乌克兰电网遭黑客攻击事件之Black Energy深入剖析，从技术角度看待这一事件。

事件回顾：
2016年1月6日，据英国《金融时报》报道，上周乌克兰电网系统遭黑客攻击，数百户家庭供电被迫中断，这是有史以来首次导致停电的网络攻击，此次针对工控系统的攻击无疑具有里程碑意义，引起国内外媒体高度关注。
据iSight Partners网络间谍情报负责人约翰•胡尔特奎斯特(John Hultquist)表示，本次攻击来自俄罗斯黑客组织，使用的恶意软件被称为BlackEnergy（黑暗力量）。
Black Energy简介

Black Energy（黑暗力量）最早可以追溯到2007年，由俄罗斯地下黑客组织开发并广泛使用在BOTNET，主要用于建立僵尸网络，对定向目标实施DDoS攻击。
此后，Black Energy的攻击开始转向政治目标，在2008年，俄罗斯与格鲁吉亚冲突期间黑客组织利用Black Energy曾一度攻击格鲁吉亚政府。自2014年夏季，陆续从乌克兰政府及企事业单位截获Black Energy样本，可以预见其矛头开始瞄准乌克兰政府组织，并主要用于机密信息窃取和持续攻击。
Black Energy有一套完整的生成器，可以生成感染受害主机的客户端程序和架构在C&C (指挥和控制)服务器的命令生成脚本。攻击者利用这套黑客软件可以方便地建立僵尸网络，只需在C&C服务器下达简单指令，僵尸网络受害主机便统一执行其指令。
经过数年的发展，Black Energy逐渐加入了Rootkit技术，插件支持，远程代码执行，数据采集等功能，已能够根据攻击目的和对象，由黑客来选择特制插件进行APT攻击。进一步升级，包括支持代理服务器，绕过用户账户认证（UAC）技术，以及针对64位Windows系统的签名驱动等等。
Black Energy攻击过程

BlackEnergy

Black Energy感染流程
上图展示了Black Energy入侵目标主机的过程。黑客通过收集目标用户邮箱，然后向其定向发送携带恶意文件的Spam邮件，疏于安全防范的用户打开了带宏病毒的Office文档（或利用Office漏洞的文档）即可运行Installer（恶意安装程序），Installer则会释放并加载Rootkit内核驱动，之后Rootkit使用APC线程注入系统关键进程svchost.exe（注入体main.dll），main.dll会开启本地网络端口，使用HTTPS协议主动连接外网主控服务器，一旦连接成功，开始等待黑客下发指令就可以下载其他黑客工具或插件。
相关样本分析

此次袭击事件发生后，金山安全反病毒实验室第一时间从各个渠道采集到在乌克兰爆发的BlackEnergy样本。
从样本中分析得到样本连接恶意IP如下：
5.9.32.230
31.210.111.154
88.198.25.92

事件发生之后，这3台服务器已经无法正常连接，其中截获的HTTPS POST请求URL：
https://5.9.32.230/Microsoft/Update/KS1945777.php

https://31.210.111.154/Microsoft/Update/KS081274.php

https://88.198.25.92/fHKfvEhleQ/maincraft/derstatus.php
同时，实验室截获的Black Energy样本经过验证，均可在32位的XP – 8.1系统上正常运行。

恶意样本伪装为微软 USB MDM Driver 驱动文件，但缺乏数字签名

驱动被Installer加载后，首先执行解压脱壳，然后创建设备驱动，名字为：\DosDevice{C9059FFF-1**9-83E8-4F16387C720}，用来与用户端（main.dll）通信。

随后，驱动开始向svchost.exe申请内存空间并写入shellcode，再通过APC线程注入方式注入svchost.exe。
APC注入的原理是利用当线程被唤醒时APC中的注册函数会被执行的机制，并以此去执行我们的DLL加载代码，进而完成DLL注入的目的。

注入的shellcode与Rootkit代码，黑客统一使用了通过压栈API函数的HASH值，调用_GetFuncAddr动态获取API函数地址，用来干扰和对抗逆向分析

由APC注入的线程会启动一个主线程

与Rootkit内核模块建立通信

连接C&C服务器，不知是不是事件发生之后，该IP就再也连不上了

上图是与C&C服务器通信的控制指令
至此，Black Energy整体攻击架构已经呈现出来，一旦用户机器被渗透攻击成功，黑客便可轻易控制并实施具体攻击。也证明了在此次乌克兰电网断电事件，Black Energy完全有能力实施精确打击。
防御Black Energy

