Win32 Industroyer技术分析与防护方法

2017年6月，安全公司ESET发现了针对工控系统的恶意软件Win32/Industroyer，并提前向Dragos公司做了通过，Dragos通过对ESET分析结果进行验证后，公布了Win32/Industroyer的hash信息以及分析报告。

攻击目标

针对工控系统，支持以下四种工控协议：

IEC 60870-5-101 (aka IEC 101)

IEC 60870-5-104 (aka IEC 104)

IEC 61850

OLE for Process Control Data Access (OPC DA)

攻击流程

样本分析

检测与防护方案

主机类

检测并删除以下文件：

101.dll，Crash101.dll，104.dll，Crash104.dll，61850.dll，Crash61850.dll，OPCClientDemo.dll，CrashOPCClientDemo.dll，D2MultiCommService.exe，CrashD2MultiCommService.exe，61850.exe，OPC.exe，haslo.exe，haslo.dat。

检测并删除以下注册表项

HKLMSYSTEMCurrentControlSetServicesdefragsvc

服务类

短期服务：绿盟科技工程师现场木马后门清理服务（人工服务+IPS+TAC）。确保第一时间消除网络内相关风险点，控制事件影响范围，提供事件分析报告。

中期服务：提供3-6个月的风险监控与巡检服务（IPS+TAC+人工服务）。根除风险，确保事件不复发。

长期服务：基金行业业务风险解决方案（威胁情报+攻击溯源+专业安全服务）。

总结

Win32/Industroyer是一款专门针对工控系统的恶意软件，支持IEC 101、IEC 104、IEC 61850以及OPC DA四种工控协议。样本分为多个模块，主后门程序负责安装其他模块运行，并与C&C通信，接收C&C指令，根据指令执行下一步操作，针对工控协议的攻击分别有独立的payload完成，攻击能够导致工控系统崩溃，无法提供正常服务。

想了解更全面的技术分析与防护方法，请点击文末阅读原文。

	请点击屏幕右上方“…” 关注绿盟科技公众号 NSFOCUS-weixin

↑↑↑长按二维码，下载绿盟云APP