烏克蘭電力系統BlackEnergy病毒分析與防御

王勇，王鈺茗，張琳，張林鵬

（上海電力學院計算機科學與技術學院，上海 200090）

烏克蘭電力系統BlackEnergy病毒分析與防御

王勇，王鈺茗，張琳，張林鵬

（上海電力學院計算機科學與技術學院，上海 200090）

2015年12月，烏克蘭電力系統遭到BlackEnergy病毒攻擊，導致伊萬諾—弗蘭科夫斯克州地區發生多處同時停電的事故，該病毒也威脅到我國電力系統安全。通過獲取不同版本的BlackEnergy病毒樣本，構建了分析環境，發現了BlackEnergy攻擊方式，并給出了防御方法。

BlackEnergy病毒；病毒分析；入侵防御

1 引言

2015年12月14日，烏克蘭的伊萬諾—弗蘭科夫斯克州地區[1]發生多處同時停電的事件，黑客控制了電力系統，并遠程關閉了電網。緊接著，2015年12月27日，烏克蘭電力公司網絡系統再次遭到黑客攻擊，這是首次由黑客攻擊行為導致的大規模停電事件，據統計，此次影響導致成千上萬的烏克蘭家庭無電可用。烏克蘭的國家安全局（SBU）表示，這起停電是由黑客以惡意軟件攻擊電網所造成，2016 年 1 月 4 日，安全公司iSight Partners[2]表示烏克蘭電力系統感染了名為BlackEnergy的惡意軟件，并且已取得造成該起大規模停電的惡意程序代碼。

在此事件發生后的第一時間，由哈爾濱安天科技股份有限公司、北京四方繼保自動化股份有限公司與復旦大學創建的聯合分析小組正式啟動，哈爾濱安天科技股份有限公司[3]對烏克蘭電力運行系統和相關樣本進行分析后指出，這次烏克蘭停電事故是以 BlackEnergy病毒為主要攻擊手段，通過BOTNET 體系進行前期的資料采集和環境預置的有目的網絡攻擊事件；將惡意代碼通過電子郵件傳播，通過遠程控制下達斷電指令來操控和毀壞SCADA系統；同時以DDoS服務電話作為干擾，最終感染了至少3個地區[4]電力部門的基礎設施，導致發電設備產生故障，引起公眾恐慌。

就我國電力系統情況而言，在電力系統中應用最為廣泛的SCADA系統多以相對封閉網絡為主，通過橫向隔離裝置[4]進行單比特的校驗和單比特的回送確認，像 BlackEnergy這樣的惡意代碼很難滲入到電力二次系統。但是，目前國內的電力系統仍然有許多潛在風險，安全威脅主要來自外部與內部2個方面：1) 外部威脅，如非授權用戶進入控制系統，訪問內部資源，造成機密信息泄露、系統控制權被奪取等無法挽回的影響；2) 內部威脅主要集中在自身故障、授權用戶對系統的攻擊等方面。對此次烏克蘭事件，如果在攻擊者病毒中加入所需要的控制指令或攻擊代碼，只要設法將病毒帶入系統環境，那么在訪問文件或者調用動態鏈接庫時，就會觸發病毒，再加入相關的定時器代碼，與本地時鐘同步后，就可以對電廠發起定時攻擊，危害電力系統的運行。

本文通過對 BlackEnergy樣本的分析，簡述其攻擊過程、惡意破壞行為以及造成的后果，概括了 BlackEnergy的演變過程及每一代BlackEnergy的特點，給出了BlackEnergy的漏洞封堵和防御措施。

2 BlackEnergy病毒簡介

BlackEnergy的雛形最早形成于2007年，是一種近年來頗為流行的攻擊工具，廣泛用于實施網絡犯罪活動。

BlackEnergy已經形成了僵尸網絡（botnet）體系，它是采集目標節點相關信息的有力工具，通過配置build_id[5]的值來甄別受感染的目標，再從中選取較為容易攻破的系統進行內網縱深攻擊。經過不斷發展，BlackEnergy開始支持Rootkit的技術、組件技術、遠程代碼執行、采集信息等一系列功能，更具有威脅的是，BlackEnergy可以針對不同攻擊目標，由黑客選擇特定的組件組合使用。其更進一步的升級包括支持代理服務器、越過用戶賬戶便能夠認證（UAC）技術，以及針對64 bit Windows系統的簽名驅動等。

2.1 BlackEnergy 1

最早的BlackEnergy主要用于DDoS攻擊。它配有一套完整的生成器[6]，被觸發后就會自動生成客戶端程序和基于C&C（指揮和控制）服務器的命令生成腳本。攻擊者使用它建立僵尸網絡，只需在 C&C服務器端下達簡單指令，僵尸網絡受害主機便會統一地執行這一指令。與眾不同的是，這種bot并不與僵尸網絡IRC通信，也看不到任何從這個服務器上發起的攻擊。不同于傳統的 IRC，這是一個小（小于 50 kB）二進制的Windows平臺使用的簡單程序。

2.2 BlackEnergy 2

BlackEnergy 2[5]依然是一個DDoS類僵尸網絡程序，但在新的樣本中發現增加了加密程序，以欺瞞病毒軟件。驅動文件釋放后以名為服務方式注入系統進程，隨后遠程連接服務器，下載攻擊插件，根據配置文件對目標發起DDoS攻擊。

圖1 BlackEnergy 2 工作原理

任何可以接觸到 BlackEnergy 2的人都可以非常容易地利用它發起攻擊，而不需要復雜的部署和管理。黑客利用支持升級的組件更容易修改和擴展其功能，只要遠程控制中心發布命令，就可以快速實現組件的安裝和升級。

BlackEnergy 2的3個主要功能組件是SYN、HTTP以及DDoS攻擊組件[5]，樣本將下載后的攻擊組件加載到內存中執行，實現對服務器的遠程控制。BlackEnergy利用Windows Installer安裝包，將自身的安裝程序偽裝成名為 msiexec.exe的系統進程。此版本的最核心功能位于主DLL組件。該組件可以根據攻擊者的目標定制一個維護僵尸網絡的框架，用于與 C&C進行通信，同時它本身被隱藏在驅動組件中，文件系統無法察覺。但是主DLL組件只提供了一個最小的命令集合。

表1為烏克蘭病毒變種所支持的命令集合。主DLL組件通過一系列的API調用和組件進行通信，它為插件產生一些函數調用，同時，插件也依賴導出2個函數才能工作。

表1 烏克蘭病毒變種所支持的命令集合

2.3 BlackEnergy 3

根據 2014年 9月 F-Secure[7]發布的報告，BlackEnergy又出現了新的變種，BlackEnergy2的代碼幾乎全部被重寫而且采用不同的格式對配置數據進行保存。該變種不再使用驅動組件，但目前對該版本的攻擊事件還比較稀少。

BlackEnergy3 安裝程序的文件名仍為msiexec.exe，它的釋放器會在前臺打開一個看似無害的文件，從而悄然釋放病毒文件并執行。曾經檢測到樣本偽裝成一個Adobe Flash安裝程序，它不使用任何欺騙性的文檔或應用層程序，而且重啟后便不再運行。此版本實現了代理服務器技術、使用Windows 64 bit環境下繞過UAC和驅動程序簽名的相關技術。隨著不斷地演化，BlackEnergy不僅可以向Windows計算機發起攻擊，還對基于ARM或MIPS架構的路由器和Linux系統造成破壞。

3 BlackEnergy樣本分析

3.1 樣本獲取

在撰寫本文時，筆者無法準確得知受害者是如何接收到BlackEnergy惡意軟件的，但可以合理地推測出是他們在接收包含惡意附件的郵件時感染了該惡意軟件。在各方面的努力下，筆者獲取了一些 BlackEnergy樣本，通過對其進行分析和篩選，選擇具有典型代表的BlackEnergy 1樣本和BlackEnergy 3樣本，并對其分析過程進行詳述。BlackEnergy 1樣本帶有一個構建器（builder）應用程序，生成感染受害者機器的客戶端，同時該工具還配備了服務器端腳本，用于構建命令及控制（C&C）服務器。這些腳本也提供了一個接口，攻擊者可以通過接口控制僵尸機。該工具具有簡單易用的特點，即任何人只要能接觸到這個工具，就可以利用它來構建自己的僵尸網絡。

3.2 分析環境

由于BlackEnergy可以影響Windows 2000、Windows XP、Windows7、Vista等眾多平臺，本文對各個平臺下的實驗結果進行了對比和總結，并簡要概括具有代表性的 Windows 平臺下的實驗過程和結果。為了更好地對 BlackEnergy樣本進行監測，本文所涉及的測試都是在vmware虛擬機Windows XP、Windows 7 系統上進行的。

3.3 BlackEnergy病毒分析

圖2為BlackEnergy病毒1.7版本的生成器界面；修改Web服務文件，如圖3所示；登錄C&C服務器，界面如圖4所示；Web服務器運行界面如圖5所示。

圖2 BlackEnergy病毒1.7版本生成器界面

圖3 Web服務文件

圖4 Web服務器登錄界面

圖5 Web服務器運行界面

該 Web版本服務器將受害者機器相關信息Base 64編碼后回傳到C&C服務器中，可以看出Base 64解碼后的內容就是服務器上的配置信息加上一個上線ID號，BlackEnergy配置還包含一個叫build_id的值，該字符串是個特殊字符串，用來甄別受感染個體。Base 64加密和解密分別如圖6和圖7所示。

圖6 Base 64加密

圖7 Base 64解密

程序在執行后，首先會查看當前系統是否安裝病毒自身。如果沒有，程序運行后會釋放文件到系統目錄下，名為mssrv32.exe，并創建一個互斥量來確保只運行一個程序，并刪除自身程序，創建新的線程注入到SVCHOST.EXE中，聯網訪問服務器頁面。

圖8為釋放文件到系統目錄下并創建互斥量的代碼。在文件的.bdata節中，存放著Base64編碼數據。解碼后得到的是生成器的配置信息。如圖9所示。

圖8 Ollydbg分析結果1

圖9 Ollydbg分析結果2

病毒創建一個名為Microsoft defender update service的服務，如圖 10所示。使用該名稱來欺騙用戶啟動看似正常的系統安全服務程序，通過該服務程序啟動病毒復制自身到Windows目錄下的svchost.exe文件，如圖11所示，啟動命令行的是svchost.exe -service。

圖10 創建Microsoft security update service服務

圖11 Windows目錄下的svchost.exe文件

程序運行后會釋放文件到系統目錄下，名為mssrv32.exe，并創建一個互斥量來確保只運行一個程序，并刪除自身程序，創建新的線程注入到svchost.exe中，聯網訪問服務器頁面。如圖12和圖13所示。

河南省旅游資源豐富，近年來旅游產業發展迅速。但由于旅游資源、旅游接待設施等客觀原因，河南省旅游經濟發展不均衡，城市間的旅游經濟聯系差異也較大。鄭州市雖作為河南省中心城市，但增長極作用沒有得到充分發揮，各城市間旅游經濟聯系不足，缺乏進一步發展的動力。而學者們對河南旅游經濟的研究側重于旅游經濟的演化和發展對策[20-21]，對河南省旅游經濟聯系的網絡化探討不足。本文借助萬有引力模型，以旅游經濟聯系為基礎，運用社會網絡分析方法，對2010-2016年河南省18個城市之間旅游經濟網絡結構特征及其影響因素進行深入探討，以期為河南省旅游業的持續協調發展提供理論指導。

然后，該BlackEnergy 客戶端通過HTTP與C和 Cserver溝通。它使用 HTTP POST請求stat.php頁，如圖14所示。POST請求數據然后登錄到“統計”表中，信息發送的 HTTP POST請求消息包括ID和建立ID參數。

ID參數是一個組合的SMB主機名和C：被感染機器的卷信息。DDoS攻擊的 BlackEnergy僵尸網絡可以啟動控制的“洪水”命令的參數，如下。

icmp：一個基于icmp ping洪水。

syn：基于TCP syn洪水。

udp：基于udp流量洪水。

http：http GET請求洪水。這個命令格式的洪水如下。

URI http 〈主機名〉 〈可選〉，如“洪水 http www.li-da.org index . php”。

圖12 成功創建并設置為自啟動服務

圖13 釋放文件并創建互斥量

圖14 使用HTTP POST請求stat.php頁

data：一個基本的二進制包洪水。

例如，http攻擊指令http_start，如圖15所示。

圖15 http攻擊指令

stop命令指示的 bot客戶端暫時停止 DDoS洪水，如圖16所示。

圖16 stop命令指示

die命令指示的bot客戶端刪除自己受感染的系統，它調用退出當前進程，終止進程并停止所有的DDoS活動。如圖17所示。

圖17 die命令指示

圖18為BlackEnergy病毒的樣本，DOC文檔中包含了宏病毒，當用戶啟用宏，病毒就會伴隨著文檔的打開而自動進行感染系統。

圖18 攜帶宏病毒的Excel文件

本文通過使用 oledump軟件攻擊不運行Word提取其中的宏，文件中包含的宏病毒一旦被打開就會自動釋放.exe文件。如圖19和圖20所示。

圖19 oledump提取宏代碼 1

圖20 oledump提取宏代碼 2

如圖21所示，首先通過25個函數定義768個數組，并在數組中寫入二進制數據。

圖21 oledump提取宏代碼 3

宏指令通過循環將二進制數據寫入到指定磁盤文件（“vba_macro.exe”），即 BlackEnergy Dropper，此文件隨后通過Shell命令被執行。

4 BlackEnergy的攻擊與防御

4.1 漏洞利用

Microsoft Windows OLE（對象鏈接與嵌入）是美國微軟公司的一種允許應用程序共享數據和功能的技術。其中存在的一個漏洞CVE-2014-4114[8]，幾乎對目前所有Windows版本構成威脅，該漏洞以郵件附件為傳播手段，在office文檔中嵌入惡意程序。office2007系列組件是一個主要的漏洞攻擊載體。

iSIGHT Partners廠商[9]宣稱發現，新的0day被俄羅斯黑客用在針對北約的名為“SandWorm”的APT攻擊中，該漏洞首次被發現。經過初步分析，CVE-2014-4114漏洞也能被BlackEnergy利用，其觸發的核心在于 office系列組件加載 Ole對象，Ole對象可以通過遠程下載，在加載 Ole包時，會下載2個文件，一個為inf文件，一個為gif（實質上是可執行病毒文件）。將下載的gif文件的后綴名改為exe并加入到開機啟動項，此病毒文件就是 BlackEnergy。隨后調用 C:Win dowsSystem32InfDefaultInstall.exe 執行下載下來的inf文件，從而造成了遠程任意代碼執行。

4.2 攻擊步驟

攻擊者首先將惡意代碼嵌入電子郵件的office附件中，入侵目標主機后，利用漏洞CVE-2014-4114迷惑目標主機執行病毒exe程序，遠程連接 C&C服務器進行交互，將目標主機的關鍵信息發送給攻擊者。

宏病毒利用工控HMI（人機界面）遠程執行漏洞（CVE-2014-0751[10]）對內網發起攻擊，遠程攻擊者可通過向TCP 10212端口發送特制報文利用該漏洞執行任意代碼，從而控制內網的HMI。

攻擊者將 BlackEnergy嵌入內網 HMI，BlackEnergy開啟DropbearSSH[11]后門，SSH服務器連接端口6789。在被感染的內網運行SSH，攻擊者可以進退自如。

攻擊者啟動BlackEnergy的KillDisk組件，該組件的主要目的是破壞原有數據，用隨機數據覆蓋原文件，并且讓系統無法重啟。

4.3 防御措施

通過對 BlackEnergy和烏克蘭事件各方面的分析可以看出，SCADA系統很大程度上仍受制于所采用操作系統自身的漏洞和缺陷。因此本文從以下幾個方面對SCADA系統進行安全防護。雖然過去的工控系統相對封閉，但是隨著移動互聯的發展，很多工控的采集點[11]都已經暴露在互聯網上，可以輕易被攻擊，并以此為基礎進入管理系統，因此加強系統與互聯網之間的安全防護級別至關重要，盡量避免把系統任何部分直接暴露在互聯網上。對工控系統采用的國外產品進行全面的安全檢查，以避免可被利用的后門存在的風險，同時監測第三方供貨商提供任何管理員級別賬戶的動作，刪除或重命名系統默認賬戶；安裝工控系統專用防火墻，對各部分通信行為進行嚴格監管，禁止外接設備，使用專用的安全U盤，阻斷潛在的攻擊路徑。關閉系統中不必要的應用和服務，安排專人對工控設備做定時的升級和打補丁操作。

從此次烏克蘭電力系統遭受黑客攻擊導致停電的事件中，可以看到如下問題：存在安全防護體系方面的漏洞，工控系統與網絡直接相連沒有任何隔離措施；BlackEnergy病毒入侵工控系統后存在一定的潛伏期，但由于網絡安全監控不到位并未發現任何病毒入侵異常；攻擊者通過發送偽裝郵件的方式致使烏克蘭方面的工作人員打開了惡意植入程序，雖然在此之前國際安全機構曾向其發出過預警信息，但由于網絡信息安全防范方面的意識薄弱，并未得到重視。

5 結束語

本文概括地介紹了 BlackEnergy病毒的發展歷程，將 BlackEnergy三代病毒分別進行了初步分析，通過對現有樣本模擬攻擊以及反匯編原理的分析，得出了 BlackEnergy的入侵方法，分析推測得出烏克蘭事件 BlackEnergy的攻擊過程，以及此病毒對系統漏洞的利用從而逐步感染電力系統的過程。同時根據 BlackEnergy的行為特點和烏克蘭事件所造成嚴重的后果指出了目前SCADA系統在網絡信息安全方面存在的隱患及不足。同時也給出了在電力安全工控系統當中，針對網絡安全方面的一些可防護入侵措施。

但本文只是在理論分析層面以及BlackEnergy的入侵步驟等基礎方向進行了初步分析，所給出的預防措施也沒有根據我國國情具體考慮在不同地區不同領域實際的可行度。未來的研究方向是，通過此次烏克蘭事件收集更多可用的信息，找到最新的病毒版本進行分析，獲取BlackEnergy病毒的源代碼，并且構建一套完整的模擬電力工控系統的體系，進行實際的病毒入侵實驗，在實際操作過程中確認防護入侵措施的有效性、可行性，從而進一步完善電力工控系統的安全性措施。

[1] Brian Prince(2014). Researchers go inside black energy malware[EB/OL]. http://www.securityweek.com/researchers-go-insideblackenergy-malware.

[2] John Hultquist(2014). Sandworm team – targeting SCADA systems[EB/OL]. https://www.isightpartners.com/2014/10/sandwormteam-targeting-scada-systems/.

[3] 安天實驗室. 烏克蘭停電事件啟示錄[J]. 中國信息安全, 2016(4):48-53. Antiy Lab. Revelation of blackout in Ukraine[J]. China Information Security , 2016(4):48-53.

[4] 綠盟科技(2016). 從烏電事件看我國電力安全[EB/OL]. http://www. aiweibang.com/yuedu/82697112.html. NSFOCUS.(2016). Power safety in China from Ukraine's power grid incident[EB/OL]. http://www. aiweibang.com/yuedu/ 82697112. html.

[5] 哈爾濱安天科技股份有限公司、北京四方繼保自動化股份有限公司、復旦大學網絡空間治理研究中心. 烏克蘭電力系統遭受攻擊事件綜合分析[J]. 信息安全研究, 2016(3):243. Harbin Antiy Tech. Co. Ltd., Beijing Sifang Automation Co. Ltd., Fudan University Network Space Management Research Center. Comprehensive analysis of Ukraine's power grid incident[J].Journal of Information Security Research, 2016(3):243.

[6] 安天實驗室安全研究與應急處理中心. BlackEnergy簡報[EB/OL]. http://www.antiy.com/response/BlackEnergy/BlackEnergy.html. Antiy CERT. BlackEnergy briefing[EB/OL]. http://www.antiy.com/ response/BlackEnergy/ Black-Energy.html.

[7] F-secure. (2014) BLACKENERGY & QUEDAGH: the convergence of crimeware and APT attacks[EB/OL]. https://www.f-secure.com/ documents/996508/1030745/blackenergy_whitepaper.pdf

[8] CVE通用漏洞與披露(2014). Microsoft Windows OLE 遠程執行代碼漏洞(CNNVD-201410-268)[EB/OL]. http://cve.scap.org.cn/ CVE-2014-4114.html. CVE Common vulnerabilities and disclosures(2014). Windows OLE remote code execution vulnerability (CNNVD-201410-268) [EB/OL]. http://cve.scap.org.cn/CVE-2014-4114.html.

[9] 翰海源安全(2014). Windows任意代碼執行0day (CVE-2014-4114)分析報告[EB/OL]. http://www.freebuf. com/news/46956.html. Nanjing Vulnhunt Information Security Inc. Analysis report of Windows arbitrary code execution of 0day (CVE-2014-4114) [EB/OL]. http://www.freebuf.com/news/46956.html.

[10] CVE通用漏洞與披露(2014). GE intelligent platforms proficy HMI/SCADA-CIMPLICITY 目錄遍歷漏洞(CNNVD-201401-524) [EB/OL]. http://cve.scap.org.cn/CVE-2014-0751.html. CVE Common vulnerabilities and disclosures. GE Intelligent platforms proficy HMI/SCADA-CIMPLICITY directory traversal vulnerability (CNNVD-201401-524) [EB/OL]. http://cve.scap.org. cn/CVE-2014-0751.html.

[11] 王得金. 從烏克蘭電網被攻擊事件看我國基礎電網面臨的安全風險及處置建議[J]. 中國信息安全, 2016(3): 91-93. WANG D J. Security risks faced by China's basic power grids and suggestions on disposal from the attacked events in Ukraine power grid[J]. China Information Security, 2016(3): 91-93.

Analysis and defense of the BlackEnergy malware in the Ukrainian electric power system

WANG Yong, WANG Yu-ming, ZHANG Lin, ZHANG Lin-peng

(School of Computer Science and Technology, Shanghai University of Electric Power, Shanghai 200090, China)

Ukrainian electric power system suffered BlackEnergy virus attacks in December 2015, resulting in blackout accident occurred simultaneously at multiple areas in Ivano-Frankovsk region, the malware also pose a threat to the electric power system security in China. Based on different versions of samples of BlackEnergy acquired, the attack mode was analyzed and the prevention of the virus was provided under the proper analysis environment.

BlackEnergy virus, virus analysis, intrusion prevention

TP393

A

10.11959/j.issn.2096-109x.2017.00139

王勇（1973-），男，河南駐馬店人，博士，上海電力學院教授，主要研究方向為電力系統攻防試驗床、病毒分析、入侵檢測。

王鈺茗（1994-），女，山東煙臺人，上海電力學院本科生，主要研究方向為病毒分析。

張琳（1995-），女，黑龍江綏化人，上海電力學院本科生，主要研究方向為病毒分析。

張林鵬（1991-），男，河北邢臺人，上海電力學院碩士生，主要研究方向為電力系統防火墻。

2016-10-14；

2016-12-30。通信作者：王鈺茗，bubugab@163.com

上海科委地方能力建設基金資助項目（No.15110500700）；上海市浦江人才計劃基金資助項目(No.16PJ1433100)；上海自然科學基金資助項目（No.16ZR1436300）；上?？莆行∑髽I創新基金資助項目（No.1601H1E2600）

Foundation Items: The Project of Shanghai Science and Technology Committee (No.15110500700), Shanghai Pujiang Program (No.16PJ1433100), Shanghai Municipal Natural Science Foundation (No.16ZR1436300), Shanghai Science and Technology Innovation Fund for Small and Medium Enterprises (No.1601H1E2600)