電網(wǎng)受到網(wǎng)絡(luò)黑客的攻擊,60座變電站遭到入侵,導(dǎo)致數(shù)十萬(wàn)用戶停電,后來證實(shí),攻擊烏克蘭電網(wǎng)的是BlackEnergy(黑暗力量)的一個(gè)新變種。
自從2007年Arbor網(wǎng)絡(luò)公司首次發(fā)表了關(guān)于BlackEnergy的分析報(bào)告之后,該惡意軟件經(jīng)歷了巨大的演變。最初,BlackEnergy只是一個(gè)較為簡(jiǎn)單的DDoS木馬,如今已經(jīng)演變成了一個(gè)擁有模塊化結(jié)構(gòu)的、整體架構(gòu)十分復(fù)雜的惡意軟件了。
在2015年的斷電事件過去一年之后,2016年12月17日,烏克蘭首都基輔又發(fā)生了一起斷電事件。烏克蘭電網(wǎng)運(yùn)營(yíng)商的網(wǎng)絡(luò)中被植入了一個(gè)名為“Industroyer”的軟件,破壞了基輔附近一個(gè)傳輸站的所有斷路器,從而造成了首都大部分地區(qū)斷電。
3 工業(yè)互聯(lián)網(wǎng)所面臨威脅的特點(diǎn)與趨勢(shì)
3.1 新型惡意軟件層出不窮,防不勝防
自從2010年針對(duì)伊朗核設(shè)施的“震網(wǎng)”病毒曝光,工業(yè)互聯(lián)網(wǎng)攻防大幕開啟以來,越來越多的黑客、組織、公司乃至國(guó)家將目光聚焦到這個(gè)快速發(fā)展的領(lǐng)域,常常是出現(xiàn)一個(gè)病毒之后馬上就會(huì)出現(xiàn)相應(yīng)的變種或者是改良版,并逐漸形成一個(gè)龐大的惡意代碼家族,像是上文已經(jīng)提到的WannaCry、Mirai、BlackEnergy等惡意代碼均形成了各自的家族,類似的還有Conficker、CryptoWall、HackerDefender、Humming等家族。這些惡意代碼往往是在吸取前者成功經(jīng)驗(yàn)的基礎(chǔ)上,對(duì)新的漏洞或者新的技術(shù)加以利用,安全從業(yè)者往往是堵住了一個(gè)漏洞,又有新的惡意軟件冒出來,令人防不勝防。
3.2 攻擊戰(zhàn)場(chǎng)不斷拓展,覆蓋范圍越來越廣
從一開始的針對(duì)核設(shè)施的攻擊,經(jīng)過近10年的發(fā)展,黑客們已經(jīng)將攻擊的觸角伸向了包括教育、醫(yī)療、制造業(yè)、運(yùn)輸系統(tǒng)、基礎(chǔ)設(shè)施、信息系統(tǒng)等各行各業(yè),只要連上網(wǎng),就面臨著黑客的無處不在的威脅。以Mirai為例,自2016年被曝光以來,Mirai及其變種發(fā)動(dòng)了多次攻擊,目標(biāo)涵蓋教育、能源、制造業(yè)、娛樂行業(yè)和金融服務(wù)業(yè)等行業(yè),黑客對(duì)其感興趣的領(lǐng)域,制作出針對(duì)這一領(lǐng)域的惡意軟件。
3.3 業(yè)者安全意識(shí)薄弱,攻擊滲透以點(diǎn)帶面
隨著“互聯(lián)網(wǎng)+”新產(chǎn)業(yè)形態(tài)高速發(fā)展,越來越多的傳統(tǒng)行業(yè)與互聯(lián)網(wǎng)進(jìn)行深度融合,跨界融合創(chuàng)造了巨大的經(jīng)濟(jì)效益和社會(huì)生產(chǎn)力,但隨之而來的是更多的安全漏洞。由于網(wǎng)站管理員缺乏相應(yīng)的安全培訓(xùn),安全意識(shí)薄弱,人為的給“互聯(lián)網(wǎng)+”產(chǎn)業(yè)平添了大量隱患。很多網(wǎng)站管理員使用弱口令作為root賬戶,不及時(shí)給系統(tǒng)升級(jí)補(bǔ)丁,整個(gè)系統(tǒng)在互聯(lián)網(wǎng)世界“裸奔”。