近期，安全研究人員發現了一種新的類似震網病毒的惡意軟件，并將其命名為：Havex，這種惡意軟件已被用在很多針對國家基礎設施的網絡攻擊中。Havex病毒被發現的時間雖然不長，但是目前已經發現有超過8000個能源設施被感染。

就像著名的Stuxnet蠕蟲病毒，Havex也是被編寫來感染SCADA和工控系統中使用的工業控制軟件，這種惡意軟件在有效傳播之后完全有能力實現禁用水電大壩、使核電站過載、甚至有能力關閉一個地區和國家的電網。這個病毒的來源組織目前被定義為蜻蜓組織或活力熊，主要攻擊目標以能源行業為主。

Havex攻擊傳播路徑

它的攻擊手段和攻擊路徑簡單來說一共有三種。如圖1所示。

圖1　Havex攻擊路徑

第一種是通過篡改供應商網站，使我們通過這個網站上下載的軟件升級包中包含惡意間諜軟件。接下來這種惡意間諜代碼就會自動安裝到OPC客戶端，惡意間諜代碼通過OPC協議發出非法數據采集指令，OPC服務器回應數據信息，將信息加密并傳輸到C&C （命令與控制）網站。據不完全統計，目前能夠發現的Havex病毒用來通信的C&C服務器多達146個，并且有超過1500個IP地址正在向C&C服務器發送數據，這些數字還在持續增加中。

第二種攻擊路徑是通過社會工程向工程人員發送包含惡意間諜代碼的釣魚郵件，當初震網病毒就是采用這種途徑傳播的。

當然還有一種攻擊傳播途徑最為直接，那就是利用系統漏洞，直接將惡意代碼植入，這是針對于一些防護能力較差的網絡而言。

現在我們發現已經有三個廠商的主站以這種方式被攻入，其網站上提供的軟件安裝包中包含了Havex。我們懷疑還會有更多類似的情況，但是尚未確定。這三家公司都是開發面向工業領域的設備和軟件，這些公司的總部分別位于德國、瑞士和比利時。其中兩個供應商為ICS系統提供遠程管理軟件，第三個供應商為開發高精密工業攝像機及相關軟件。在中國無論是能源行業，還是軌道交通行業，都需要下載這些軟件包，也就是說都有被病毒攻入的危險。

Havex深度解析

通過反向工程Havex程序，我們發現它會枚舉局域網中的RPC服務，并尋找可連接的資源，Havex通過調用IOPCServerList和IOPCServerList2 DCOM接口來枚舉目標機器上的OPC服務，隨后Havex可以連接到OPC服務器，通過調用IOPCBrowse DCOM接口獲取敏感信息。

Havex的可怕性

Havex病毒有很多值得關注的特征。第一，這是一個非常強大的職業黑客組織針對工業控制系統（SCADA）而專門研制的攻擊手段；第二，版本眾多無法及時有效識別（先發現的已經擁有80多個不同版本），因為它的特征一直在不斷變化，所以我們無法實現有效的防御；第三，這種病毒針對能源行業的APT，一旦攻擊成功后果嚴重；第四，可以直接控制OPC客戶端對OPC服務器發出非法指令操作PLC和現場設備，而目前市場上流行的大多防護手段對其是束手無策的。

Havex標志著工控網絡安全已經進入APT2.0時代

在我看來，2010年出現震網病毒標志著工業控制網絡安全進入了APT1.0時代，震網之后又出現了Duqu病毒、Flame病毒等，2014年，Havex浮出水面，它的攻擊手段更先進，更隱蔽，攻擊范圍更廣闊，這標志著工控網絡進入APT2.0時代，而這些也正是APT2.0時代的病毒特征。

工控網絡安全事件數量統計，如圖2所示。

工控網絡安全事件比例統計，如圖3所示。

圖2　工控網絡安全事件數量統計

圖 3　工控網絡安全事件比例統計

我們應該意識到網絡黑客組織已經無處不在，Havex及其背后的蜻蜓組織只是威脅工控網安全的黑客組織的冰山一角。

傳統的信息安全手段無法保護工控網絡

工控網絡的特點決定了基于辦公網和互聯網設計的信息安全防護手段（如防火墻、病毒查殺等）無法有效地保護工控網絡的安全。

尤其是針對于APT1.0時代較為傳統的防護手段已經無法防御不斷升級的攻擊。北京匡恩網絡科技有限責任公司（以下簡稱匡恩網絡）是針對于工控網絡安全領域而建立的創新企業，致力于為工業控制網絡APT2.0時代中的對抗提供有效的防御體系。

完整的解決方案

目前來看，在我國信息安全體系中還有很多工具、手段不完整，甚至整個產業鏈都是不完整的，需要從檢測工具、保護系統、安全數據庫、安全漏洞庫到安全服務整個體系的創新。

匡恩網絡的整體解決方案，如圖4所示。

圖4　匡恩網絡的整體解決方案

匡恩網絡的技術體系，如圖5所示。

圖5　匡恩網絡的技術體系

匡恩網絡的解決方案特點，如圖6所示。 匡恩網絡解決方案及產品形態主要分為以下五種。

圖6　匡恩網絡的解決方案特點

（1）風險評估平臺

風險評估平臺是針對工控系統中設備、協議、結構等一系列單元的漏洞和風險開發的測試工具，通過對漏洞在被測系統中的驗證可以更好提高系統的茁壯性，如圖7所示。

圖7　風險評估平臺

 （2）漏洞挖掘平臺

是一款針對工控系統研發的高端漏洞挖掘工具，用戶可以通過提供的工具箱深度挖掘出系統中存在的漏洞，可以減少零日漏洞等一系列的系統風險。

（3）智能監控平臺

智能監測平臺是一款針對工控系統設計的實時告警系統，此平臺可以快速識別出系統中的非法操作、異常事件以及外部攻擊并發出告警，是一款外掛的監測平臺。

（4）智能保護平臺

智能保護平臺是一款針對工控系統設計的防御系統，此平臺可以快速識別出系統中的非法操作、異常事件以及外部攻擊并及時告警和阻斷非法數據包。如圖8所示。

圖8　智能保護平臺

 （5）數據采集保護平臺

基于數據采集系統所用傳輸協議，數采保護平臺可以實時對采集的信息進行深度解析，確保采集數據的完整性和安全性。如圖9所示。

圖9　數據采集保護平臺

除此之外，匡恩網絡還可以提供多種服務如工控網絡安全培訓、工控系統風險評估、工控設備漏洞挖掘、演示實驗系統搭建等。

作者簡介

孫一桉，男，現任北京匡恩科技網絡有限責任公司總裁兼首席執行官，公司創始人。曾在國際知名的網絡和通信企業的核心系統開發部門中擔任高級技術和管理職位，具有在通信和網絡行業近二十年的開發和管理經驗。成功領導了十幾項大型網絡安全領域的大型高科技創新項目。具備豐富的網絡安全技術和項目經驗、科技創新產業化經驗，以及創新團隊組織領導和創新企業管理的執行經驗。

摘自《工業控制系統信息安全專刊（第一輯）》