自動(dòng)化工程師需要認(rèn)真對(duì)待“震網(wǎng)”病毒，要從中吸取經(jīng)驗(yàn)?！罢鹁W(wǎng)”不僅是一種IT中的蠕蟲，還是一種攻擊制造流程的成熟武器?！罢鹁W(wǎng)”使用編程軟件下載自己的編碼至PLC系統(tǒng)。
        從不同的信源和觀點(diǎn)，對(duì)“震網(wǎng)”的話題已經(jīng)有很多報(bào)道。但仍有很多誤解和要吸取的經(jīng)驗(yàn)。此文的目的是對(duì)工業(yè)控制系統(tǒng)（ICS）提出一些觀點(diǎn)和建議，為信息安全的從業(yè)者和標(biāo)準(zhǔn)組織提供參考。

背景
        在“震網(wǎng)”之前，任何網(wǎng)絡(luò)攻擊（有目的或無目的）被認(rèn)為能夠由IT信息安全技術(shù)發(fā)現(xiàn)，諸如防火墻或侵入檢測(cè)系統(tǒng)，縱深防御能夠防止對(duì)物理過程的危害。然而，過去控制系統(tǒng)的網(wǎng)絡(luò)事故（惡意的和無意的）已經(jīng)顯示：很多ICS網(wǎng)絡(luò)事故是不容易檢測(cè)到的，并且能夠造成物理損壞，甚至已經(jīng)有了縱深防御的設(shè)計(jì)。美國能源部（DOE）和家園安保部門（DHS）－一直在資助開發(fā)ICS的侵入檢測(cè)系統(tǒng)（IDS）/侵入預(yù)防系統(tǒng)（IPS）技術(shù)和加固監(jiān)督控制和數(shù)據(jù)采集（SCADA）系統(tǒng)。注意使用SCADA這個(gè)術(shù)語是重要的，因?yàn)檫@些新技術(shù)還沒有實(shí)施到很多老式的非SCADA設(shè)備上，諸如可編程邏輯控制器（PLC），電子驅(qū)動(dòng)器，過程傳感器和其他現(xiàn)場設(shè)備。另一個(gè)假定是：在正在開發(fā)的標(biāo)準(zhǔn)中，諸如IEC62443（ISA99）和北美電氣可靠性公司（NERC）的關(guān)鍵基礎(chǔ)架構(gòu)保護(hù)（CIP）標(biāo)準(zhǔn)，針對(duì)ICS的攻擊已經(jīng)足夠全面，包括一些非常棘手的攻擊。這些假設(shè)抵抗諸如“震網(wǎng)”還不夠充分，需要對(duì)ICS的信息安全情況進(jìn)行一次詳細(xì)的重新評(píng)估。

        我們認(rèn)為無論是誰開發(fā)了“震網(wǎng)”－我們不相信制造“震網(wǎng)”的人非常清楚目的－愿意花費(fèi)相當(dāng)大的資源（人力和財(cái)力）去開發(fā)蠕蟲進(jìn)行攻擊。他們不想被認(rèn)出，至少在早期階段，針對(duì)特定的目標(biāo)采用外科手術(shù)式的方法。我們不認(rèn)為仿冒者會(huì)重復(fù)這種做法，也不會(huì)對(duì)發(fā)現(xiàn)而不在乎。為了保護(hù)關(guān)鍵基礎(chǔ)設(shè)施，要采取了嚴(yán)厲措施，防止相似的漏洞受到類似的攻擊。

“震網(wǎng)”歷史
        “震網(wǎng)”第一次網(wǎng)絡(luò)攻擊是針對(duì)ICS設(shè)備的說法尚有爭論?！罢鹁W(wǎng)”直到2010年的6月中才被人們發(fā)現(xiàn)，當(dāng)它被調(diào)查人使用VirusBlockAda識(shí)別后，一家位于白俄羅斯明斯克的信息安全供應(yīng)商。（VirusBlockAda監(jiān)視什么系統(tǒng)或誰是客戶尚不清楚）。