與之相對(duì)的,政府、企業(yè)、學(xué)校、醫(yī)院等局域網(wǎng)機(jī)構(gòu)使用大多是充滿漏洞又無法及時(shí)修復(fù)的WindowsXP、Windows7等老舊系統(tǒng),因此也成為網(wǎng)絡(luò)攻擊的重災(zāi)區(qū)。通過一個(gè)漏洞侵入后,惡意代碼可以在毫無阻攔的局域網(wǎng)中肆意傳播。僵尸網(wǎng)絡(luò)Mirai即是通過掃描telnet弱口令登錄,輕易爆破成功,侵入物聯(lián)網(wǎng)設(shè)備,導(dǎo)致推特、亞馬遜以及華爾街日?qǐng)?bào)等數(shù)百個(gè)有影響力的網(wǎng)站無法訪問。
4 工控惡意代碼風(fēng)險(xiǎn)的基因分析
軟件基因是軟件中攜帶功能或承載信息的二進(jìn)制片段,類似于生物體的基因,一個(gè)基因?qū)?yīng)了一段一致執(zhí)行序列。軟件基因分析惡意代碼功能組成的過程中更加關(guān)注與以往樣本之間的遺傳效應(yīng)和同源關(guān)系,這與生物基因分析的目標(biāo)不謀而合,大量的生物基因分析思想與方法可被借鑒。同時(shí),軟件基因?qū)PT樣本的提取結(jié)果是大量的序列片段和圖結(jié)構(gòu),需要構(gòu)建大量的判別模型和度量模型進(jìn)行分析,因此,軟件基因能夠與大數(shù)據(jù)和人工智能的算法完美結(jié)合,并在研究中進(jìn)一步推進(jìn)大數(shù)據(jù)和人工智能技術(shù)的發(fā)展[3]。
當(dāng)前,惡意代碼對(duì)工業(yè)互聯(lián)網(wǎng)威脅日益增強(qiáng),軟件基因提出了一種快速響應(yīng)工業(yè)互聯(lián)網(wǎng)惡意代碼攻擊的方法。通過軟件基因分析,可以對(duì)其它未遭受感染的設(shè)備進(jìn)行檢測(cè)分析和快速響應(yīng)。在此以軟件基因視角對(duì)攻擊烏克蘭國(guó)家電網(wǎng)的BlackEnergy從家族分析、深度分析等方面進(jìn)行剖析解密。
4.1 家族分析
由于此前烏克蘭電網(wǎng)癱瘓事件中的BlackEnergy遭受外界懷疑,指向了國(guó)外某黑客組織,本文利用開發(fā)的軟件基因提取工具對(duì)該樣本進(jìn)行提取分析,首先分析其家族同源性。將BlackEnergy樣本與已曝光的APT28的惡意代碼樣本以及APT29組織的惡意代碼樣本進(jìn)行聚類分析,如圖1所示,從圖中可以看出BlackEnergy樣本與APT28組織的樣本出現(xiàn)在同一個(gè)簇中,這說明其樣本攻擊特點(diǎn)以及結(jié)構(gòu)特點(diǎn)與此組織的樣本相似,很可能屬于同一家族。
圖1 對(duì)BlackEnergy與APT28、APT29聚類分析
基于上述的判斷,在基因組中找到APT28組織進(jìn)行網(wǎng)絡(luò)攻擊的Delphocy,與BlackEnergy的軟件基因組進(jìn)行深度對(duì)比分析對(duì)比它們相同與差異。BlackEnergy與Delphocy樣本在基因譜下的對(duì)比分析圖如圖2所示,圖中左側(cè)縱向刻度表示文件上基因組的位置,中央兩條柱狀圖表示兩個(gè)對(duì)比文件,文件上的橫向橫條表示基因組,橫條的長(zhǎng)度表示此基因組的所含基因數(shù),白色的基因組中基因的數(shù)量相等,相似度為100%,紅色的基因組表示非100%相似的基因組。可以發(fā)現(xiàn)在微觀角度上,兩個(gè)樣本中的表現(xiàn)出較為相似的性狀,更加驗(yàn)證了兩個(gè)樣本均出自于同一組織。
圖2 BlackEnergy與Delphocy樣本基因組對(duì)比圖
4.2 深度分析
