1、。NISIA 国家工业信息安全发展研究中心卡巴斯基2019年6月目录一、工业自动化系统漏洞分析”“.1（一）漏洞数量增加（二）漏洞修复卒低元：；.， 2 （三）漏洞影响大.： .丁：，. . .2 二、工业主机网络攻击分析. / : .a:-:. - 3 （一）工业控制系统主机遭入侵比例进一步增长., . : . 3 （二）恶意软件活动瞄准工业控制系统主机二：. 4 （三）互联网成为工业控制系统主机安全的最大威胁来源.4 三、关键事件分析.fa，乙.：.：.,. （一）“幽灵”和“熔断”漏洞. .5 （二）针对SCADA系统的新恶意软件VPNFilter. 6 （三）勒索软件攻击.7 （四）针

2、对工业企业的高级持续性威胁（APT）攻击8四、对策建议. 9 （一）提升工业主机安全防护水平. . .10 （二）完善工业企业信息安全管理体系. .10 （三）增强企业员工信息安全意识和技能. . . .11 一、工业自动化系统漏洞分析（一）漏洞数量增加2 018年，据ICS-CERT统计，全球涉及技术过程自动化管理系统组件漏洞共计415个，比2017年发现的漏洞数量增加了93个。其中，涉及工程软件143个、涉及SCADA/HMI组件81个、涉及工业用途网络设备66个、涉及PLC47个、涉及工业计算机和服务器19个，工业视频监控系统15个，其他44个。. 工程软件 SCADA/11明工业用途网

3、络设备PLC 工业计算机和服务器醺工业视频监控系统其他图1技术过程自动化管理系统中组件存在漏洞的情况1 （二）漏洞修复率低2018年，卡巴斯基实验室工业控制系统网络应急小组在工业系统和IIoT/IoT系统中，发现了61个漏洞，其中涉及IIoT 10个，涉及HMI5个，涉及外部软件17个，涉及PLC开发环境14个，涉及汽车软件15个。61个漏洞中仅有29个（4 7%）漏洞被修复。软件供应商不重视漏洞修复，推迟或拒绝修复相关漏洞。18 17 16 15 14 14 12 10 10 8 6 5 4 2 。lloT 即但外部软件PLC开发环境汽车软件图22018年卡巴斯基实验室工业控制系统网络应急小

4、组发现的漏洞按组件类型划分统计（三）漏洞影响大2018年，卡巴斯基识别CoDeSysRuntime （典型PLC开发环境）的14个漏洞，影响全球400多家工业自动化供应商的400多万台设备。2018年，卡巴斯基识别的61个漏洞中，46%的漏洞可被用于发起针对工业控制系统的远程代码或拒绝服务（Dos)2 攻击，21%的漏洞可被攻击者利用绕过系统身份验证。二、工业主机网络攻击分析（一）工业控制系统主机遭入侵比例进一步增长2018年，检测到恶意活动的工业控制系统主机占比达47. 2%，涉及SCADA服务器、数据存储服务器、数据网关、工程师和操作员工作站、人机界面等。从变化趋势来看，2018年，检测到

5、恶意活动的工业控制系统主机较2017年增长了3. 2%，且每月均同比增长。详见图3和图4。50% 40% 30% 20% 10% 。%图325.0% 20.0电也15.0咯也10.0% 5.0% 0.0% 44.0% 47.2% 2017年2018年201 7和201 8年度检测到恶意活动的工业控制系统主机占比1月2月3月4月5月6月7月8月9月JO月11月12月 2(117年2018年图42017和2018每月检测到恶意活动的工业控制系统主机占比3 （二）恶意软件活动瞄准工业控制系统主机2018年，检测到漏洞、后门、勒索木马、问谍木马等恶意软件活动的工业控制系统主机占比较2017年显著增长，

6、增幅分别为46.6%、31.3%、46.7%、27.9%。如图5所示。45坦4Jl% 3筑声地3.5% 3.44% 3.0% 2.S% 二三二 2A2剖2.0% .|. . L6S%. l.6S% 15% 1.0 o.s剖0.0司后门漏洞勒索木马间谍木马捕，筝 101！军图52017-2018检测到不同恶意软件活动的工业控制系统主机占比（三）互联网成为工业控制系统主机安全的最大威胁来源2018年，互联网、可移动设备、邮件依然是工业控制系统主机面临的三大威胁来源，从检测到上述威胁源的工业控制系统主机占比来看，互联网约26%，可移动设备约8%，邮件约4%。与2017年度相比，变化明显的是来自互联网