        這個(gè)蠕蟲非常著名，不僅是它的技術(shù)復(fù)雜度，而是因?yàn)樗槍?duì)ICS而設(shè)計(jì)，運(yùn)行在電廠，包括核電站、智能電網(wǎng)、水處理、海上油井平臺(tái)、艦船和其他關(guān)鍵性基礎(chǔ)設(shè)施，甚至針對(duì)伊朗的核設(shè)施。具有諷刺意味的是，DOE有一個(gè)對(duì)等的研發(fā)部門在“震網(wǎng)”披露的那一周進(jìn)行了審核，沒有一個(gè)DOE研發(fā)項(xiàng)目知道它的存在。

        賽門鐵克公司（Symantec）的研究人員確認(rèn)了一個(gè)在2009年的6月制造的早期蠕蟲版本，這個(gè)惡意軟件在2010年1月變得更為復(fù)雜。這個(gè)早期 “震網(wǎng)”版本的行為同當(dāng)前的化身相同－它與西門子的PLC連接－但它沒有使用新版蠕蟲引人注目的技術(shù)，在安裝到Windows系統(tǒng)后能夠躲避反病毒檢測(cè)。這些特性剛剛加到最新的蠕蟲版本中，在幾個(gè)月之前首次被檢測(cè)到，卡巴斯基實(shí)驗(yàn)室（Kaspersky Lab）的人員說道：“毫無疑問，它是我們到目前為止看到的最復(fù)雜精密的目標(biāo)攻擊”。

        在“震網(wǎng)”制造出來以后，它的作者增加了新功能，允許它在USB設(shè)備之間擴(kuò)散，事實(shí)上不需要受害者的任何操作。該惡意件還能夠獲取芯片公司瑞昱（Realtek）和智微（JMicron）的密鑰和數(shù)字簽名，所以反病毒掃描器檢測(cè)到它的困難更大。瑞昱和智微在臺(tái)灣的新竹科技園辦公室和卡巴斯基實(shí)驗(yàn)室研究工程師舒文伯格（Schouwenberg）相信有人可能已經(jīng)偷盜了兩個(gè)公司的網(wǎng)絡(luò)訪問計(jì)算機(jī)密鑰。這樣就使“震網(wǎng)”擊敗了兩因數(shù)的鑒權(quán)。

        “震網(wǎng)”利用微軟產(chǎn)品當(dāng)時(shí)四個(gè)著名的“0天”漏洞。0天事件（或0天病毒或0天感染）在計(jì)算機(jī)和因特網(wǎng)術(shù)語里本質(zhì)上一個(gè)病毒或一些惡意代碼，因?yàn)樾?，所以反病毒和反間諜軟件還沒來得及更新，可能檢測(cè)不到它的存在。

[DividePage:NextPage]

    “震網(wǎng)”比谷歌攻擊（Google attack）更有技術(shù)含量，舒文伯格說?！皹O光（Aurora）具有0天，但它針對(duì)的是IE版本6，”他說。“這里你有一個(gè)漏洞，它會(huì)對(duì)Windows2000之前的所有版本都有效?！被叵肽菚r(shí)，微軟不再支持Windows2000和其他老版本，而大多數(shù)ICS應(yīng)用仍在使用。

        雖然這個(gè)蠕蟲的第一個(gè)版本寫于2009年6月，這個(gè)版本是否用于了現(xiàn)實(shí)世界攻擊還不清楚。舒文伯格說他相信第一次攻擊可能早在2009年7月就發(fā)生了。第一個(gè)確認(rèn)攻擊的賽門鐵克公司的信息安全技術(shù)副總裁認(rèn)為這個(gè)日期是2010年1月。多數(shù)受感染的系統(tǒng)在伊朗，他說，雖然印度、印尼和巴基斯坦也受到了打擊。因?yàn)樗旧矸浅＊?dú)特，副總裁說?！斑@是在20年里的第一次，我能記得伊朗展示的情況非常嚴(yán)重。”

