據報道，2015年12月23日，烏克蘭至少三個(gè)區域的電力系統遭到網(wǎng)絡(luò )攻擊。本次攻擊造成了伊萬(wàn)諾－弗蘭科夫斯克地區部分變電站的控制系統遭到破壞，以致大面積停電，電力中斷3至6小時(shí)，約140萬(wàn)人受到影響。針對此事件，我國工信部和國家電網(wǎng)公司都專(zhuān)門(mén)下發(fā)文件，對工業(yè)控制系統進(jìn)行風(fēng)險提示并要求相關(guān)單位加強安全防范措施。

啟明星辰工業(yè)防火墻快速應對

啟明星辰經(jīng)過(guò)對病毒樣本分析，發(fā)現本次攻擊過(guò)程開(kāi)始于一個(gè)帶有惡意宏的XLS文件，黑客通過(guò)釣魚(yú)手段將此惡意文件發(fā)送給攻擊目標，XLS文件運行后啟動(dòng)惡意宏代碼執行，宏代碼會(huì )在臨時(shí)文件目錄下釋放文件vba_macro.exe，這便是釋放器。他通過(guò)釋放BlackEnergy來(lái)執行后續操作，如與控制端通信以及下載KillDisk、SSH后門(mén)等一系列組件來(lái)執行攻擊、刪除磁盤(pán)文件等。

BlackEnergy為了隱藏網(wǎng)絡(luò )通信信息，躲避檢測，惡意代碼對上線(xiàn)信息進(jìn)行了Base64編碼，當C&C返回響應時(shí)，使用上線(xiàn)請求中的b_id作為密鑰進(jìn)行了加密。這給病毒的防護造成了很大困難，一般的工業(yè)防火墻對此無(wú)能為力，甚至是通用IDS對其檢測也有難度。

啟明星辰工業(yè)防火墻團隊在設計產(chǎn)品之初，就對工業(yè)現場(chǎng)環(huán)境進(jìn)行了深入調研，密切關(guān)注工業(yè)化和信息化兩化融合中惡意代碼通過(guò)傳統IT網(wǎng)絡(luò )對工業(yè)設備的攻擊，并在工業(yè)防火墻集成了更加先進(jìn)靈活的入侵檢測引擎，在應對這次攻擊的過(guò)程中，通過(guò)該引擎可以直接處理base64編碼后的數據，對BlackEnergy上線(xiàn)通訊特征進(jìn)行監測，并通過(guò)豐富的數據提取能力實(shí)現快速發(fā)現、定位感染主機。用戶(hù)只需在防火墻中通過(guò)加入啟明星辰提供的特征，無(wú)需定制開(kāi)發(fā)即可防護此類(lèi)攻擊。第一步添加BlackEnergy特征：

然后啟用自定義規則：

查看攔截效果：

傳統網(wǎng)絡(luò )安全設備和大部分市面上的工控防火墻對此類(lèi)安全威脅并沒(méi)有好的應對辦法。一方面是傳統防火墻主要面向IT網(wǎng)絡(luò )，對標準工業(yè)協(xié)議如Modbus、DNP3、EtherNet/IP、OPC等并不支持；二是大部分工業(yè)防火墻廠(chǎng)商目前處于起步階段，對工業(yè)控制系統攻防技術(shù)的研究還不夠深入，尤其是對于工業(yè)漏洞庫的積累仍顯不足；三是隨著(zhù)兩化融合的推進(jìn)，工業(yè)網(wǎng)絡(luò )面臨著(zhù)傳統攻擊日益嚴峻的威脅，一些國外大型工控防火墻廠(chǎng)商仍沒(méi)有工業(yè)入侵防護功能。截止發(fā)稿前，尚未發(fā)現其他國內工業(yè)防護墻廠(chǎng)商可以對此病毒進(jìn)行防護的報道。

啟明星辰工業(yè)防火墻防護特性

啟明星辰工業(yè)防火墻從設計之初就全面研究工業(yè)環(huán)境下的安全需求，產(chǎn)品除具備工控防火墻的主流功能外，在安全防護方面最大的特點(diǎn)是集成了工業(yè)入侵防護引擎，并內置了工業(yè)漏洞庫。產(chǎn)品預置9大類(lèi)上百種工業(yè)場(chǎng)景，對Modbus、IEC104、EtherNet/IP、SIEMENS S7、SCADA系統等進(jìn)行入侵檢測防護。用戶(hù)可以根據自己的情況選擇適用場(chǎng)景進(jìn)行快速部署。通過(guò)該引擎，可以對工業(yè)協(xié)議和內容進(jìn)行合規性檢查，阻斷黑客對工控設備的掃描行為，并對SCADA緩沖區溢出和目錄遍歷等攻擊進(jìn)行防護。該特征庫依托啟明星辰ADLab等部門(mén)研究成果，可以提供最新最全的工控漏洞特征。

啟明星辰工業(yè)防火墻的入侵防護引擎是一個(gè)開(kāi)放、可擴展的引擎，能夠靈活的根據企業(yè)內部的特定工控設備或協(xié)議實(shí)施針對性的防護策略，無(wú)需長(cháng)時(shí)間的定制開(kāi)發(fā)，在用戶(hù)現場(chǎng)即可快速動(dòng)態(tài)制定防護規則，來(lái)深入的檢測工控協(xié)議內容。以本次烏克蘭電力攻擊事件為例，啟明星辰工業(yè)防火墻只需通過(guò)添加幾條BlackEnergy等的行為特征，就可以對該類(lèi)攻擊進(jìn)行有效防護。

啟明星辰工業(yè)防火墻利用該檢測引擎，結合流量自學(xué)習功能，可以對用戶(hù)私有協(xié)議進(jìn)行快速學(xué)習，并進(jìn)行流量可視化展現，幫助工業(yè)用戶(hù)迅速了解業(yè)務(wù)流量信息，進(jìn)而制定更加符合實(shí)際情況的安全策略。后續我們會(huì )對該特性做詳細介紹，敬請關(guān)注。

關(guān)于啟明星辰工業(yè)防火墻

啟明星辰工業(yè)防火墻是業(yè)界領(lǐng)先的工業(yè)安全網(wǎng)關(guān)產(chǎn)品，采用專(zhuān)業(yè)硬件以適應工業(yè)現場(chǎng)嚴苛的物理環(huán)境，運行專(zhuān)業(yè)安全軟件針對工業(yè)設備進(jìn)行防護，可以對主流工控協(xié)議進(jìn)行細粒度訪(fǎng)問(wèn)控制，支持對工業(yè)攻擊行為進(jìn)行深入檢測防護；能夠對工業(yè)網(wǎng)絡(luò )流量進(jìn)行快速學(xué)習，幫助用戶(hù)制定契合實(shí)際的安全訪(fǎng)問(wèn)策略。依托公司20年的安全知識積累，產(chǎn)品穩定可靠，擴展性強，廣泛適用于電力、石化、交通、煙草、水利、關(guān)鍵制造等行業(yè)。