电力系统病毒攻击与防御-2017第六届工业控制系统信息安全峰会.pptVIP

电力系统病毒攻击与防御 王 勇 上海电力学院 信息安全系 目 录 1 电力系统的安全漏洞 2 计算机病毒的攻击方式 主要的防御措施 3 西门子S7-300 CPU 拒绝服务漏洞 2016-06-12 影响到的西门子 S7-300 CPU 版本号 S7-300 CPU 6ES7 315-2EH14-0AB0 广泛使用 西门子补丁更新网站 查找 6ES7 315-2EH14-0AB0 补丁 下载补丁 存储卡补丁更新步骤 在线补丁更新步骤 西门子S7-400 CPU 拒绝服务漏洞 缓冲器溢出漏洞 西门子SPPA-T3000 电厂DCS 使用的CPU 类型 6，更换控制器CPU 第一，找到需要更换的控制器所在位置，确认这对AP中不需要更换的另外一侧控制器运行正常(处于正常RUN位)； 第二，将需要更换一侧的控制器工作开关Run-STOP，检查这对AP中另外一块控制器有没有自动切成主状态(MASTER灯亮)； 第三，前两步没有问题的话，将需要更换的控制器的电源上面的工作开关ON-OFF，确认此时需要更换的控制器已经处于断电状态； 第四，解下需要更换的控制器上面所有的通讯电缆(Profibus和光纤电缆)，拆下需要更换的控制器并换上新的控制器(控制器地址位相同)，恢复先前解下的所有通讯电缆，取出刚换下的控制器上面的MMC，插入到新换上的控制器中； 第七，上述工作完成后，等待另外一侧的控制器去同步刚换上的控制器，这个过程不要对其进行其他操作，等待一段时间后将会自动同步好。 第六，将刚换上的控制器的工作开关STOP-RUN，待自检结束后，检查其是否正常启动和工作(RUN指示灯亮) ； 第五，将刚换上的控制器侧的电源模块的工作开关OFF-ON，自检结束后检查其能否正常供电； 西门子SPPA-T3000 电厂DCS系统更换CPU步骤 西门子SPPA-T3000 电厂DCS系统 Modbus协议 目 录 2 电力系统的安全漏洞 1 计算机病毒的攻击方式 主要的防御措施 3 乌克兰电力系统BlackEnergy病毒样本 乌克兰电力系统BlackEnergy病毒生成工具 乌克兰电力系统BlackEnergy病毒的Build_ID Base64解密 该web版本服务器将受害者机器相关信息Base64编码后回传CC服务器中,可以看出Base64解码后的内容就是服务器上的配置信息加上一个上线ID号，BlackEnergy配置还包含一个叫build_id的值，该字符串是个特殊字符串，用来甄别受感染个体。 BlackEnergy病毒线程注入到SVCHOST.EXE mssrv32.exe 程序在执行后，首先会查看一下当前系统是否安装病毒自身。如果没有运行过会释放文件到系统目录下名为：mssrv32.exe并创建一个互斥量来确保只运行一个程序。并删除自身程序，创建新的线程注入到SVCHOST.EXE中，连网访问服务器页面。 BlackEnergy病毒的服务器配置信息生成 释放文件到系统目录下并，创建互斥量的代码，在文件的.bdata节中，存放着Base64编码数据。解码后得到的是生成器的配置信息 病毒创建虚假Microsoft Defender Service的服务 病毒创建一个名为Microsoft Defender Service的服务，使用该名称用来欺骗用户，看似正常的系统安全服务程序，通过该服务，启动病毒拷贝自身到Windows目录下的svchost.exe文件,启动命令行是svchost.exe -service 线程注入SVCHOST.exe自动删除mssrv32病毒 运行过会释放文件到系统目录下名为：mssrv32.exe并创建一个互斥量来确保只运行一个程序。并删除自身程序，创建新的线程注入到SVCHOST.EXE中，连网访问服务器页面。 BlackEnergy病毒DDoS开始攻击命令 DDoS攻击的BlackEnergy僵尸网络可以启动控制的“洪水”命令的参数,如下: icmp ---- 一个基于的icmp ping洪水 syn ---- 基于TCP syn洪水 udp ---- 基于udp流量洪水 http ---- http GET请求洪水。这个命令格式的洪水如下 data ---- 一个基本的二进制包洪水 dns ---- dns请求洪水 例如：http攻击指令：http_start BlackEnergy病毒DDoS结束攻击命令 例如：http攻击指令：stop BlackEnergy病毒的自动销毁命令 die命令指示的bot客户端删除自己从受感染的系统。它调用退出当前进程终止进程并停止所有的DDoS活动 乌克兰电力系统BlackEnergy 宏病毒分析