        很多人認(rèn)為“震網(wǎng)”是一種數(shù)據(jù)泄漏問題。數(shù)據(jù)泄露涉及計(jì)算機(jī)系統(tǒng)信息的非授權(quán)隱蔽傳送。然而，“震網(wǎng)”遠(yuǎn)不只數(shù)據(jù)泄漏－它是第一個(gè)針對(duì)PLC的根工具（rootkit）。根工具是一組程序和編碼，是隱藏在計(jì)算機(jī)中的惡意軟件。它是針對(duì)過程進(jìn)行攻擊的武器。它有使用編程軟件的能力，把自己的編碼加載到PLC中。另外，“震網(wǎng)”隱藏在這些編碼塊中，所以當(dāng)編程人員使用感染設(shè)備試圖觀看PLC的所有代碼塊時(shí)，他們發(fā)現(xiàn)不了被“震網(wǎng)”感染的代碼。因此，“震網(wǎng)”不僅是把自己隱藏在Windows系統(tǒng)中的根工具，還是第一個(gè)共所周知躲藏在PLC代碼背后的根工具。特別地，“震網(wǎng)”鉤住編程軟件，這意味著當(dāng)有人使用該軟件觀察PLC的代碼塊時(shí)，感染的塊不會(huì)被發(fā)現(xiàn)，并且不能被重寫?！罢鹁W(wǎng)”包含70種加密的代碼塊，出現(xiàn)的形式是替換一些基礎(chǔ)的日常程序。在這些塊下載到PLC之前，它們要根據(jù)PLC類型進(jìn)行定制。有報(bào)告稱：有大于100,000臺(tái)的機(jī)器受到“震網(wǎng)”的影響。然而，“震網(wǎng)”是一種多維度的攻擊?？梢姷拿婷彩菙?shù)據(jù)泄漏，這不影響PLC；影響PLC的真正嘴臉確看不見?；诶瓲柗?蘭那在應(yīng)用控制解決方案2010研討會(huì)的介紹，病毒的作用只在滿足了特定的條件后才會(huì)爆發(fā)。因此，還不清楚究竟有多少機(jī)器實(shí)際被這種“武器”所感染。

        “震網(wǎng)”能夠使用MS08-067漏洞，同樣是Downadup（也稱作Conficker）蠕蟲用于傳播的漏洞。MS08-067是一種致命的漏洞，存在于Windows 2008/Vista/2003/XP/2000服務(wù)器的服務(wù)中，它使感染計(jì)算機(jī)能被黑客遠(yuǎn)程控制，與登錄的用戶有著相同的權(quán)限。如果這個(gè)用戶具有管理員的權(quán)限，黑客能夠接管系統(tǒng)的全部控制?！罢鹁W(wǎng)”出現(xiàn)的時(shí)間與Conficker蠕蟲相同。“震網(wǎng)”能夠使用 Conficker蠕蟲傳播它自己?！罢鹁W(wǎng)”還要回溯到2009年6月，那時(shí)Conficker蠕蟲首次被認(rèn)定。那也是北美電氣可靠性公司（NERC）對(duì)Conficker蠕蟲發(fā)布的日期，因?yàn)殡姀S發(fā)現(xiàn)了這個(gè)情況。我們最近收到的一封電子郵件，一家主要的石油公司在他們的控制系統(tǒng)發(fā)現(xiàn)了Conficker－由一個(gè)U盤帶入系統(tǒng)。令人驚奇！一個(gè)最重要的問題是一個(gè)復(fù)雜的ICS網(wǎng)絡(luò)攻擊不能由ICS人員來識(shí)別。因此，ICS人員需要與IT研究人員組成團(tuán)隊(duì)，比如像來自賽門鐵克和卡巴斯基的人員。

        注意在7月披露之后不久，微軟發(fā)布了一個(gè)補(bǔ)丁，用于Windows的漏洞（LNK），“震網(wǎng)”利用它進(jìn)行系統(tǒng)到系統(tǒng)的傳播（微軟LNK漏洞技術(shù)分析簡報(bào)(CVE-2010-2568)）。另外，一些反病毒廠家提供了新的反病毒簽名。然而，沒有針對(duì)寫入PLC固件惡意代碼的解決方案。

