诚信白癜风医院 http://news.39.net/bjzkhbzy/180415/6169061.html年12月23日当地时间15时左右,乌克兰首都基辅部分地区和乌克兰西部的万名居民突然遭遇了一次长达数小时的大规模停电,至少三个电力区域被攻击。Kyivoblenergo电力公司称:公司因遭到入侵,导致7个KV的变电站和23个35KV的变电站出现故障,导致用户断电。有报道称是“沙虫”组织采用技术手法策划了这次事件。沙虫组织可能的攻击过程分析如下:(1)通过鱼叉式钓鱼邮件或其他手段,首先向“跳板机”植入BlackEnergy。过程如下:① 黑客通过收集目标用户邮箱,然后向其定向发送携带恶意文件的Spam邮件。② 疏于安全防范的用户打开了带宏病毒的Office文档(或利用Office漏洞的文档)即可运行Installer(恶意安装程序),Installer则会释放并加载Rootkit内核驱动。③ Rootkit使用APC线程注入系统关键进程svchost.exe(注入体main.dll)④ main.dll会开启本地网络端口,使用HTTPS协议主动连接外网主控服务器⑤ 一旦连接成功,开始等待黑客下发指令就可以下载其他黑客工具或插件。BlackEnergy攻击过程(2)通过BlackEnergy建立据点,以“跳板机”作为据点进行横向渗透,之后通过攻陷监控/装置区的关键主机。同时由于BlackEnergy已经形成了具备规模的僵尸网络以及定向传播等因素,亦不排除攻击者已经在乌克兰电力系统中完成了前期环境预置和持久化。跳板机攻击(3)攻击者在获得了SCADA系统的控制能力后,通过相关方法下达断电指令导致断电。SCADA系统下达断电指令(4)重拳组合,清除痕迹,加大问题解决难度:采用覆盖MBR和部分扇区的方式,导致系统重启后不能自举(自举只有两个功能:加电自检和磁盘引导。);采用清除系统日志的方式提升事件后续分析难度;采用覆盖文档文件和其他重要格式文件的方式,导致实质性的数据损失。重拳出击(5)攻击者一方面在线上变电站进行攻击的同时,DDos攻击电力客服中心,使得客服中心无法接到停电地区的投诉,延长了攻击造成的影响时长,最终导致停电几个小时。乌克兰这次停电的背后是日益严重的国际争端,网络安全也是国家安全的重要组成部分,必须重视网络安全。
转载请注明:http://www.aierlanlan.com/rzfs/6864.html