對(duì)兩個(gè)樣本分別進(jìn)行靜態(tài)分析,可以發(fā)現(xiàn)在兩個(gè)樣本的某些用戶函數(shù)之間,雖然控制流程圖并不一樣,但是在反編譯后分析功能可以發(fā)現(xiàn),其中的許多函數(shù)或者代碼段功能是完全相似的,在整個(gè)流程中,可以發(fā)現(xiàn)很多類似的代碼段。
圖3 兩組樣本相同功能代碼段對(duì)比圖
進(jìn)一步分析結(jié)果如表1所示,所列基因APT28系列樣本與BlackEnergy的共性基因,這些基因在APT28樣本中普遍存在,占約60%的樣本,這些基因本身復(fù)雜度較高,在其他惡意代碼中出現(xiàn)的可能性很低。
表1 基因 APT28系列樣本與 BlackEnergy的共性基因
5 結(jié)語(yǔ)
當(dāng)前軟件基因技術(shù)發(fā)展正走在信息安全服務(wù)的十字路口,對(duì)于軟件基因的發(fā)展需求也逐漸擴(kuò)大:從對(duì)抗“黑客”到對(duì)抗“黑產(chǎn)”,再到有效應(yīng)對(duì)有組織的APT攻擊,最后上升到國(guó)家戰(zhàn)略安全需求。而軟件基因技術(shù)無疑給工控安全系統(tǒng)指出了一條新的解決方案。目前軟件基因的建設(shè),總體上包括對(duì)于軟件基因全球網(wǎng)絡(luò)安全數(shù)據(jù)庫(kù)的建設(shè),以及以此為基礎(chǔ)的提供服務(wù)的惡意代碼基因檢測(cè)引擎平臺(tái)和安全數(shù)據(jù)綜合平臺(tái)的建設(shè)。通過主動(dòng)探測(cè)、被動(dòng)蜜罐、第三方情報(bào)提供等多維度搜集數(shù)據(jù),并將其容器化管理。建立統(tǒng)一的數(shù)據(jù)庫(kù),在其中囊括軟件樣本、基因信息、IP指紋、威脅信息和漏洞信息。為了使軟件基因的安全防護(hù)更加契合工控系統(tǒng),還需要重點(diǎn)搜集工控設(shè)備系統(tǒng)和的軟件漏洞,并基于現(xiàn)有工控系統(tǒng)的惡意代碼和軟件基因數(shù)據(jù)庫(kù),建立工控安全檢測(cè)體系。在軟件基因全球網(wǎng)絡(luò)安全數(shù)據(jù)綜合服務(wù)平臺(tái)的支持下,提供區(qū)域聯(lián)網(wǎng)設(shè)備分析、網(wǎng)絡(luò)空間基礎(chǔ)設(shè)施設(shè)備查詢、安全事件關(guān)聯(lián)分析響應(yīng)、重要網(wǎng)絡(luò)安全威脅預(yù)警預(yù)測(cè)等工控安全防護(hù)。
作者簡(jiǎn)介
劉澤豪(1998-),男,河南人,本科,現(xiàn)就讀于戰(zhàn)略支援部隊(duì)信息工程大學(xué),主要研究方向?yàn)檐浖颉?/p>
董 煜(1998-),男,山東人,本科,現(xiàn)就讀于戰(zhàn)略支援部隊(duì)信息工程大學(xué),主要研究方向?yàn)檐浖颉?/p>
宋智輝(1999-),男,福建人,本科,現(xiàn)就讀于戰(zhàn)略支援部隊(duì)信息工程大學(xué),主要研究方向?yàn)檐浖颉?/p>
參考文獻(xiàn):
[1] 秦安.“震網(wǎng)”升級(jí)版襲擊伊朗,網(wǎng)絡(luò)毀癱離我們有多遠(yuǎn)[J]. 網(wǎng)絡(luò)空間安全, 2018, 9 ( 11 ) : 45 - 47.
[2]賈斌. 基于機(jī)器學(xué)習(xí)和統(tǒng)計(jì)分析的DDoS攻擊檢測(cè)技術(shù)研究[D]. 北京郵電大學(xué), 2017.
[3]孟曦. 基于深度學(xué)習(xí)的惡意代碼分類與聚類技術(shù)研究[D]. 戰(zhàn)略支援部隊(duì)信息工程大學(xué), 2018.
摘自《工業(yè)控制系統(tǒng)信息安全專刊(第六輯)》
北京市公安局海淀分局備案號(hào):11010802023656號(hào)