针对Black Energy的攻击过程可以在三个阶段进行有效拦截。首先，用户接收到邮件时对邮件内包含的所有文件进行动态行为鉴定，一旦判定文件具有恶意行为会将其删除或隔离。第二，对系统关键进程进行监控，一旦发现可疑操作立即阻断其执行。第三，阻断恶意代码对外连接，设置一个IP黑白库对系统外连的ip地址进行过滤，拦截与恶意服务器交互的所有网络数据包。
总结

乌克兰电厂遭袭事件是第一次经证实的计算机恶意程序导致停电的事件，证明了通过网络攻击手段是可以实现工业破坏的。虽然针对工控系统的网络安全保护早已提上日程，目前国内也没有发生类似攻击，但此次事件再次给相关部门敲响警钟。未来安全形势必将越来越严峻，需要相关各方严格部署网络安全措施，加强网络安全防范。

乌克兰电网遭黑客攻击事件之Black Energy深入剖析，从技术角度看待这一事件。相关推荐

乌克兰电网遭遇黑客攻击有何警示意义？
曾几何时,黑客还只是潜伏在网络世界窃取信息的影子.而步入"互联网+"时代,技术与产业融合激发创新活力的同时,也给信息安全带来更大挑战.2015年末,乌克兰电网发生世界首例因遭受黑客 ...
外媒解读乌克兰电网遭遇黑客事故
乌克兰电网遭遇黑客攻击一事震惊世界,据称其直接造成约70万个家庭在圣诞前夜陷入一片黑暗.而此次事故也充分证明了关键性基础设施管理部门必须强化自身应对能力,并通过持续努力保证自身体系免受恶意人士的侵扰. ...
尤金·卡巴斯基：卡巴斯基实验室调查内网遭黑客攻击事件
猫宁!!! 尤金·卡巴斯基介绍: 尤金·卡巴斯基出生于黑海沿岸的新罗西斯克,父亲担任工程师,母亲是书库管理员.母亲常买许多数学杂志供其阅读.他在16岁就跳级进入密码.电信与计算机科学学院就读,从198 ...
是后门，还是大意？Furucombo遭黑客攻击事件分析 |零时科技
是后门,还是大意?Furucombo遭黑客攻击事件分析 |零时科技事件背景 Furucombo推出于2020年3月份,支持Uniswap交易,Compound供应功能,还提供闪电贷的用户界面,使得普 ...
P2P网贷易遭黑客攻击
本文讲的是 P2P网贷易遭黑客攻击,P2P网贷的超高利率并不是那些缺乏现金的借款人唯一担心的事情,这些大批新兴的互联网金融网站也吸引了网络罪犯的注意.他们盯上了用户的账户信息,并将这些信息用于盗取存款 ...
GitHub 遭黑客攻击勒索；苹果夸大 iPhone 电池续航时间；全球第二大暗网被摧毁 | 极客头条...
快来收听极客头条音频版吧,智能播报由标贝科技提供技术支持. 「CSDN 极客头条」,是从 CSDN 网站延伸至官方微信公众号的特别栏目,专注于一天业界事报道.风里雨里,我们将每天为朋友们,播报最新鲜有 ...
泰国80亿互联网记录数据库泄漏，疑遭黑客攻击
泰国最大的蜂窝网络AIS已使数据库脱机,疑遭黑客攻击,这使达80亿实时互联网记录泄漏到数百万泰国互联网用户上,该事件震惊整个泰国. 全球著名白帽黑客.东方联盟创始人郭盛华博客文章中说,他在互联网上没有 ...
育碧遭黑客攻击：用户账号被窃
本文讲的是 : 育碧遭黑客攻击:用户账号被窃 , [IT168 导购] 育碧公司LOGO 7月6日凌晨消息,旧金山游戏公司育碧周二宣布,该公司网站已被未知黑客攻破,一部分用户账号被窃取,但并未透 ...
懒人日报 | 日本东京将进行区域专用型数字货币的实用试验、蚂蚁区块链涉足冷链物流、eos竞猜游戏FASTWIN遭黑客攻击......
海外动态 [日本社交媒体巨头Line子公司正式获批加密货币交易许可] 9月6日,日本社交媒体巨头Line旗下加密货币子公司LVC正式通过日本金融厅审批,获得第00017号加密货币交易许可证,将提供B ...

乌克兰电网遭黑客攻击事件之Black Energy深入剖析，从技术角度看待这一事件。

乌克兰电网遭黑客攻击事件之Black Energy深入剖析，从技术角度看待这一事件。相关推荐

最新文章

热门文章