7、的威4 胁，增长约20%。详见图6。30.佛也2=26.1% 25.（同币，20.0% 15.佛也10。”也. . . | ii 1 5”也 l 3.9% 3.8% 3.8% 49% 0.0% L_. 互联网可移动设备邮件2017年上半年a2017年下半年2018年上半年2018年下半年因62017-2018年卡巴斯基拦截主要威胁源的工业控制系统主机占比一、关键事件分析（一）“幽灵”和“熔断”漏洞2018年初，研究人员在英特尔、ARM64和AMD的处理器中发现了三个允许未授权访问虚拟内存内容的漏洞，分别是边界检查绕过（CVE-2017-5753幽灵）、分支目标注入( CVE-2017-5715

8、幽灵）和恶意数据缓存加载( CVE-2017-5754熔断）漏洞。幽灵和熔断攻击都允许用户级别的程序获取其他程序的数据，其中，熔断攻击甚至还允许其读取内核内存。该问题已经影响到许多运行Windows、macOS、Linux、Android、iOS和ChromeOS的电脑、服务器和移动设备，这些设备都5 使用了易受攻击的微处理器。事实证明，含有受攻击处理器的工业设备，如SCADA服务器、工业主机和网络设备等也被证明易受熔断和幽灵攻击的影响。思科是最早公布其产品受漏洞影响的公司之一，受影响的设备包括800系列的集成多业务路由器和4000系列的工业以大网交换机。随后，菲尼克斯电气、横河电机、西门子、

9、施耐德电气、ABB和OSI soft等厂商也相继发布了关于熔断和幽灵漏洞对其产品影响的通知。除了有关熔断和幽灵的信息外，西门子的报告称其解决方案还受到2018年5月发现的一类被称为SpectreNG（下一代幽灵）漏洞的影响。（二）针对SCADA系统的新恶意软件VPNFilter2018年5月，研究人员发现一个新的恶意软件VPNFilter。该恶意软件至少感染了54个国家的50万台路由器和NAS设备。VPNF i 1 t er具有复杂的模块化架构，可以通过组件来实现各种功能，包括收集网络流量与数据、执行命令和控制设备、拦截数据包、监控Modbus协议以及通过匿名Tor网络与命令服务器通信。该恶意

10、软件利用多个已知漏洞来感染设备，但其感染向量尚不清楚。在感染期间，该恶意软件将安装一个组件，而该组件在重新启动后仍然存在，并且能够下载其它恶意模块。工业信息安全产业界也需要密切关注VPNFilter，因为6 该恶意软件可以窃取凭据、检测工业SCADA设备并利用僵尸网络中的受感染设备执行多种攻击。（三）勒索软件攻击尽管全球遭受勒索软件攻击的用户数量正在下降，但在工业领域遭受勒索软件攻击的工控机的比例已经从1.2 %上升到1.6 %。尽管上升幅度不犬，但从Wannacry和ExPetr事件来看，勒索软件给工业企业带来的危险不容小视。根据卡巴斯基实验室工业控制系统网络应急响应小组数据，2018年下半

11、年，被勒索软件感染的工控机的比例从1. 6%增长至2%。对许多工业企业来讲，恶意勒索软件Wanna Cry至今仍然是迫切的威胁。根据卡巴斯基实验室的数据，2018年第三季度，WannaCry在恶意勒索软件排行首位，被其攻击的用户比例达到了28.72%。即使在勒索病毒事件爆发整整一年之后，这种恶意软件仍在继续感染工业企业的控制网络。2018年3月，美国航空企业波音公司的系统遭到了WannaCry的攻击；8月3日，台湾晶因制造商台积电的几家工厂遭勒索软件WannaCry入侵。根据公开的消息，感染是在安装一种新的生产工具软件的时候发生的，供应商未经安全检查就将软件连接到了网络中。感染迅速蔓延，袭击了

12、台南、新竹和台中的工厂。导致该公司在台湾工厂停工了三天。2018年11月28日发生在莫斯科缆车交通系统的事件，7 这与另一种勒索软件攻击有关。根据运营公司通告，文件被加密到“主机”上，进而对公司服务器发起了攻击。莫斯科缆车交通系统的工作人员迅速采取行动，让所有乘客在车站下车并中断了道路通行。为了破解这些文件，入侵者索要比特币赎金，赎金的数额取决于支付的速度。两天后，缆车交通系统才恢复正常工作。（四）针对工业企业的高级持续性威胁（APT）攻击1. Shamoonv. 3攻击2018年12月10日，意大利石油天然气公司Saipem称其位于中东、印度、苏格兰和意大利的服务器遭到了网络攻击。后来明确，

