1. 简介

2016年12月17日,在乌克兰的基辅一个变电站，CRASHOVERRIDE恶意软件被发现，这款恶意软件采取类似于STUXNET蠕虫的措施，通过深入掌握工业流程知识以达到破坏操作的目标，它通过利用OPC协议绘制了网络环境地图，然后像HAVEX木马一样选择攻击目标；利用HMIs的库和配置文件进一步熟悉环境，然后像BLACKENERGY 2 那样通过HMIs 连接到互联网连接点；它还使用了在2015年乌克兰电网攻击事件中的攻击手段，即通过理解网格操作，然后利用系统本身对自己发动攻击。

这些懂得汲取以往经验，标志着攻击者在中断操作能力方面的进步，同时也对防御者提出了挑战。防御人员通常以修复系统作为主要防护手段，使用反恶意软件工具来检测特定的样本，并依靠加固网络边界或网络隔离作为一个一劳永逸的解决方案。

但是，攻击者变得越来越聪明，他们通过学习工业系统的流程、编码和级别等相关知识来提升自己的能力，那作为防御者，应该如何尽快适应呢？笔者在此先简单介绍下CRASHOVERRIDE恶意软件关键点和攻击过程，然后给予发电侧的安全思考及应对方式，供防御者参考。

2. 关键点

“CRASHOVERRIDE”是第一个被设计且部署用于电网攻击的恶意软件框架。

“CRASHOVERRIDE”是第四个定制的ICS恶意软件（前三例分别是：STUXNET, BLACKENERGY 2, 和 HAVEX）用来攻击目标，也是第二个被部署用于破坏物理工业过程的恶意软件（Stuxnet是第一个）。

“CRASHOVERRIDE”能够同时在多个站点被利用，后果不是灾难性的，它可能会导致断电几小时，也可能是几天，不过不会连续发生几周或更长时间。

可以确定这款恶意软件曾被用于2016年12月17日的输电变电站的网络攻击中，那次事件导致部分用户无法用电。

“CRASHOVERRIDE”可以通过一个附加的协议模块推广到其他行业。

“CRASHOVERRIDE”框架没有间谍活动，恶意软件的唯一功能就是攻击电网导致停电。

3. 攻击过程

• 后门模块的植入

在后门模块安装之前，通过内部网络使用一个本地代理进行身份认证；
通过身份认证后，利用内部代理打开一个HTTP通道与外部C&C服务器进行连接；
接收外部C&C服务器的命令；
在本地系统上创建一个文件（内容尚未确定）；
重新一个现有的服务并指向后门程序，确保机器重启后恶意软件依然存在。

• 启动攻击服务

加载有效载荷，用于操纵ICS、通过擦除造成破坏；
作为一个服务启动自身，隐蔽性更好；
在执行过程中，加载命令行中定义的有效载荷模块；
启动有效载荷，1小时或2小时之后，启动数据擦除（依赖于变量）。

• 进行数据破坏

清除与系统服务相关的所有注册表项；
覆盖所有的ICS配置文件，包括硬盘驱动器和所有网络驱动器映射，也会特别针对ABB PCM600的配置文件示例；
覆盖一般的windows文件；
使系统无法使用。

4. 发电侧的安全思考

问题一：如果病毒进入了生产控制大区，能否被监测发现？

答：攻击者向生产控制大区植入后门程序，目前无法被检测发现。后门程序进入生产控制大区有以下几个可能：

物理安全：后门程序直接通过社会工程学进入监控室和机房等接入生产控制大区。

网络安全：后门程序通过Internet访问、邮件、远程访问等进入管理信息大区后，通过未有效部署和未有效安全配置的隔离装置或防火墙设备进入生产控制大区。

主机安全：通过U盘或其他存储介质直接接入工程师站，进入生产控制大区。

运维安全：通过感染运维工程师的电脑，在进行系统运维时进入生产控制大区。

而目前，因后门模块十分隐蔽，在以上攻击渠道无有效的监测设备，无法监测到。

问题二：如果感染了病毒，怎样清除病毒？是否要停机？是否需要等专门的查杀工具出来才能查杀？

答：此款恶意软件为模块化产品，后门程序植入后，需接受网络指令下装攻击模块后才能进行有效攻击，属于非独立运行病毒，后门程序较为隐蔽，因此如果已经感染后门程序，无法进行有效清除，需待专门的系统安全检测工具出来后进行检测和删除。但因为后门程序本身无法进行攻击，可以以切断网络通讯链路的方式阻止远程攻击指令的输入，暂无需停机。

问题三：如果针对Linux的版本也出来，将来是否能控制其只影响局部？

答：目前此恶意软件主要针对Windows操作系统并摧毁数据，Linux操作系统上位机可以免于此恶意软件的攻击，但此恶意软件为定向攻击类恶意程序，目的为控制关键设备，能够摧毁发电过程，通过模块化加载后，可以对Linux操作系统进行定向攻击。因此未来，生产控制系统是否被攻击不取决于控制系统上位机采用何种操作系统。

5. 如何应对

定向攻击不是单方面的技术漏洞和利用，不能通过打补丁或调整架构来解决，尽管电网是完全可防御的。北京天地和兴依靠对电力工控系统信息安全深入研究，推出“纵身防御”的整体解决方案，主张应该采取主动防御，比如在工业控制系统（ICS）网络内部进行威胁监测和应急响应，这是主要的确保安全的方法。

加强物理安全的管理，完善机房监控等物理安全相关技术，限制外来人员接触控制系统的机会。

完善生产控制大区与管理信息大区之间的单向隔离装置，加快涉网系统非实时网络防火墙装置升级为单向隔离装置的工作，加强生产控制大区内部系统之间的逻辑隔离，将威胁传播限制为区域化。

完善主机安全防护技术，可以采用“白名单”机制防护策略阻止必备生产监控软件外的进程、程序和服务的植入和启动，并定制化控制U盘等移动介质的使用。

加强和完善运维管理制度及相关控制技术，降低因为外来运维人员将恶意软件植入控制系统的可能性。

继续推进和落实生产控制类信息系统等级保护三级的测评和整改工作，查找安全隐患，包括信息安全设备的安全策略是否生效，并限期整改。

将信息安全列入安全生产考核指标，在全厂范围内组织信息安全培训，提高信息安全防范的意识和能力。

APT（高级持续性威胁）威胁攻击的狩猎需要依赖先进的威胁攻击分析技术，在网络边界部署的防APT攻击检测类设备可以通过分析可能的攻击行为来对攻击者进行监测，可疑行为由信息安全专家进行进一步采集和分析。

完善应急响应机制，建立应急响应事前、事中、事后的处置预案并进行演练和改进。

参考：《解析Crash Override : 当下电网系统面临的安全威胁》

相关阅读

调查报告披露乌克兰电网遭黑客攻击细节
直接控制变电站开关的恶意软件 疑与乌克兰断电有关

作者：北京天地和兴科技有限公司技术总监 向人鹏