Win32 Industroyer技术分析与防护方法
2017年6月,安全公司ESET发现了针对工控系统的恶意软件Win32/Industroyer,并提前向Dragos公司做了通过,Dragos通过对ESET分析结果进行验证后,公布了Win32/Industroyer的hash信息以及分析报告。
攻击目标
针对工控系统,支持以下四种工控协议:
IEC 60870-5-101 (aka IEC 101)
IEC 60870-5-104 (aka IEC 104)
IEC 61850
OLE for Process Control Data Access (OPC DA)
攻击流程
样本分析
检测与防护方案
主机类
检测并删除以下文件:
101.dll,Crash101.dll,104.dll,Crash104.dll,61850.dll,Crash61850.dll,OPCClientDemo.dll,CrashOPCClientDemo.dll,D2MultiCommService.exe,CrashD2MultiCommService.exe,61850.exe,OPC.exe,haslo.exe,haslo.dat。
检测并删除以下注册表项
HKLMSYSTEMCurrentControlSetServicesdefragsvc
服务类
短期服务:绿盟科技工程师现场木马后门清理服务(人工服务+IPS+TAC)。确保第一时间消除网络内相关风险点,控制事件影响范围,提供事件分析报告。
中期服务:提供3-6个月的风险监控与巡检服务(IPS+TAC+人工服务)。根除风险,确保事件不复发。
长期服务:基金行业业务风险解决方案(威胁情报+攻击溯源+专业安全服务)。
总结
Win32/Industroyer是一款专门针对工控系统的恶意软件,支持IEC 101、IEC 104、IEC 61850以及OPC DA四种工控协议。样本分为多个模块,主后门程序负责安装其他模块运行,并与C&C通信,接收C&C指令,根据指令执行下一步操作,针对工控协议的攻击分别有独立的payload完成,攻击能够导致工控系统崩溃,无法提供正常服务。
想了解更全面的技术分析与防护方法,请点击文末阅读原文。
请点击屏幕右上方“…” NSFOCUS-weixin | |
↑↑↑长按二维码,下载绿盟云APP
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
随时掌握互联网精彩
- 1 中美双方应该彼此成就 4953361
- 2 社保缴十五年可坐等退休?解释来了 4929163
- 3 微信发文件3小时内可撤回 4850409
- 4 中国外贸开局有力起势良好 4708705
- 5 47岁男子兜里每天放6张医保卡 4616381
- 6 舞蹈老师踩断学生腿只愿赔5万 4570261
- 7 有学生喝完体考神器像万根毛针在刺 4459372
- 8 浙江江山发现新物种须女景天 4399502
- 9 网约车被路政追赶致2死1伤不实 4270052
- 10 余华建议女学生结婚要找江浙男 4186255