13、攻击中使用了一种新的Shamoon蠕虫Shamoon v3。这起网络攻击事件影响了大约300到400台的服务器以及多达100台的个人电脑。在Saipem公司的网络攻击事件发生后，赛门铁克发现了沙特阿拉伯和阿联酋另外两家石油天然气公司也同时遭受到了类似的攻击。2012.年pShamoon恶意软件在SaudiAramco和Rasgas 两家石油公司的网络被感染后浮出水面。2016年至2017年期间，攻击者同时使用Shamoon软件变体（Shamoonv2）和恶意软件StoneDrill发动了新的一轮恶意攻击。在2018年的袭击中，另一个恶意软件Filerase与Shamoon v3同时被发现。这个

14、恶意软件可以删除受感染电脑上的文件。8 2. GreyEnergy恶意软件2018年10月17日，ESET公司研究人员公布了BlackEnergy组织的相关信息，被发现的恶意软件和这些网络攻击背后的组织被称为GreyEnergy。该组织主要针对中欧和东欧不同组织的工业网络进行攻击，主要攻击对象包括能源公司、运输企业和其他行业的组织，是重点攻击管理关键基础设施的组织。Grey Energy的恶意软件具有模块化架构，允许攻击者在需要时入侵DLL库中实现不同的功能，手机用户注册的账户数据，主要通过钓鱼邮件和损害公司公共网络服务器的方式完成初始感染。然而，攻击者可能并不局限于这些方式。该组织还曾成功侵

15、入了受害者的路由器，安装了针对不同目标及通过公司网络传播的模块和脚本。四、对策建议2018年，工业控制系统漏洞有增无减，波及的工业控制系统组件和工业企业范围不断扩大。恶意软件不断通过互联网、可移动设备以及邮件等渠道向工业企业渗透，越来越多工业控制系统主机遭受攻击。全球工业控制系统信息安全状况不容乐观、安全形势仍在恶化，对企业工业企业安全防护能力建设也提出了更多的需求以及更高的要求。对此，建议9 从工业主机安全防护、企业信息安全管理、人员信息安全意识几个方面着手，积极采取措施，提升工业控制系统安全防护水平。（一）提升工业主机安全防护水平采用防病毒技术，提升网络病毒查杀能力定期更新防病毒数据库，及

16、时升级病毒查杀软件，提高病毒识别、验证和清除能力；定期检查防病毒组件运行状态，确保所有工业控制系统软件、操作系统文件以及可移动介质处于监测和保护范围之内。安装应用程序白名单软件，提升恶意软件拦截能力加快应用程序安全性验证，持续强化白名单特征信誉库建设，保证白名单的全面性和纯净性；提升白名单技术管控能力，实现对可执行文件、脚本、证书、网络等的全面监管；集成白名单在技术与防病毒工具，有效查杀可绕过白名单机制的高级恶意软件。部署主机加固技术，提升主机操作系统安全级别采取封堵无关端口、限制用户访问、强制访问控制等措施，对工业主机资源的访问权限进行安全控制，解决用户身份伪造、系统及数据完成性破坏、恶意攻

17、击、数据遗失等安全问题。（二）完善工业企业信息安全管理体系组织领导方面，成立工业信息安全领导小组，负责统筹协调工业信息安全工作，制定并落实内外网安全隔离、移动设备管控和邮件安全管理制度。资源投入方面，明确各信息10 安全岗位责任人，确保工业控制系统要害部门、要害部位高级技术人员的配比符合企业信息安全需求将工控安全支出纳入企业年度预算，保证工控安全防护技术开发以及三方安全服务的购买、运行、更新和维护获得足额的资金支持。风险监测处置方面，积极构建企业侧态势感知手段，实现对工业企业内网工控设备资产的动态管控、系统异常操作监控、恶意探测攻击行为发现、网络威胁告警等，精准掌握工业企业工控安全态势；建立安

18、全风险通报制度、安全事件响应流程，提高应对工控安全事件的情报共享能力和应急处置能力，预防和减少工控安全事件造成的损失和危害，保障工业生产正常运行。（三）增强企业员工信息安全意识和技能安全意识方面，制定企业工控安全教育和培训计划，将员工工控安全责任纳入年度考核，执行严格的奖励和惩罚措施；定期开展工业信息安全专题讲座和警示教育，提升员工对信息安全的认识，转变职工观念，加强其自身安全行为规范。安全技能方面，聘请工控安全领域专家，组织工控安全理论培训和操作演示，提升重要岗位、重要部位管理技术人员安全防护技能；模拟真实网络攻防环境，开展实际操作演练，及时发现工控安全薄弱点，提升企业应对现实网络攻击事件的能力；动员企业工控安全专业队伍，积极参加行业协会、产业联盟等组织开展的工控安全重要赛事、工业信息安11 全重大会议，支持工控安全部门开展同行交流，派遣技术人员国家级工业信息安全研究机构培训深造，确保企业工控安全防护能力建设与业界发展同步。12