“震網(wǎng)”的啟示
        無論有意還是無意，“震網(wǎng)”使用了在ICS 網(wǎng)絡(luò)中出現(xiàn)的一系列常規(guī)弱點(diǎn)：
        ? “震網(wǎng)”使用閃存（U盤）從物理接口進(jìn)入系統(tǒng)，然后使用Windows中的多處漏洞，獲得對(duì)PLC固件的訪問權(quán)限。通過攻擊Windows接口，焦點(diǎn)在Windows，而不是對(duì)PLC攻擊。另外，多數(shù)政府對(duì)工業(yè)初始的響應(yīng)不直接針對(duì)ICS工程師。
        ? 工業(yè)不知道復(fù)雜的ICS網(wǎng)絡(luò)攻擊是什么樣子，或哪種控制系統(tǒng)的獨(dú)有屬性被當(dāng)作目標(biāo)。一種復(fù)雜攻擊，諸如“震網(wǎng)”，多數(shù)不能被ICS中的侵入檢測(cè)系統(tǒng)和侵入保護(hù)系統(tǒng)（IDS/IPS）或ICS的信息安全研究人員所發(fā)現(xiàn)。能源部贊助資金開發(fā)IDS規(guī)則和簽名的努力沒有實(shí)施。
        ? DOE資助項(xiàng)目沒有針對(duì)老版本W(wǎng)indows，而普遍用于ICS的多數(shù)系統(tǒng)是老系統(tǒng)，這是“震網(wǎng)”的攻擊對(duì)象。DOE資助的集成安保系統(tǒng)不能發(fā)現(xiàn)它。工業(yè)需要理解ICS網(wǎng)絡(luò)漏洞的獨(dú)特性，不能使用典型的IT分析來發(fā)現(xiàn)。
        ? “震網(wǎng)”有6種傳播途徑，而現(xiàn)在僅有一個(gè)針對(duì)的補(bǔ)丁。因此，補(bǔ)丁管理應(yīng)該有最好減小影響的方法，阻止攻擊。
        ? DOE或DHS沒有針對(duì)PLC而作工作，就像針對(duì)基于Windows的SCADA系統(tǒng)、分布式控制系統(tǒng)和歸檔數(shù)據(jù)庫。因此，沒有開發(fā)出特定的IDS/IPS簽名。 
        ? “震網(wǎng)”代碼是模塊化的，“震網(wǎng)”代碼的很多部分可以應(yīng)用于任何ICS廠家。所以每家ICS廠商都需要做好準(zhǔn)備，預(yù)防“震網(wǎng)”的網(wǎng)絡(luò)攻擊，并且要準(zhǔn)備現(xiàn)場遭受攻擊后的恢復(fù)預(yù)案。 

[DividePage:NextPage]

        ? 反病毒解決方案可能不一定成功。直到實(shí)際的攻擊被破解之后，IT類型的解決方案可能提供了一種安保的錯(cuò)覺，并且影響ICS設(shè)備的性能。
        ? 發(fā)現(xiàn)這種蠕蟲要花費(fèi)資深I(lǐng)T安保研究人員的很大精力，還要花費(fèi)有經(jīng)驗(yàn)的ICS人員去理解這個(gè)機(jī)理。需要建立一支由IT安保研究人員、ICS專家、威脅分析師和法律專家的團(tuán)隊(duì)，應(yīng)對(duì)這些復(fù)雜的攻擊。
        ? 可能與以前的網(wǎng)絡(luò)病毒爆發(fā)（如Conficker）有很多聯(lián)系。聯(lián)系這些點(diǎn)和重新檢查以前ICS網(wǎng)絡(luò)事故，來考慮“新”攻擊是非常重要的。
        ? “震網(wǎng)”蠕蟲代表一種不同的相互依存－ICS廠商與用戶。在這種情況下，西門子PLC的感染可能影響多個(gè)工業(yè)領(lǐng)域，每種情況都有其依存性。需要理解這種依存性。
        ? NERC CIP流程還不足以應(yīng)對(duì)諸如“震網(wǎng)”這樣的事件，特別在運(yùn)行（變電站或工廠）環(huán)境。
        ? “震網(wǎng)”對(duì)智能電網(wǎng)的關(guān)鍵方面提出了危險(xiǎn)提示－依靠密鑰管理。智能電網(wǎng)網(wǎng)絡(luò)安保的緩解方法需要重新檢查。

其他問題
        華盛頓郵報(bào)刊登了一名高級(jí)防衛(wèi)部門官員在外交事務(wù)雜志上寫的報(bào)告，透露在2008年，由一個(gè)加載到在中東美國軍方筆記本的U盤進(jìn)行傳播，對(duì)美國政府（軍方）計(jì)算機(jī)和網(wǎng)絡(luò)的一次攻擊?！澳莻€(gè)代碼傳播在機(jī)密和非機(jī)密的系統(tǒng)上都檢測(cè)不到，建立了相當(dāng)于數(shù)字的灘頭陣地，從這里出發(fā)，由外國人控制把數(shù)據(jù)轉(zhuǎn)移到多臺(tái)服務(wù)器。”他在文章中說道。聽上去非常像“震網(wǎng)”，不是嗎？

        對(duì)于法規(guī)問題，NERC CIP標(biāo)準(zhǔn)有效但把“震網(wǎng)”排除在外，就像傳遞工具是閃存盤， 不是一個(gè)可路由的協(xié)議。“震網(wǎng)”使用危及安全的密匙。因?yàn)橹悄茈娋W(wǎng)將依靠密鑰管理，這對(duì)智能電網(wǎng)意味著什么？此外，PLC的使用遍及智能電網(wǎng)的各處，包括可再生能源等。

        在2010年9月2日，美國計(jì)算機(jī)網(wǎng)緊急響應(yīng)組（CERT）發(fā)布一個(gè)對(duì)“震網(wǎng)”更新的咨詢報(bào)告（ICSA -10-238-01A –“震網(wǎng)”惡意件緩解）。然而，咨詢報(bào)告沒有討論如何刪除在PLC級(jí)別的感染，甚至沒有告訴怎樣識(shí)別和發(fā)現(xiàn)它。

        對(duì)于“震網(wǎng)”我們可以做什么還是個(gè)問題，因?yàn)楝F(xiàn)在不可能指認(rèn)哪個(gè)控制器被“感染了”。 因?yàn)檫@是一個(gè)工程攻擊，工廠和變電站工程設(shè)計(jì)和計(jì)劃組織部門需要圍繞這類攻擊進(jìn)行工作，因?yàn)閺木W(wǎng)絡(luò)的觀點(diǎn)這是無法工作的。安全、保護(hù)和控制在同一個(gè)網(wǎng)絡(luò)上融合使得攻擊諸如“震網(wǎng)”會(huì)造成破壞性的結(jié)果。

建議：
        ? 根據(jù)IEC62443（ISA S99）、NERC CIP、核管制委員會(huì)（NRC）管制指南5-71和核能研究所（NEI）08-09，執(zhí)行一次詳細(xì)的漏洞分析。
        ? 建立和執(zhí)行ICS網(wǎng)絡(luò)安保策略和程序。
        ? 理解你的ICS中實(shí)際上有什么。
        ? 針對(duì)不同的ICS應(yīng)用恰當(dāng)?shù)募夹g(shù)。
        ? 有工程和計(jì)劃組織部門評(píng)估“震網(wǎng)”攻擊的潛在影響。
        ? 要準(zhǔn)備備份方案，因?yàn)镮CS可被有意或無意的網(wǎng)絡(luò)事故所影響。
        ? ICS網(wǎng)絡(luò)安保研究需要包括ICS現(xiàn)場設(shè)備，它們通常沒有安保功能，但可能遭受最糟的后果。

結(jié)論
        ? “震網(wǎng)”是一種對(duì)物理過程的攻擊，這意味著它不是“可補(bǔ)丁的”。
        ? 對(duì)ICS為目標(biāo)的復(fù)雜網(wǎng)絡(luò)攻擊，ICS人員幾乎沒機(jī)會(huì)能檢測(cè)它。
        ? IT惡意件的研究人員有最佳的機(jī)會(huì)去發(fā)現(xiàn)它。ICS人員需要與他們合作。
        ? 對(duì)于“震網(wǎng)”，ICS人員需要理解怎樣檢測(cè)感染，知道是否可以信任控制系統(tǒng)。
        ? 不要固定在西門子的設(shè)備上，這可能發(fā)生在任何的ICS上。
        ? 當(dāng)你的系統(tǒng)受影響時(shí)，馬上啟動(dòng)備份方案。

（轉(zhuǎn)載）