苗涛，张志强，胡炳华

（1.国家广播电视总局无线电台管理局；2.上海海得控制系统股份有限公司）

1 前言

恶意软件是指在计算机系统上执行恶意任务的病毒、蠕虫和特洛伊木马的程序集合，其通过破坏系统及软件的正常进程来实施控制。近年来随着“两化融合”、“互联网 +”、“中国制造 2025”等国家战略的提出与稳步推进，工业控制系统由一个个“信息孤岛”向网络化、集成化方向发展，传统工业网络物理隔离被打破，以病毒、木马为代表的恶意软件通过公共互联网、USB存储介质等方式可轻松打破网络边界进入工业控制网内部。

2 典型安全事件

1)2017年WannaCry勒索病毒事件

2017年5月，Wannacry勒索病毒席卷全球，病毒通过邮件、网页、存储介质甚至手机侵入并加密文件数据，受害者只有按要求支付等额价值300美元的比特币才能解密，如果7天内不支付，系统中的数据信息将会永远无法恢复。Wannacry勒索病毒借助“永恒之蓝”漏洞，可感染除Windows 10 和 Windows Server 2016之外的所有Windows操作系统，我国多家教育机构以及石油、石化、汽车、海关、医院等行业均受到严重影响。

2)2018年台积电病毒感染事件

2018年8月，全球晶圆代工龙头企业台积电位于台湾新竹科学园区的12寸晶圆厂和营运总部网络遭病毒攻击，导致生产线全数停摆。几小时后，台积电位于台中和台南的工厂也陆续遭到病毒攻击，使得台积电在台湾北、中、南三处重要生产基地的核心工厂全部沦陷，生产线全部停摆。本次事件起因是已感染Wannacry变种病毒的工业主机没有经过安全检查就直接上线，导致病毒快速在网络内传播，最终导致台积电损失约87亿元新台币。

3 攻击路径研究

3.1 网络分层

依据《网络安全等级保护基本要求2.0》，工业控制网络从下至上可分为现场设备层（传感器、执行器）、现场控制层（PLC、DCS）、过程监控层 (SCADA)、生产管理层(ERP)以及管理信息层(办公网、网站)，各层分别承载不同的业务类型和生产系统。图1为工业网络分层示意图。

图1 工业网络分层示意图

3.2 传统攻击路径

攻击路径说明：

①通过公网扫描发现对外提供服务的主机系统或业务应用系统。

②对主机系统或业务应用系统进行渗透。

③进入单位办公网，以办公网为基础对监控网进行渗透。

④进入监控网，以监控网为基础对控制网进行渗透。

⑤进入控制网并对控制系统进行攻击。

3.3 演进攻击路径

攻击路径说明：

①由公共网络通过邮件钓鱼攻击、文件传输、软件下载等方式，将恶意代码带入办公网络，并对生产网络进行攻击。

②由工控网络通过文件传输、移动存储、私建网络、插拔移动通信设备等方式，将恶意代码带入监控网络，对生产网络进行攻击。

③由工控网络通过文件传输、移动存储、私建网络、插拔移动通信设备等方式，将恶意代码带入控制网络，对生产网络进行攻击。

④由供应链中的设备生产和维护厂家，将恶意代码直接带入工控系统。

4 攻击过程研究

4.1 Black Energy概述

Black Energy （黑暗力量）恶意软件最早发现于2007年，由俄罗斯地下黑客组织开发并广泛使用在BOTNET，主要用于建立僵尸网络，对定向目标实施DDoS攻击。

2008年俄罗斯与格鲁吉亚冲突期间，黑客组织利用Black Energy曾一度攻击格鲁吉亚政府。安全研究机构自2014年夏季，陆续从乌克兰政府及企事业单位截获Black Energy样本，可以预见其矛头开始瞄准乌克兰政府组织，并主要用于机密信息窃取和持续攻击。

Black Energy有一套完整的生成器，可以根据C&C(指挥和控制)服务器的命令生成脚本和感染受害主机的客户端程序，方便地建立僵尸网络，只需在C&C服务器下达简单指令，僵尸网络受害主机便统一执行其指令。经过多年发展， Black Energy进一步升级，包括支持代理服务器，绕过用户账户认证（UAC）技术，以及针对64位Windows系统的签名驱动等等。

4.2 Black Energy攻击过程

Black Energy恶意软件成名于2015年12月23日的乌克兰停电事件，此事件使7个110KV的变电站和23个35KV的变电站出现故障，导致80000用户断电。

此事件中黑客采用了“演进式”攻击路径，通过“社会工程”手段收集目标用户邮箱，向其定向发送携带恶意文件的Spam邮件，疏于安全防范的用户打开带宏病毒的Office文档，通过运行Installer（恶意安装程序）对受害者主机进行感染。

图4 Black Energy恶意软件感染流程图

Installer会释放并加载Rootkit内核驱动，Rootkit使用APC线程注入系统关键进程svchost.exe（注入体main.dll），紧接着main.dll会开启本地网络端口，使用HTTPS协议主动连接外网主控服务器，一旦连接成功恶意软件便开始等待攻击者下发指令。图4为Black Energy恶意软件感染流程图。

4.3 切断攻击过程

恶意软件的攻击一般伴随着恶意软件投放、感染目标主机、目标网络扫描探测、网内扩散、执行目标操作等阶段。在恶意软件防护中，切断任一攻击途径或攻击过程即可阻止恶意软件对目标网络的攻击，如Black Energy恶意软件可通过IP黑白名单、主机系统安全防护、关键进程完整性保护等措施，分别在网络探测、网内扩散、感染主机等阶段切断攻击过程，实现安全防护。图5为Black Energy恶意软件防治示意图。

图5 Black Energy恶意软件防治示意图

5 工业恶意软件防治策略

随着工控安全行业的蓬勃发展，单纯的办公网与生产网隔离已无法有效对抗。工控安全应在网络隔离的基础上对关键设备、功能区域、系统网络进行综合防护。以访问控制、工业协议深度检测、安全审计、安全监测、主机安全防护等技术手段为基础，结合安全管理措施，向供应链方向进行安全扩展，切断恶意软件攻击途径或攻击过程，形成一套完整的工业恶意软件防治体系。

图6 工业协议DPI技术示意图

5.1 访问控制与工业协议DPI

访问控制技术是传统信息安全技术的一种，主要应用于数据报文的检测与过滤，通过访问控制技术可将工业网络划分为不同的业务区域，各区域间仅允许必要的网络协议通信和数据传递，实现工业网络的安全分区和逻辑隔离。

由于工业网络主要承载工业生产业务，其网络中存在大量Modbus TCP、OPC、IEC104、S7等工业协议，可通过工业协议DPI技术实现对工业协议的深度解析，对工业协议“完整性、功能码、地址范围、参数值范围”进行全字段检测，保证工业业务指令级安全。图6为工业协议DPI技术示意图。

通过访问控制和工业协议DPI的结合，可有效抑制恶意软件的传播行为，将安全威胁限定在特定区域内。

5.2 安全监测与审计技术

安全监测与审计以数据流量、数据包逆向还原为基础，并结合现场工业业务以及工业网络建立通信数据模型，通过协议、数据包、流量、业务、行为的综合分析实现病毒发现与预警。通过安全监测与审计技术可快速发现异常网络连接、异常端口、异常数据指令、异常请求访问、协议通讯异常、业务流波动等异常行为。

为保证安全监测与审计的准确性，还需对检测和审计的结果进行关联分析。关联分析又称关联挖掘，是在关系数据或其他信息载体中，查找存在于项目集合或对象集合之间的频繁模式、关联、相关性或因果结构。在网络安全中，一个安全事件的形成往往需要多个资产和过程的配合，关联分析技术分别从时间和空间维度对网络安全日志进行整合分析，寻找安全事件内在依赖，降低安全误报。

5.3 白名单机制

“白名单”机制是网络安全白名单与主机安全白名单的统称，与“黑名单”相对应，由于传统信息安全以黑名单库为核心，工业环境的相对封闭性无法保证黑名单库的及时更新，导致传统信息安全产品无法直接应用于工业环境。

由于工业环境业务功能稳定、系统配置稳定、软件应用稳定、网络流量相对稳定的特点，白名单机制在工业网络安全中获得大规模应用。白名单以可信表单为核心，主机安全防护系统通过提前预置可信且安全的程序表单，可在摆脱黑名单的前提下，阻断恶意软件的运行。工业防火墙通过白名单机制可保证网络内通信关系、通信协议以及通信内容的安全性，保障工业网络安全。

5.4 安全管理

在网络安全中人与技术是联系紧密的两个重要实体，人是安全策略的制定者，产品技术是安全策略的具体执行部分。但由于安全管理的缺失以及安全意识的薄弱，人往往成为网络安全中的软肋。

网络安全管理从制度、流程、人员等角度，对系统上线、存储介质、系统补丁、数据备份、安全培训、应急预案等进行设置和管理，形成技术与管理的安全闭环。

6 结语

工业恶意软件的防范与治理是一项复杂的综合性工程，不同工业企业可根据本企业的网络安全战略，灵活运用行业标准、等级保护等规范标准开展病毒治理工作，通过技术与管理手段的综合运用，整体提高工业企业病毒防护水平，实现安全促进业务，安全促进生产的目的。