工业控制系统安全防护技术.pdfVIP

工业控制系统信息安全防护技术 信息化和软件服务业司 01 工控事件攻击技术概述 02 工控系统安全技术 目 录 03 工控系统防护体系思考 04 结束语 智能工业控制网络安全专家 HAVEX病毒 • 2014年 ，安全研究人员发现了一种类似震网病毒的恶意软件 ，并将其命名为 ：Havex ，这种 恶意软件已被用在很多针对国家基础设施的网络攻击中。 • 就像著名的Stuxnet蠕虫病毒 ，Havex也是被编写来感染SCADA和工控系统中使用的工业控 制软件 ，这种恶意软件在有效传播之后完全有能力实现禁用水电大坝、使核电站过载、甚至 有能力关闭一个地区和国家的电网。 智能工业控制网络安全专家 HAVEX病毒攻击路径概述 篡改供应商网站 ，在下载软件升级 1 1 包中包含恶意间谍软件 通过社会工程向 供应商官方网站 工程人员发送 包含恶意间谍 代码的钓鱼邮件 2 被攻击用户下被载篡改的升级包 3 恶意间谍代码 自动安装到OPC客户端 7 OPC客户端 OPC客户端 黑客采集获取 恶意间谍代码通过OPC协议发出非法数据 的数据 工控 4 采集指令 网络 5 OPC服务器回应数据信息 OPC服务器 OPC服务器 将信息加密并传输到CC 6 （命令与控制 ）网站 生产线 PLC PLC 智能工业控制网络安全专家 Havex 传播途径 在被入侵厂商的主站上 ，向用户提供包含恶意代码的升级软件包 利用系统漏洞 ，直接将恶意代码植入 包含恶意代码的钓鱼邮件 l 有三个厂商的主站被这种方式被攻入 ，在网站上提供的软件安装包中包含了 Havex。这三家公司都是开发面向工业的设备和软件 ，这些公司的总部分别位于德 国、瑞士和比利时。 l 其中两个供应商为ICS系统提供远程管理软件 ，第三个供应商为开发高精密工业摄 像机及相关软件。 智能工业控制网络安全专家 Havex 深度解析 • 通过反向Havex程序 ，我们发现它会枚举局域网中的RPC服务 ，并寻找可连接的资源 • Havex通过调用IOPCServerList和IOPCServerList2 DCOM接口来枚举 目标机器上的 OPC服务 • 随