-------分析-------
恶意程序工作具备两个步骤,分别为:
步骤一,遍历下述进程将其结束并对进程映像文件进行重命名,目的为在攻击过程中使得原有电力开关系统无法恢复正常运转,从而无法阻止步骤二的动作。
D:OIKDevCounterPServiceControl.exe
D:OIKDevCounterPService_PPD.exe
图1 对进程映像文件重命名
步骤二,对A类网段某ip地址与C类网段某些ip地址全部进行连通性测试后,启动IEC 60870-5-104规约对智能断路器进行攻击,其目的为对A类网段某IP地址实际变电站3断路器338501、130202、160921至160925、160927、160928、190202、260202、260901至260912、260914至260916、260918、260920将其断路器置于合闸状态,断路器1101至1104,1201至1204,1301至1304,1401至1404至于分闸状态;变电站1断路器1250至1265与变电站2断路器1101至1108,将其断路器状态置于分闸状态,切断电力输出。
图2 启动IEC 60870-5-104
图3 遭受攻击的设施信息
图4 变电站3被攻击报文
图5 变电站1被攻击报文
图6 变电站2被攻击报文
-------启示-------
电力系统使用冗余热备的方式进行双网切换,保障正常生产的高可用性与业务连续性,采用OT隔离网络与单一的业务系统环境保证其业务网络数据不被篡改,使其具备完整性;构建工单机制指定责任人保证业务系统数据的机密性。
但在上述被分析数据中,可推测的论证,攻击方已经得到了目标方的OT网络分布情况,并使用硬编码的方式进行了针对性攻击,如何最小化的缓解攻击的辐射面是攻防双方的面对此次攻击的至要点,研制应用针对大面积工控风险指令的评估与确权系统,可保证在未来的网络战争中不会因人为的或应用程序的漏洞导致业务系统大面积瘫痪,同时也不影响正常业务系统的灾备与应急处置。
-------IOCs-------
7C05DA2E4612FCA213430B6C93E76B06
Yara:
rule APT_Industroyer_2
{
meta:
description = "Industroyer group"
thread_level = 10
in_the_wild = true
strings:
$a = {68 0E 00 00 00 00 64 01 06 00 01 00 00 00 00 14}
$b = {89 45 FC 83 7D FC 00 7E 58}
$d = {74 36 83 7D F8 ?? 74}
$c = {83 7D FC 00 75 02 EB}
condition:
(uint16(0) == 0x5A4D) and (uint32(uint32(0x3C)) == 0x00004550) and $a and $b and $c and $d
}
原文始发于微信公众号(锐眼安全实验室):网战中的金手指:被网投的电网断路器
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论