网战中的金手指:被网投的电网断路器

admin 2022年5月1日13:18:38安全闲碎评论4 views1378字阅读4分35秒阅读模式
在此特别鸣谢某所工控技术大牛和内蒙电厂表弟的技术讨论与指导,分析成果多方共享。

-------背景-------


某两国网络战争已经打响了数月之久,打出的具备瞬间摧毁计算机系统的网络武器已经多枚,据ESET联合CERT-UA联合披露,被命名为Industroyer2具备对高压变电站的攻击能力,下述将对该恶意程序进行分析并提出相关见解。

-------分析-------


恶意程序工作具备两个步骤,分别为:

步骤一,遍历下述进程将其结束并对进程映像文件进行重命名,目的为在攻击过程中使得原有电力开关系统无法恢复正常运转,从而无法阻止步骤二的动作。


D:OIKDevCounterPServiceControl.exeD:OIKDevCounterPService_PPD.exe



网战中的金手指:被网投的电网断路器

图1 对进程映像文件重命名


步骤二,对A类网段某ip地址与C类网段某些ip地址全部进行连通性测试后,启动IEC 60870-5-104规约对智能断路器进行攻击,其目的为对A类网段某IP地址实际变电站3断路器338501、130202、160921至160925、160927160928、190202260202、260901至260912、260914至260916、260918260920将其断路器置于合闸状态,断路器1101至1104,1201至1204,13011304,1401至1404至于分闸状态;变电站1断路器1250至1265与变电站2断路器1101至1108,将其断路器状态置于分闸状态,切断电力输出。


网战中的金手指:被网投的电网断路器

图2 启动IEC 60870-5-104


网战中的金手指:被网投的电网断路器

图3 遭受攻击的设施信息


网战中的金手指:被网投的电网断路器

网战中的金手指:被网投的电网断路器

图4 变电站3被攻击报文


网战中的金手指:被网投的电网断路器

图5 变电站1被攻击报文


网战中的金手指:被网投的电网断路器

图6 变电站2被攻击报文



-------启示-------


电力系统使用冗余热备的方式进行双网切换,保障正常生产的高可用性与业务连续性,采用OT隔离网络与单一的业务系统环境保证其业务网络数据不被篡改,使其具备完整性;构建工单机制指定责任人保证业务系统数据的机密性。


但在上述被分析数据中,可推测的论证,攻击方已经得到了目标方的OT网络分布情况,并使用硬编码的方式进行了针对性攻击,如何最小化的缓解攻击的辐射面是攻防双方的面对此次攻击的至要点,研制应用针对大面积工控风险指令的评估与确权系统,可保证在未来的网络战争中不会因人为的或应用程序的漏洞导致业务系统大面积瘫痪,同时也不影响正常业务系统的灾备与应急处置。


-------IOCs-------


MD5:

7C05DA2E4612FCA213430B6C93E76B06


Yara:

rule APT_Industroyer_2{    meta:        description = "Industroyer group"        thread_level = 10        in_the_wild = true    strings:    $a = {68 0E 00 00 00 00 64 01 06 00 01 00 00 00 00 14}    $b = {89 45 FC 83 7D FC 00 7E 58}    $d = {74 36 83 7D F8 ?? 74}    $c = {83 7D FC 00 75 02 EB}    condition:        (uint16(0) == 0x5A4D) and  (uint32(uint32(0x3C)) == 0x00004550) and $a and $b and $c and $d}



原文始发于微信公众号(锐眼安全实验室):网战中的金手指:被网投的电网断路器

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月1日13:18:38
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  网战中的金手指:被网投的电网断路器 http://cn-sec.com/archives/967267.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: