1 事件综述
2015年12月23日,乌克兰电力部门遭受到恶意代码攻击,乌克兰新闻媒体TSN在24日报道称:“至少有三个电力区域被攻击,并于当地时间15时左右导致了数小时的停电事故”; “攻击者入侵了监控管理系统,超过一半的地区和部分伊万诺-弗兰科夫斯克地区断电几个小时。”
Kyivoblenergo电力公司发布公告称:“公司因遭到入侵,导致7个110KV的变电站和23个35KV的变电站出现故障,导致80000用户断电。”
安全公司ESET在2016年1月3日最早披露了本次事件中的相关恶意代码[2],表示乌克兰电力部门感染的是BlackEnergy(黑色能量),BlackEnergy被当作后门使用,并释放了KillDisk破坏数据来延缓系统的恢复。同时在其他 服务器 还发现一个添加后门的SSH程序,攻击者可以根据内置密码随时连入受感染主机[3][4][5][6]。BlackEnergy曾经在2014年被黑客团队“沙虫”用于攻击欧美SCADA工控系统,当时发布报告的安全公司iSIGHT Partners在2016年1月7日发文,将此次断电事件矛头直指“沙虫”团队,而在其2014年关于“沙虫”的报告中,iSIGHT Partners认为该团队与俄罗斯密切相关。
俄乌两国作为独联体中最重要的两个国家,历史关系纠缠复杂。前苏联解体后,乌克兰逐渐走向“亲西疏俄”的方向,俄罗斯总统普京于2008年在北约和俄罗斯的首脑会议上指出,如果乌克兰加入北约,俄国将会收回乌克兰东部和克里米亚半岛(1954年由当时的苏共领导人决定从俄罗斯划归到乌克兰)。在2010年年初,由于亲俄的亚努科维奇当选为乌克兰总统,两国关系重新改善,但随着乌克兰国内政局,特别是在2014年发生了克里米亚危机等事件后,乌克兰中断了大部分与俄罗斯的合作,两国关系再度恶化。而围绕天然气展开的能源供给问题,一直是两国博弈的主要焦点。2014年3月16日,克里米亚发起全国公投,脱离乌克兰,成立新的克里米亚共和国,加入俄罗斯联邦。2015年11月22日凌晨,克里米亚遭乌克兰断电,近200万人受影响。2015年12月23日,乌克兰国家电力部门遭受恶意代码攻击导致断电。
除ESET外,多个安全企业和安全组织跟进了相关系列事件,2016年1月9日,美国工控系统安全组织SANS ICS发布报告对乌克兰变电站SCADA系统被攻击过程进行了分析和猜测;2016年1月15日,根据CERT-UA的消息,乌克兰最大机场基辅鲍里斯波尔机场网络遭受BlackEnergy攻击;2016年1月28日,卡巴斯基的分析师发现了针对乌克兰STB电视台攻击的BlackEnergy相关样本;2016年2月16日,趋势科技安全专家在乌克兰一家矿业公司和铁路运营商的系统上发现了BlackEnergy和KillDisk样本。
安天、四方继保与复旦大学于2016年1月5日建立了联合分析小组(以下简称“联合分析组”),正式启动对此次事件的分析;1月9日,完成事件相关样本基本分析;1月23日,完成初步分析报告,并在中国计算机学会计算机安全专业委员会相关事件的研讨活动中进行分发;2月24日,报告最终定稿发布。
联合分析组根据对整体事件的跟踪、电力运行系统分析和相关样本分析,认为这是一起以电力基础设施为目标;以BlackEnergy等相关恶意代码为主要攻击工具,通过BOTNET体系进行前期的资料采集和环境预置;以邮件发送恶意代码载荷为最终攻击的直接突破入口,通过远程控制SCADA节点下达指令为断电手段;以摧毁破坏SCADA系统实现迟滞恢复和状态致盲;以DDoS服务电话作为干扰,最后达成长时间停电并制造整个社会混乱的具有信息战水准的网络攻击事件。
特别值得注意的是,本次攻击的攻击点并不在电力基础设施的纵深位置,同时亦未使用0Day漏洞,而是完全通过恶意代码针对PC环节的投放和植入达成的。其攻击成本相对震网[8][9]、方程式等攻击,显著降低,但同样直接有效。
2 电力系统原理及断电原因分析
2.1 电力系统概述
电力系统是一套由发电厂、送变电线路、供配电所和用电等环节组成的电能生产与消费系统。整体的运行过程是由电源(发电厂)的升压变电站升压到一定等级后,经输电线路输送到负荷中心变电站,通过变电站降压至一定等级后,再经配电线路与用户连接。在整体电力系统中,使用计算机的节点主要在发电、变电站以及调度中心部分。
图 1 电力系统示意图
2.2 电力系统环节介绍
2.2.1 升压变电站
图 2 升压变电站
升压变电站可以将交流电从不大于20KV的电压变换至需要的输电电压等级。其主要设备包括:升压变压器,断路器、隔离开关、互感器、继电保护等。
2.2.2 输电线路
图 3 输电线路
2.2.3 降压变电站
图 4 降压变电站
根据变电站在系统中的地位,可分为:枢纽变电站、中间变电站、地区变电站、终端变电站。
图 5 某500KV枢纽变电站
图 6 某220KV中间变电站
图 7 某110KV地区变电站
图 8 某35KV终端变电站
2.2.4 配电网
配电网在电力网中主要是把输电网送来的电能再分配和送到各类用户,担任配送电能的任务。配电设施包括配电线路、配电变电所、配电变压器等。
2.3 变电站自动化系统概述
联合分析组工作的一个困难,是难以获得乌克兰地区电力系统更准确的资料。新中国在建国初期,得到了前苏联在专家、技术和设备上的支持,因此电网电压等级有一部分沿袭自前苏联电压等级,但之后由于特殊的历史原因,双方的技术联系被长期切断,改革开放后,中国又迅速转向引进欧美技术。相关信息只透露了受到影响的变电站为110kV和35kV。联合分析组只能据此做出部分“常识性”的判断,通常来看,交流750kV和直流±400kV以上的高压电网主要是跨区域输电网络,交流500kV、330kV、220kV和110kV电网主要作为区域内输电主网,35kV和10kV电网主要作为配电网络和农电网络,而其中110kV和35kV变电站属于接近最终用户的变电站。
对于一个实际的变电站,通常习惯将隔离开关(刀闸)、断路器、变压器、PT、CT等直接与高压(强电)相关的设备称为一次设备,而将保护(继电保护)、仪表、中央信号、远动装置等保护、测量、监控和远方控制设备称为二次设备,二次设备所需的信号线路、通信线路等称为二次接线。变电站综合自动化系统(以下简称变电站自动化系统)的核心是将二次设备系统进行计算机化,集变电站保护、测量、监控和远方控制于一体,替代常规变电站二次设备,简化二次接线。变电站自动化系统是最终实现变电站无人值守化的基础。
在化工等工业体系中,工业控制系统以过程控制系统(PCS)为主,属于闭环自动控制系统,仪表控制系统以及DCS均属于PCS。但对于变电站自动化系统,目前仍然以人工监控(开环控制)为主,主要需要实现遥测、遥信、遥控和遥调“四遥”功能,除了继电保护系统需要独立完成保护自动控制之外,变电站自动化系统一般认为属于以人工监控为主的SCADA(数据采集和监控系统),与属于PCS的DCS系统有一定相似之处,但体系结构不完全相同,一个可能的变电站SCADA体系结构如图9所示。
图 9一个可能的变电站SCADA体系结构
如果将变电站SCADA与一般工业DCS做一个比较,则过程层相当于DCS中的现场仪表层面,直接连接断路器、变压器、PT、CT等一次设备,完成最终的遥测、遥控等功能;间隔层相当于DCS中的现场控
制层面,特别是继电保护装置属于自动控制,相当于DCS中的一个现场控制站;站控层相当于DCS中的HMI、组态等层面,目前都基于PC和相应软件实现。站控层网络相当于工业以太网(工控内网);过程层网络相当于现场总线。对于智能变电站,目前一般统一使用基于以太网的IEC 61850标准通信协议;对于非智能变电站,过程层与间隔层没有标准的通信协议,一般根据过程层设备(RTU等)确定通信协议。
2.3.1 PC以及Windows-Intel结构在变电站自动化系统中的地位
工控系统的历史比PC的历史更为悠久,早期的工控系统是相对低级、原始的模拟量控制系统,以仪表为显示回馈,其中自然没有 PC系统的存在。PC系统进入到工控系统的初期,并非扮演核心中枢的角色,而主要是提供监控人机界面(HMI工作站)。但随着工业化和信息化的逐步融合,通用性PC(含服务器)以其标准的体系结构、丰富的软件系统等优势,开始逐步在工业控制系统中扮演更关键的角色,特别是在承担了自动控制的组态、配置等工作(工程师站、运维计算机等),从而具备了直接操作实际生产环节的能力。
通常220kV及以上等级的变电站,监控系统(属于变电站SCADA站控层)使用的操作系统通常是Unix、Linux等系统,110kV和35kV变电站,监控系统操作系统中则有较高比例的Windows操作系统。现阶段俄罗斯和其它前苏联加盟共和国大量存在110kV和35kV变电站,其监控系统操作系统目前以Windows为主。需要指出的是,没有任何操作系统能够对攻击百分百“免疫”,任何关键位置的节点系统及其上的软件与应用,必然会面临安全挑战。这与其是何种操作系统没有本质关系。鉴于APT等攻击发起者所拥有的资源、承担攻击成本的能力和坚定的攻击意志,不会有任何一种操作系统能凭借其自身的安全能力就可以使其上的业务系统免受攻击。
SCADA系统是以计算机为基础的生产过程控制与调度自动化系统。它可以对现场的运行设备进行监视和控制,以实现数据采集、设备控制、测量、参数调节以及各类信号报警等各项功能。随着智能电网的广泛应用,PC节点在整个电网体系中作用日趋重要。在变供电站的SCADA系统中,PC收集大量的实时电网数据,并进行汇总和分析后,送到人机交互界面进行相应的展示。同时PC根据统计分析数据,对电网进行电力的实时负载调配,并且针对调配对电网下达相应的控制指令。另外PC在SCADA系统中同样可以对系统中DCS的相关配置进行远程配置。
在部分工业控制系统设计者的认知中:自动控制的核心,对于DCS是由工控机、嵌入式系统或者PLC实现的现场控制站,属于现场控制层面;对于变电站SCADA,是继电保护装置(35kV及其以下电压等级的变电站可能使用保护测控一体化装置),属于间隔层,无论是现场控制站还是继电保护装置,都是独立运行的。现场控制站、继电保护装置等能够独立运行,完成控制、保护等功能。这一体系结构设计称为集散原则或者分布式原则,又称为“分散控制+集中监控”模式。在这种模式下,如果只是出现了上层SCADA
系统的故障,有可能全系统依然能够正常运行一段时间。这种风险控制模式的有效性是建立在应对非主观破坏带来的单点失效和突发事故的前提假定下的;但对高级网络攻击乃至在信息战场景,攻击者基于环境预置、定向入侵渗透等方式取得了SCADA系统的控制权的情况下,仅靠这种简单的集散原则是远远不够的。
2.4 攻击导致断电的方法分析
目前变电站SCADA系统可以实现远程数据采集、远程设备控制、远程测量、远程参数调节、信号报警等功能。同时有多种方式可以通过SCADA导致断电,如:
控制远程设备的运行状态。例如断路器、闸刀状态,这种方式比较直接,就是直接切断供电线路,导致对应线路断电。
修改设备运行参数。例如修改继电保护装置的保护整定值,过电流保护的电流整定值减小,这样会使得继电保护装置将正常负荷稍重的情况误判为过电流,引发保护动作进而造成一定破坏,如使断路器跳闸等。
对于乌克兰停电事件中的攻击者来讲,在取得了对SCADA系统的控制能力后,可完成上述操作的手法也有多种:
通过恶意代码直接对变电站系统的程序界面进行控制
当攻击者取得变电站SCADA系统的控制权(如SCADA管理人员工作站节点)后,可取得与SCADA操作人员完全一致的操作界面和操作权限(包括键盘输入、鼠标点击、行命令执行以及更复杂的基于界面交互的配置操作),操作员在本地的各种鉴权操作(如登录口令等),也是可以被攻击者通过技术手段获取的,而采用USB KEY等登录认证方式的USB设备,也可能是默认接入在设备上的。因此,攻击者可像操作人员一样,通过操作界面远程控制对远程设备进行开关控制,以达到断电的目的;同样也可以对远程设备参数进行调节,导致设备误动作或不动作,引起电网故障或断电。
通过恶意代码伪造和篡改指令来控制电力设备
除直接操作界面这种方式外,攻击者还可以通过本地调用API接口、或从网络上劫持等方式,直接伪造和篡改指令来控制电力设备。目前变电站SCADA站控层之下的通信网络,并无特别设计的安全加密通信协议。当攻击者获取不同位置的控制权(如SCADA站控层PC、生产网络相关网络设备等)后,可以直接构造和篡改SCADA监控软件与间隔层设备的通信,例如IEC 61850通信明码报文,IEC 61850属于公开协议、明码通信报文,截获以及伪造IEC 61850通信报文并不存在技术上的问题,因此攻击者可以构造或截获指令来直接遥控过程层电力设备,同样可以完成远程控制设备运行状态、更改设备运行参数引起电网故障或断电。
上述两种方式都不仅可以在攻击者远程操控情况下交互作业,同样可以进行指令预设、实现定时触发和条件触发,从而在不能和攻击者实时通讯的情况下发起攻击。即使是采用操控程序界面的方式,同样可以采用键盘和鼠标的行为的提前预设来完成。
2.5 攻击全程分析
通过以上对变电站系统的分析并基于目前公开的样本,我们分析攻击者可能采用的技术手法为:通过鱼叉式钓鱼邮件或其他手段,首先向“跳板机”植入BlackEnergy,随后通过BlackEnergy建立据点,以“跳板机”作为据点进行横向渗透,之后通过攻陷监控/装置区的关键主机。同时由于BlackEnergy已经形成了具备规模的僵尸网络以及定向传播等因素,亦不排除攻击者已经在乌克兰电力系统中完成了前期环境预置和持久化。
攻击者在获得了SCADA系统的控制能力后,通过相关方法下达断电指令导致断电:其后,采用覆盖MBR和部分扇区的方式,导致系统重启后不能自举(自举只有两个功能:加电自检和磁盘引导。);采用清除系统日志的方式提升事件后续分析难度;采用覆盖文档文件和其他重要格式文件的方式,导致实质性的数据损失。这一组合拳不仅使系统难以恢复,而且在失去SCADA的上层故障回馈和显示能力后,工作人员被“致盲”,从而不能有效推动恢复工作。
攻击者一方面在线上变电站进行攻击的同时,另一方面在线下还对电力客服中心进行电话DDoS攻击,两组“火力”共同配合发起攻击完成攻击者的目的。整体的攻击全景如下图所示:
图 10乌克兰停电事件攻击全程示意图
3 攻击组织及BlackEnergy分析
3.1 SandWorm(沙虫组织)
SandWorm(沙虫组织)是由iSIGHT于2014年10月首次发现,iSIGHT认为该组织与俄罗斯有关,该组织使用漏洞和恶意软件对感兴趣的目标进行攻击,主要的目标包括:北大西洋公约组织、乌克兰政府组织、西欧的政府组织、能源部门的公司(特别是波兰)、欧洲电信公司、美国学术组织等。
在此次乌克兰变电站遭受攻击事件中,攻击者采用了带有恶意宏代码的xls文档,我们通过对该文档的分析,发现其释放的恶意代码及相关特性与沙虫组织的攻击特性十分相似,比如:释放FONTCACHE.DAT文件、启动目录添加CLSID格式名称的快捷方式、释放的文件都是BlackEnergy僵尸网络程序。因此,安天认为本次攻击事件可能与沙虫组织有关。
3.2 BlackEnergy (黑色能量)
BlackEnergy是一种颇为流行的攻击工具,主要用于实施自动化犯罪活动,通常贩卖于俄罗斯的地下网络,其最早出现的时间可追溯到2007年。该软件最初被设计用于创建僵尸网络、实施DDoS攻击和窃取银行凭证的一款恶意软件,逐渐演变为支持多种组件的工具,其组件可根据不同攻击意图组合使用。
因为BlackEnergy具有多组件、多用途的特点,它已被多个团伙用于不同目的。例如,发送DDoS攻击、发送垃圾邮件、密码偷窃、盗取银行证书和搜索特定的文件类型等。近几年多次被利用攻击乌克兰政府、攻击工控系统、甚至攻击路由器等设备。关于本次事件中采用的BlackEnergy样本,可参见安天“沙虫(CVE-2014-4114)相关威胁综合分析报告[13]”中关于载荷文件的分析。
BlackEnergy已经形成了BOTNET(僵尸网络)体系,它成为采集相关基础设施和重要目标节点相关信息,建设在目标基础资源体系中建立持久化能力的重要利器。它通过配置build_id的值来甄别受感染的目标,再从中选取脆弱系统进行内网纵深攻击。
3.3 版本演进历史
3.3.1 BlackEnergy1
BlackEnergy工具带有一个构建器(builder)应用程序,下图是2007年发现的BlackEnergy构建器程序,称之为BlackEnergy1,主要用于实施DDoS攻击。
图 11 BlackEnergy1构建程序
DDoS攻击的BlackEnergy僵尸网络可以启动控制的“洪水”命令的参数,例如:ICMP ping洪水、TCP SYN洪水、UDP流量洪水、二进制包洪水、DNS请求洪水等。
该版本服务器程序为WEB版本,将受害者机器相关信息Base64编码后回传C&C服务器中。
图 12 Base64加密
图 13 解密后数据
Base64解码后的内容为服务器上的配置信息加上一个上线ID号,BlackEnergy配置还包含一个叫build_id的值,该字符串是个特殊字符串,是用来甄别受感染个体的,比如:
表 1 build_id
BlackEnergy1本恶意代码释放的文件名通常为mssrv32.exe,并将该进程注入Svchost.exe中,隐藏自身,伺机发动DDoS攻击。
3.3.2 BlackEnergy2
BlackEnergy2依然是一个具备DDoS功能的僵尸网络程序,该样本新增类加密软件以对自身加密处理,防止反病毒软件查杀。该版本程序首先释放驱动文件以服务方式运行,将驱动程序注入系统进程,随后样本连接远程服务器,下载DDoS攻击组件,根据配置文件对目标发起DDoS攻击。
图 14 BlackEnergy2 工作原理图
BlackEnergy2恶意程序不仅功能强大,实用性广,而且非常易于部署和管理。支持可升级的组件(附加模块),使得黑客更容易修改和扩展其功能。黑客可以通过远程控制中心发布命令,实现组件的快速安装和升级。
BlackEnergy2拥有3个组件,分别SYN、HTTP、DDoS攻击组件,组件下载后样本会将其加载到内存中执行,然后对远程服务器配置展开攻击。
对于大部分BlackEnergy2安装程序来说,安装程序名均为msiexec.exe。msiexec.exe是系统进程,是Windows Installer的一部分,用于安装Windows Installer安装包(MSI)用途,被BlackEnergy恶意混淆利用。
3.3.3 BlackEnergy3
2014年9月F-Secure发布报告称,发现了一个以前未曾见到过的变种,该版本已经重写了代码而且对配置数据采用了不同的保存格式。该版本不再使用驱动组件。我们把这个新变种称之为BlackEnergy 3。但目前对该版本的攻击事件,还并不常见。
3.4 攻击装备/组件介绍
BlackEnergy组件是DLL库文件,一般通过加密方式发送到僵尸程序,一旦组件DLL被接收和解密,将被置于分配的内存中。然后等待相应的命令。例如:可以通过组件发送垃圾邮件、窃取用户机密信息、建立代理服务器、伺机发动DDoS攻击等。
3.5 历史事件及攻击对象回顾
图 15 BlackEnergy历史事件
2007年
BlackEnergy最初版本出现在2007年,主要在俄罗斯地下网络流行,实现DDoS攻击、创建僵尸网络、窃取银行凭证等。
2008年
俄格冲突期间,该工具被用来对格鲁吉亚实施网络攻击。
2009年
BlackEnergy攻击美国花旗银行,盗取数千万美金。
2010年
BlackEnergy2在2010年发布,支持更多的插件功能。
2014年
BlackEnergy的最新样本目标锁定在乌克兰和波兰的攻击。
2014年10月
BlackEnergy恶意软件针对不同厂商的HMI进行攻击,被攻击厂商的系统已包括GE、研华WebAccess、西门子WinCC。
2014年10月14日
SandWorm被iSIGHT发现利用CVE-2014-4114传播的BlackEnergy样本 [14]。安天于2014年10月15日发布“沙虫(CVE-2014-4114)相关威胁综合分析报告”对相关漏洞和样本进行复盘分析。
2014年11月
攻击Linux和Cisco思科设备。
2014年12月
德国联邦信息安全办公室(BSI)发布2014年的信息安全报告,报告中披露了一起针对德国钢厂基础设施的网络攻击,并造成重大物理伤害,相关报道指出该事件可能与BlackEnergy有关。安天随后跟进分析,于次日形成关于BlackEnergy的分析报告[15]。
2015年11月
乌克兰大选期间曾遭受过黑客的攻击,导致资料被窃取。
2015年12月
乌克兰称电网遭遇黑客攻击,相关报告称这起事件和BlackEnergy有关。
4 相关样本分析
4.1 前导文档
安天CERT通过对公开的样本进行关联,关联到发送前导文档的原始邮件。该邮件在2015年3月被用于攻击乌克兰媒体,其中一个包含恶意代码的文档,攻击者在文档中嵌入了恶意宏代码,一旦用户打开文档并运行宏就会对目标系统进行感染。
这与我们过去看到的大量APT攻击中出现的格式溢出文档所不同的是,尽管其也使用了邮件和Office文档作为攻击手段,但并没有使用0Day,甚至相关载荷都没有使用格式溢出方式,而是类似一个传统的宏病毒。这说明高级攻击中是否使用0Day与相关组织的作业能力、0Day储备、以及对目标的适应性有关,高级的攻击未必需要使用“高级攻击技术”(如格式溢出、0Day)。
图 16 邮件内容
邮件译文:
乌克兰总统对部分动员令
据乌克兰总统2015年第15号局部动员令,法令从15年1月14日开始。为了保持乌克兰武装部队和其他军事单位进行战斗动员和动员准备。
乌克兰公民组织负责人必须提供的组织示例(附件1),当地政府雇员的列表、用户类别。不包含乌克兰总统令中附录2和信息附录3所列的顺序动员。
这是一种针对性攻击常用的手法,首先攻击者在一封邮件中嵌入一个恶意文档发送给目标,如果目标主机存在安全隐患,则在打开附件时就会自动运行宏代码,附件(Excel)打开后显示如下图,为了诱导受害者启用宏,攻击者还使用乌克兰语进行了提醒,图中文字含义为:“注意!该文档由较新版本的Office 创建,为显示文档内容,必须启用宏。”
图 17 Excel内容
经分析人员对宏代码进行提取分析,发现宏代码主要分为两个部分,首先通过25个函数定义768个数组,在数组中写入二进制数据(PE文件)备用,如下图:
图 18 宏代码
然后通过一个循环将二进制数据写入到指定的磁盘文件,对应的路径为:%TEMP%\vba_macro.exe,随后执行此文件,即BlackEnergy Dropper,在经过多次解密后,其会释放BlackEnergy,并利用BlackEnergy下载插件对系统进行攻击。
图 19 生成PE
4.2 Dropbear SSH
该样本是攻击者使用组件,一个攻击者篡改的SSH服务端程序,该程序是基于开源的SSH软件Dropbear SSH[16],改动部分代码后生成。
攻击者利用VBS文件启动这个SSH服务端,VBS内容如下:
图 20 VBS内容
VBS脚本启动SSH程序,开启6789端口等待连接,这样攻击者可以在内网中连接到受害机。
这个SSH程序是攻击者使用Dropbear SSH源码重新编译的,在其中添加了固定密码“passDs5Bu9Te7”,因此只有使用这个密码才能连接上SSH服务,下图是原版Dropbear SSH源码和攻击者修改后的代码:
图 21 Dropbear SSH
图 22 添加后门的Dropbear SSH代码
安天分析工程师认为不排除Dropbear SSH正是乌克兰电力部门使用的SSH管理工具,假定,相关带有后门的Dropbear SSH的出现,也不排除是此次攻击的环境预置的一部分。同时攻击者使用开源代码为基础,构造可疑功能,可以起到躲避安全软件的检测的目的。通过图23所示该文件的检测历史情况,可以看出该样本刚出现时,所有的安全软件都不能检测,之后由于ESET最早获得样本,而能够独家检测,其后各厂商才陆续检出。
图 23 历史检测结果
4.3 KillDisk
KillDisk也是攻击者使用的组件,主要目的是擦除证据,破坏系统。样本运行后会遍历文件进行擦除操作,还会擦写磁盘MBR、破坏文件,最后强制关闭计算机。
4.3.1 样本标签
4.3.2 样本安装流程
样本具有延迟触发的功能,在启动样本时,需要添加一个参数,用来指定样本在多少分钟之后执行恶意操作。样本会将输入的参数乘以60转为秒数,再使用函数RtlTimeToSecondsSince1970获取当前的秒数相加,将此值写入到注册表中。
图 24 写入注册表
利用ShellExecuteW调用cmd.exe来执行安装操作,参数如下:
图 25 添加服务
安装完成之后,样本会执行一个循环操作,判断当前系统时间是否已经大于注册表中的数值,若已经大于,则执行恶意操作;若未达到,则继续执行循环操作。
图 26 延时操作
4.3.3 样本功能分析
4.3.3.1 覆盖MBR和部分扇区
样本会将系统中的磁盘进行破坏,将磁盘的前0x20000字节写入“\x00”,使系统重启之后无法正常启动。 对系统中的前十块磁盘进行擦除操作,打开磁盘,获取句柄。
图 27 遍历磁盘
从磁盘的起始位置开始进行擦除,每次写入0x200字节的“\x00”,执行0x100次操作。
图 28 磁盘擦除
4.3.3.2 清理系统日志
如对部分扇区的擦除工作能够正常完成,该样本会对系统的日志进行清理,以增加事后分析的难度,如图29:
图 29 清理日志
4.3.3.3 进程遍历和清理进程
此后样本会遍历系统中的进程,若进程名存在于下面的列表中,则会放行;否则会结束进程的运行。
图 30 进程列表
从表中可以看出,多数为系统的关键进程,只有komut.exe不是系统进程。样本中止掉其他进程,应是为榨取更多的系统资源,以使下一个动作(文件擦除)产生更好的效果,但同时又避免误杀系统进程导致系统运行受到影响。
4.3.3.4 文件擦除
该部分操作是由一个新创建的线程所执行。它会先对磁盘中的文件进行全盘遍历,根据文件后缀的不同分为两类,最后使用随机数字对文件进行擦除。图31为部分代码:
图 31 文件擦除
通过函数m_FileSearch对文件的遍历,得到inList、outList。若文件后缀存在于下面的表中,则文件路径存放到inList中;否则存放到outList中。
表 4 后缀列表
由于该部分运行在线程中,无法保证所有文件都被破坏。样本首先擦除的是inList中的文件,可见攻击者是想先破坏掉带有上面后缀的文件,如果有时间,再去破坏系统中的其它文件,被擦除后的文件大小均为8.03kb。
4.3.3.5 结束进程
通过遍历系统进程,查找sec_service.exe,若存在该进程,则将其结束掉,并执行两次。
图 32 结束进程
若不存在该进程,则判断是否存在sec_service服务,若存在,则将其关闭并删除该服务。
4.3.3.6 关机操作
当执行完上面的操作之后,样本会执行关机操作。
图 33 关机操作
该条指令执行之后,会在5秒后关机,样本在这5秒内还会进行一次系统遍历,结束三个系统进程csrss.exe、smss.exe、lsass.exe,猜测攻击者是担心因为这些进程的干扰导致无法达到重启的目的。
而在关机后,由于MBR已经被破坏,系统将不能完成自举。
4.3.3.7 其它样本
关于KillDisk的样本共有四个,上面的分析是功能最为强大的一个样本。对另外三个样本,我们也进行了分析,发现它们之间功能基本一致,多个函数都完全一样,前三个样本的时间戳信息接近,推断这四个样本是由同一个团队,对同一套代码的不断修改所编译出来的,而且最后一个样本的时间戳是被修改的。下面是它们之间的对比信息:
4.4 硬盘破坏程度
样本会对磁盘的前0x20000字节进行擦写。每个扇区的大小为0x200字节,换句话说,样本会擦写磁盘的前256个扇区。
第1个扇区为主引导扇区(MBR),其结构如下:
图 34 MBR结构
分区项的结构如下:
图 35 分区项结构
系统引导扇区(BOOT区)存放在哪个扇区一般由分区项1决定。我们使用Win XP与Win 7分别进行了测试。结果如下:
表 6 测试结果
样本一定会破坏掉MBR,使系统无法正常启动,但是否会破坏到系统引导扇区以及破坏的程度大小无法确定,这取决于磁盘的大小、所使用的分区工具、所安装的操作系统等等多种因素。
4.5 可恢复程度测试
以下测试仅针对擦写磁盘MBR后,样本未将磁盘文件擦除的前提下所进行的。我们对被样本擦写后的磁盘进行了恢复测试,首先使用工具PTDD Partition Table Doctor对磁盘MBR进行重建,再对分区表进行重建,测试修复后的磁盘是否可以正常启动系统,文件是否完整。
这两项修复工作只会对磁盘的第一个扇区进行修改,包含主引导程序的出错信息、四个分区项和结束字。
对两块硬盘进行了测试:一是XP系统的,分区项1的内容在前256个扇区内,已经被破坏;二是Win7系统的,分区项1的内容不在前256个扇区内,未被破坏。
该磁盘在修复前,因为MBR被破坏,找不到系统分区,系统显示的错误信息如下:
图 36 MBR丢失
将MBR进行修复之后,但由于系统启动文件被破坏,会出现下面的错误:
图 37 系统文件破坏
Win7系统磁盘修复
对磁盘MBR进行重建之后,利用工具无法找到磁盘分区,这时需要人工查找系统盘所在分区,确定所有位置及大小,并将这些信息写入到MBR扇区对应位置。
图 38 MBR扇区
这时运行系统会出现如下错误:
图 39 系统错误
再使用WinPE进入系统,利用命令bcdedit进行修复,命令如下:
表 7 修复命令
可正常启动开机。
通过以上的测试可以看出,如果MBR与分区项1的内容都被样本擦写,只可以对MBR进行修复,分区项1中的内容无法进行修复,也无法开机;若只有MBR被擦写,可以对其修复并正常开机。
但样本运行之后,对系统中磁盘的文件进行了擦除,即使MBR修复之后,由于系统文件的损坏,也无法进行恢复,可见样本的破坏性之大。
5 事件总结
图 40 乌克兰停电攻击事件过程总结
正如我们开篇指出的那样:这是一起以BlackEnergy等相关恶意代码为主要攻击工具,通过BOTNET体系进行前期的资料采集和环境预置;以邮件发送恶意代码载荷为最终攻击的直接突破入口,通过远程控制SCADA节点下达指令为断电手段;以摧毁破坏SCADA系统实现迟滞恢复和状态致盲;以DDoS电话作为干扰,最后达成长时间停电并制造整个社会混乱的具有信息战水准的网络攻击事件。
此次攻击的对象为关键基础设施,这就使人们很自然地联想到六年前的“震网蠕虫”。我们把相关事件的要素放在一起对比,则会看到不同的攻击组织带有完全迥异的风格,如果说“震网”这样的A2PT攻击让人看到更多的是0Day、复杂严密的加密策略、PLC与固件等等;而乌克兰停电事件的“战果”,是攻击者在未使用任何0Day,也未使用位于生产系统侧的攻击组件,仅仅依托PC端的恶意代码作业的情况下取得的,显然其攻击成本和“震网”相比要低得多。
表 8 震网事件与乌克兰变电站遭受攻击事件对比
这也再一次提醒我们需要重新审视所谓APT攻击或CyberWar的评价标准,事件的定性不在于刻板的字面意义,而是其背后深层次的动机与能力的综合因素,对攻击集团来说,只要可以完成作业目的,一切手段皆可用,通用网络攻击工具、商用恶意代码、被改造的开源工具、1Day漏洞,传统的宏病毒等等,将更多地被用于对关键目标的攻击当中。在商业军火和开源工具被广泛应用的场景下,通过恶意代码本身来确定攻击来源将日趋困难,而放在更大的攻防态势上来看,地下黑产的基础设施也正在形成,并构成了一个惟利是图的多边信息共享机制,被普通僵尸网络采集窃取到的信息,有着巨大的流向不确定性,而一般性的恶意代码感染、弱化安全性的盗版镜像、夹带恶意代码汉化、破解工具等等,都在客观上起到降低战略攻击者门槛的作用。对那些“普通的”恶意代码感染扩散事件予以漠视,而幻想依托威胁情报就可以发现拦截高级威胁的想法无疑是幼稚的。
对于关键基础设施特别是工控系统的IT管理者们来说,需要走入“物理隔离”带来的虚假安全感:传统的内网隔离安全很大程度上是受到封闭空间保障的,封闭空间的场景依托物理安全措施提升攻击成本,提升了接触式攻击的成本。但社会基础设施则是需要向社会纵深进行有效覆盖的,特别是像电网这样的注定呈现出巨大的物理空间覆盖力体系,必然需要大量使用无人值守设备的方式。因此,这些孤点的风险不止在于他们可能是失能的末梢,也在于他们可能是攻击的入口。
而在对关键基础设施防御点和投入配比上,当人们认为对关键基础设施的攻击必然在“纵深位置”时,乌克兰停电事件则提醒我们,随着仪表盘和操控面板被更多的PC设备替代。PC环境已经在工业控制体系中,扮演“一览众山小”的位置。如果SCADA等PC节点失守,攻击者几乎可以为所欲为。为有效改善基础设施体系中PC节点和TCP/IP网络,需要通过网络捕获与检测、沙箱自动化分析、白名单+安全基线等综合方式改善防御纵深能力;同时,也要和防火墙、补丁与配置强化、反病毒等传统手段有效结合,改善IT治理;需要把更多更细腻的工作放到内部的安全策略与管理以及外部供应链安全等环节中去。
PE管都有哪些材料制成?
PE管目前中国的市政管材市场,塑料管道正在稳步发展,PE管、PP-R管、UPVC管都占有一席之地,其中PE管强劲的发展势头最为令人瞩目。 PE管的使用领域广泛。 其中给水管和燃气管是其两个最大的应用市场。 PE树脂,是由单体乙烯聚合而成,由于在聚合时因压力、温度等聚合反应条件不同,可得出不同密度的树脂,因而又有高密度聚乙烯、中密度聚乙烯和低密度聚乙烯之分。 在加工不同类型PE管材时,根据其应用条件的不同,选用树脂牌号的不同,同时对挤出机和模具的要求也有所不同。 国际上把聚乙烯管的材料分为PE32、PE40、PE63、PE80、PE100五个等级,而用于燃气管和给水管的材料主要是PE80和PE100。 我国对聚乙烯管材专用料没有分级,这使得国内聚乙烯燃气管和给水管生产厂家选择原材料比较困难,也给聚乙烯管材的使用带来了不小的隐患。 因此国家标准局在GB/T-2000新标准中作了大量的修订,规定了给水管的不同级别PE80和PE100对应不同的压力强度,并且去掉旧标准中的拉伸强度性能,而增加了断裂伸长率(大于350%),即强调基本韧性。 PE给水管给水用PE管材是传统的钢铁管材、聚氯文字乙烯饮用水管的换代产品。 给水管必须承受一定的压力,通常要选用分子量大、机械性能较好的PE树脂,如HDPE树脂。 LDPE树脂的拉伸强度低,耐压差,刚性差,成型加工时尺寸稳定性差,并且连接困难,不适宜作为给水压力管的材料。 但由于其卫生指标较高,LDPE特别是LLDPE树脂已成为生产饮用水管的常用材料。 LDPE、LLDPE 树脂的熔融粘度小,流动性好,易加工,因而对其熔体指数的选择范围也较宽,通常MI在0.3-3g/10min之间。 性能特性 一种好的管道,不仅应具有良好的经济性,而且应具备接口稳定可靠、材料抗冲击、抗开裂、耐老化、耐腐蚀等一系列优点,同传统管材相比,HDPE管道系统具有以下一系列优点: ⑴连接可靠:聚乙烯管道系统之间采用电热熔方式连接,接头的强度高于管道本体强度。 ⑵低温抗冲击性好:聚乙烯的低温脆化温度极低,可在-60-60℃温度范围内安全使用。 冬季施工时,因材料抗冲击性好,不会发生管子脆裂。 ⑶抗应力开裂性好:HDPE具有低的缺口敏感性、高的剪切强度和优异的抗刮痕能力,耐环境应力开裂性能也非常突出。 ⑷耐化学腐蚀性好:HDPE管道可耐多种化学介质的腐蚀,土壤中存在的化学物质不会对管道造成任何降解作用。 聚乙烯是电的绝缘体,因此不会发生腐烂、生锈或电化学腐蚀现象;此外它也不会促进藻类、细菌或真菌生长。 ⑸耐老化,使用寿命长:含有2-2.5%的均匀分布的碳黑的聚乙烯管道能够在室外露天存放或使用50年,不会因遭受紫外线辐射而损害。 ⑹耐磨性好:HDPE管道与钢管的耐磨性对比试验表明,HDPE管道的耐磨性为钢管的4倍。 在泥浆输送领域,同钢管相比,HDPE管道具有更好的耐磨性,这意味着HDPE管道具有更长的使用寿命和更好的经济性。 ⑺可挠性好: HDPE管道的柔性使得它容易弯曲,工程上可通过改变管道走向的方式绕过障碍物,在许多场合,管道的柔性能够减少管件用量并降低安装费用。 ⑻水流阻力小:HDPE管道具有光滑的内表面,其曼宁系数为0.009。 光滑的表现和非粘附特性保证HDPE管道具有较传统管材更高的输送能力,同时也降低了管路的压力损失和输水能耗。 ⑼搬运方便:HDPE管道比混凝土管道、镀锌管和钢管更轻,它容易搬运和安装,更低的人力和设备需求,意味着工程的安装费用的大大降低。 ⑽多种全新的施工方式:HDPE管道具有多种施工技术,除了可以采用传统的开挖方式进行施工外,还可以采用多种全新的非开挖技术如顶管、定向钻孔、衬管、裂管等方式进行施工,这对于一些不允许开挖的场所,是唯一的选择,因此HDPE管道应用领域更为广泛。 1、柔软性:由于PE-RT较为柔软。 故施工时不需要特殊的工具,因此施工成本相对较低. 2、导热性:用于地板采暖的管材需要有好的导热性。 PE-RT的导热性能较好,其导热系数为PP-R、PP-B管材的两倍。 非常适合地板采暖使用。 3. 耐高温性:PE-RT耐高温可达到90℃,而PEX只能达到65℃。 4、低温耐热冲击性:PE--RT的耐低温冲击性能比较好。 冬季施工时管材不易受到冲击而破裂,增加了施工安排的灵活性。 5、环保性:PE-RT及PP-R可以回收利用,不污染环境。 而PEX不能回收会产生二次污染; 6、加工性能稳定性:PEX存在控制交联度和交联均匀度等问题,加工复杂且加工直接影响管材性能。 而PE-RT、和PP-R加工简便,管材性能基本上由原料来决定,性能比较稳定。 PE-RT是Polyethylene Raised Temperature的简称,它是由乙烯单体和1-辛烯单体共聚而成的,是专门为采暖系统而设计的中密度乙烯-辛烯共聚物,其具有分子量分布狭窄, 辛烯均匀分布在聚合物主链上的特殊分子结构,它既保留PE原有的卫生性能及加工性能等优点, 又强化了高温耐久性的一种新型管材专用料。 用该原料生产的管材主要应用于建筑内的热水/采暖管领域,其耐久性能与建筑物的寿命相同,最低可达50年,同时也具有良好的回收性,附加值极高。 产品特点:■ 良好的卫生性能:PE管加工时不添加重金属盐稳定剂,材质无毒性,无结垢层,不滋生细菌,很好地解决了城市饮用水的二次污染。 ■ 卓越的耐腐蚀性能:除少数强氧化剂外,可耐多种化学介质的侵蚀;无电化学腐蚀。 ■ 长久的使用寿命:在额定温度、压力状况下,PE管道可安全使用50年以上。 ■ 较好的耐冲击性:PE管韧性好,耐冲击强度高,重物直接压过管道,不会导致管道破烈。 ■ 可靠的连接性能:PE管热熔或电熔接口的强度高于管材本体,接缝不会由于土壤移动或活载荷的作用断开。 ■ 良好的施工性能:管道质轻,焊接工艺简单,施工方便,工程综合造价低。 管道的连接:■ 电热熔接性:采用专用电热熔焊机将直管与直管、直管与管件连接起来。 一般多用于160mm以下管。 ■ 热熔对接连接:采用专用的对接焊机管道连接起来,一般多用于160mm以上管。 ■ 钢塑连接:可采用法兰、螺纹丝扣等方法连接。 ■ 为方便施工和保证施工质量、还应准备相应的工具。 如:旋转切刀一切割管材;旋转刮刀--刮除管子表面的氧化皮;爬壁刮刀--刮除大口径管子表面的化皮;断气工具--实现断气现场操作。 连接步骤:1.夹紧且清洁端口2.调整且磨平端口3.端口对直4.施压熔接5.卸压冷却应用领域:■ 城市自来水管网系统。 ■ 城乡饮用水管道。 ■ 化工、化纤、食品、林业、印染、制药、轻工、造纸、冶金等工业的料液输送管道。 ■ 农用灌溉管道。 ■ 邮电通讯线路、电力电线保护套管。 ■ 矿山砂浆输送管道。 ■ 邮电通讯线路、电力电线保护套管。 PE管的特性:【主要特性】HDPE是一种结晶度高、非极性的热塑性树脂。 原态HDPE的外表呈乳白色,在微薄截面呈一定程度的半透明状。 PE具有优良的耐大多数生活和工业用化学品的特性。 某些种类的化学品会产生化学腐蚀,例如腐蚀性氧化剂(浓硝酸),芳香烃(二甲苯)和卤化烃(四氯化碳)。 该聚合物不吸湿并具有好的防水蒸汽性,可用于包装用途。 HDPE具有很好的电性能,特别是绝缘介电强度高,使其很适用于电线电缆。 中到高分子量等级具有极好的抗冲击性,在常温甚至在-40F低温度下均如此。 各种等级HDPE的独有特性是四种基本变量的适当结合:密度、分子量、分子量分布和添加剂。 不同的催化剂被用于生产定制特殊性能聚合物。 这些变量相结合生产出不同用途的HDPE品级;在性能上达到最佳的平衡。 【密度】这是决定HDPE特性的主要变量,虽然被提到的4种变量确实起到相互影响作用。 乙烯是聚乙烯主要原料,少数的其它共聚单体,如1一丁烯、l一己烯或1一辛烯,也经常用于改进聚合物性能,对HDPE,以上少数单体的含量一般不超过1%-2%。 共聚单体的加入轻微地减小了聚合物的结晶度。 这种改变一般由密度来衡量,密度与结晶率呈线性关系。 美国一般分类按ASTM D1248规定, HDPE的密度在 0.940g/。 C以上;中密度聚乙烯(MDPE)密度范围0.926~0.940g/CC。 其它分类法有时把MDPE归类于HDPE或LLDPE。 均聚物具有最高密度、最大的刚度,良好的防渗透性和最高的熔点,但一般具有很差抗环境应力开裂(ESCR)。 ESCR是PE抗由机械或化学应力所引起的开裂性的能力。 更高的密度一般改进了机械强度性,例如拉伸强度、刚度和硬度;热性能如软化点温度和热变形温度;防渗透性,如透气性或水蒸气透过性。 较低的密度改进其冲击强度和E-SCR。 聚合物密度主要是受共聚单体加入的影响,但较少程度也受分子量影响。 高分子量百分数使密度略有降低。 例如,在一个较宽分子量范围内均聚物具有不同的密度。 【生产和催化剂】PE最通常的生产方法是通过淤浆或气相加工法,也有少数用溶液相加工生产。 所有这些加工过程都是由乙烯单体、a-烯烃单体、催化剂体系(可能是不止一种化合物)和各种类型的烃类稀释剂参与的放热反应。 氢气和一些催化剂用来控制分子量。 淤浆反应器一般为搅拌釜或是一种更常用的大型环形反应器,在其中料浆可以循环搅拌。 当乙烯和共聚单体(根据需要)和催化剂一接触,就会形成聚乙烯颗粒。 除去稀释剂后,聚乙烯颗粒或粉粒被干燥并按剂量加入添加剂,就生产出粒料。 带有双螺杆挤出机的大型反应器的现代化生产线,可每小时生产 PE磅以上。 新的催化剂的开发为改进新等级HDPE的性能作出贡献。 两种最常用的催化剂种类是菲利浦的铬氧化物为基础的催化剂和钛化合物一烷基铝催化剂。 菲利浦型催化剂生产的HDPE有 中宽度分子量分布;钛一烷基铝催化剂生产的分子量分布窄。 用复式反应器生产窄MDW的聚合物所用催化剂也可用 于生产宽MDW品级。 举例来说,生产显著不同分子量产品的两个串联反应器可以生产出双峰分子量聚合物,这种聚合物具有全宽域的分子量分布。 PE管件【分子量】较高的分子量导致较高的聚合物粘度,不过粘度也与测试所用的温度和剪切速率有关。 用流变或分子量测量对材料的分子量进行表征。 HDPE的品级一般具有的分子量范围是40 000~300 000,重均分子量大致与熔融指数范围相对应,即从100~ 0. 029/10min。 通常地,更高的MW(更低的熔融指数MI)增强了熔体强度、更好韧性和ESCR,但是更高MW使加工过程更难或且需要更高的压力或温度。 