本文關(guān)鍵詞：烏克蘭電力危機，由筆耕文化傳播整理發(fā)布。

據(jù)報道，2015年12月23日，烏克蘭至少三個區(qū)域的電力系統(tǒng)遭到網(wǎng)絡(luò)攻擊。本次攻擊造成了伊萬諾-弗蘭科夫斯克地區(qū)部分變電站的控制系統(tǒng)遭到破壞，以致大面積停電，電力中斷3至6小時，約140萬人受到影響。針對此事件，我國工信部和國家電網(wǎng)公司都專門下發(fā)文件，對工業(yè)控制系統(tǒng)進行風(fēng)險提示并要求相關(guān)單位加強安全防范措施�！　�

　　▲

啟明星辰工業(yè)防火墻快速應(yīng)對

啟明星辰經(jīng)過對病毒樣本分析，發(fā)現(xiàn)本次攻擊過程開始于一個帶有惡意宏的XLS文件，黑客通過釣魚手段將此惡意文件發(fā)送給攻擊目標(biāo)，XLS文件運行后啟動惡意宏代碼執(zhí)行，宏代碼會在臨時文件目錄下釋放文件vba_macro.exe，這便是釋放器。他通過釋放BlackEnergy來執(zhí)行后續(xù)操作，如與控制端通信以及下載KillDisk、SSH后門等一系列組件來執(zhí)行攻擊、刪除磁盤文件等。

BlackEnergy為了隱藏網(wǎng)絡(luò)通信信息，躲避檢測，惡意代碼對上線信息進行了Base64編碼，當(dāng)C&C返回響應(yīng)時，，使用上線請求中的b_id作為密鑰進行了加密。這給病毒的防護造成了很大困難，一般的工業(yè)防火墻對此無能為力，甚至是通用IDS對其檢測也有難度。

啟明星辰工業(yè)防火墻團隊在設(shè)計產(chǎn)品之初，就對工業(yè)現(xiàn)場環(huán)境進行了深入調(diào)研，密切關(guān)注工業(yè)化和信息化兩化融合中惡意代碼通過傳統(tǒng)IT網(wǎng)絡(luò)對工業(yè)設(shè)備的攻擊，并在工業(yè)防火墻集成了更加先進靈活的入侵檢測引擎，在應(yīng)對這次攻擊的過程中，通過該引擎可以直接處理base64編碼后的數(shù)據(jù)，對BlackEnergy上線通訊特征進行監(jiān)測，并通過豐富的數(shù)據(jù)提取能力實現(xiàn)快速發(fā)現(xiàn)、定位感染主機。用戶只需在防火墻中通過加入啟明星辰提供的特征，無需定制開發(fā)即可防護此類攻擊。第一步添加BlackEnergy特征：

　　然后啟用自定義規(guī)則：

　　▲

查看攔截效果：　　

　　▲

傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備和大部分市面上的工控防火墻對此類安全威脅并沒有好的應(yīng)對辦法。一方面是傳統(tǒng)防火墻主要面向IT網(wǎng)絡(luò)，對標(biāo)準(zhǔn)工業(yè)協(xié)議如Modbus、DNP3、EtherNet/IP、OPC等并不支持;二是大部分工業(yè)防火墻廠商目前處于起步階段，對工業(yè)控制系統(tǒng)攻防技術(shù)的研究還不夠深入，尤其是對于工業(yè)漏洞庫的積累仍顯不足;三是隨著兩化融合的推進，工業(yè)網(wǎng)絡(luò)面臨著傳統(tǒng)攻擊日益嚴(yán)峻的威脅，一些國外大型工控防火墻廠商仍沒有工業(yè)入侵防護功能。截止發(fā)稿前，尚未發(fā)現(xiàn)其他國內(nèi)工業(yè)防護墻廠商可以對此病毒進行防護的報道。

啟明星辰工業(yè)防火墻防護特性

啟明星辰工業(yè)防火墻從設(shè)計之初就全面研究工業(yè)環(huán)境下的安全需求，產(chǎn)品除具備工控防火墻的主流功能外，在安全防護方面最大的特點是集成了工業(yè)入侵防護引擎，并內(nèi)置了工業(yè)漏洞庫。產(chǎn)品預(yù)置9大類上百種工業(yè)場景，對Modbus、IEC104、EtherNet/IP、SIEMENS S7、SCADA系統(tǒng)等進行入侵檢測防護。用戶可以根據(jù)自己的情況選擇適用場景進行快速部署。通過該引擎，可以對工業(yè)協(xié)議和內(nèi)容進行合規(guī)性檢查，阻斷黑客對工控設(shè)備的掃描行為，并對SCADA緩沖區(qū)溢出和目錄遍歷等攻擊進行防護。該特征庫依托啟明星辰ADLab等部門研究成果，可以提供最新最全的工控漏洞特征。

　　▲

啟明星辰工業(yè)防火墻的入侵防護引擎是一個開放、可擴展的引擎，能夠靈活的根據(jù)企業(yè)內(nèi)部的特定工控設(shè)備或協(xié)議實施針對性的防護策略，無需長時間的定制開發(fā)，在用戶現(xiàn)場即可快速動態(tài)制定防護規(guī)則，來深入的檢測工控協(xié)議內(nèi)容。以本次烏克蘭電力攻擊事件為例，啟明星辰工業(yè)防火墻只需通過添加幾條BlackEnergy等的行為特征，就可以對該類攻擊進行有效防護。

啟明星辰工業(yè)防火墻利用該檢測引擎，結(jié)合流量自學(xué)習(xí)功能，可以對用戶私有協(xié)議進行快速學(xué)習(xí)，并進行流量可視化展現(xiàn)，幫助工業(yè)用戶迅速了解業(yè)務(wù)流量信息，進而制定更加符合實際情況的安全策略。后續(xù)我們會對該特性做詳細介紹，敬請關(guān)注。

  本文關(guān)鍵詞：烏克蘭電力危機，由筆耕文化傳播整理發(fā)布。