分子量分布(MWD):PE的WD根据使用的催化剂和加工过程而有从窄到宽的不同。 最常用的MWD测量指数是不匀度指数(HI),它等于重均分子量(MW)除以数均分子量(Mn)。 所有HDPE品级的这个指数范围是4—30。 窄MWD 提供了在模塑过程中的低翘曲性和高冲击性。 中到宽MWD提供了对多数挤塑过程的可加工性。 宽MWD也可改进熔体强度和抗蠕变性。 【添加剂】抗氧剂的加入可防止聚合物在加工过程中降解,并防止制成品在使用中氧化。 抗静电添加剂用于许多包装品级以减少瓶子或包装物对灰尘和污物的粘附。 特定的用途需要特殊的添加剂配方,例如与电线、电缆用途相关的铜抑制剂。 优良的耐气候性和抗紫外线(或日光)可通过添加抗UV添加剂。 没有添加抗紫外线或炭黑的 PE,建议不要持续在户外使用。 高等级的炭黑颜料提供了优良的抗UV性并可经常在户外应用,如电线、电缆、槽池村层或管子。 【加工方法】PE可用很宽的不同加工法制造。 以乙烯为主要原料,丙烯、1-丁烯、己烯为共聚体,在催化剂的作用下,采用淤浆聚合或气相聚合工艺,所得到的聚合物经闪蒸、分离、干燥、造粒等工序,获得颗粒均匀的成品。 包括诸如片材挤塑、薄膜挤出、管材或型材挤塑,吹塑、注塑和滚塑。 ▲挤塑:用于挤塑生产的品级一般具有小于1的熔体指数和中宽到宽的MWD。 在加工过程中,低的MI可获得适宜的熔体强度。 更宽MWD品级更适于挤塑,因为它们具有更高的生产速度,较低的模口压力而且熔体断裂趋势减少。 PE有许多挤塑用途,如电线、电缆、软管、管材和型材。 管材应用范围从用于天然气小截面黄管到48in直径用于工业和城市管道的厚壁黑管。 大直径中空壁管用作混凝土制成的雨水排水管和其它下水道管线的替代物增长迅速。 板材和热成型:许多大型野餐型冷藏箱的热成型衬里是由PE制成的,具有韧性、重量轻和耐用性。 其它片材和热成型产品包括挡泥板、槽罐衬里、盘盆防护罩、运输箱和罐。 一种大量的增长迅速的片材应用是地膜或池底村里,这是基于MDPE具有韧性、耐化学性和不渗透性。 ▲吹塑:在美国销售的 HDPE1/3以上用于吹塑用途。 这些范围从装漂白剂、机油、洗涤剂、牛奶和蒸馏水的瓶子到大型冰箱、汽车燃料箱和筒罐。 吹塑品级的特性指标,如熔体强度、ES-CR和韧性,与用于片材和热成型应用级相似,故相似品级可以采用。 注射-吹塑通常用于制造更小的容器(小于16oz),用于包装药品、洗发液和化妆品。 这种加工过程的一个优点是生产瓶子自动去边角,不需象一般吹塑加工那样的后期修整步骤。 尽管有某些窄MWD品级用于改进表面光洁度,一般使用中宽到宽MWD品级。 ▲注塑:HDPE有数不清的应用,范围从可重复使用的薄壁饮料杯到5-gsl罐,消费国内生产的HDPE的1/5。 注塑品级一般熔体指数5~10,有具有韧性较低流动性品级和具有可加工性的较高流动性品级。 用途包括日用品和食品薄壁包装物;有韧性、耐用的食品和涂料罐;高抗环境应力开裂应用,如小型发动机燃料箱和90-gal垃圾罐。 ▲滚塑:采用这种加工法的材料一般被粉碎成粉末料,使其在热循环中熔融并流动。 滚塑使用两类PE:通用和可交联类。 通用级MDPE/HDPE通常的密度范围从 0.935到 0.945g/CC,具有窄MWD,使产品具有高冲击性和最小的翘曲,其熔体指数范围一般为3—8。 更高MI品级通常不适用,因为它们不具备滚塑制品希望的冲击性和抗环境应力开裂性。 高性能滚塑应用系利用其化学可交联品级的独特性能。 这些品级在模塑周期的第一段,流动性好,而后交联以形成其卓越的抗环境应力开裂性、韧性。 耐磨性和耐气候性。 可交联PE唯一适用于大型容器,范围从500-gal运输各种化学品储罐到20,000-gal农用储箱。 ▲薄膜:PE薄膜加工一般用普通吹膜加工或平挤加工法。 大多数PE用于薄膜,通用低密度PE(LDPE)或线性低密PE(LLDPE)都可用。 HDPE薄膜级一般用于要求优越的拉伸性和极好的防渗性的地方。 例如,HDPE膜常用于商品袋、杂货袋和食物包装。 【产品性能】高密度聚乙烯为无毒、无味、无臭的白色颗粒,熔点约为130℃,相对密度为0.941~0.960。 它具有良好的耐热性和耐寒性,化学稳定性好,还具有较高的刚性和韧性,机械强度好。 介电性能,耐环境应力开裂性亦较好。 【包装与储运】贮存时应远离火源,隔热,仓库内应保持干燥、整洁,严禁混入任何杂质,严禁日晒、雨淋。 运输应贮放在清洁、干燥有顶棚的车厢或船舱内,不得有铁钉等尖锐物。 严禁与易燃的芳香烃、卤代烃等有机溶剂混运。 【回收利用】HDPE是塑料回收市场增长最快的一部分。 这主要因为其易再加工,有最小限度的降解特性和其在包装用途的大量应用。 主要的回收利用是将 25%的回收材料,例如后消费回收物(PCR),与纯HDPE经再加工后用于制造不与食物接触的瓶子。
电脑一直不关机可以吗?
可以一直不关机,但长时间不关机会对电脑产生一些影响。 因为在电脑中的硬件等也是有寿命长短的。 如果长时间使用让电脑处于待机状态的话,相当于电脑硬件长期处于高温状态中,主板上的电器元件会加速老化,出现不同程度的故障。
对于普通用户来讲,每天关机的话一来可以节省电脑资源,二来可以延长电脑寿命,让电脑硬件使用时间变长;甚至是长期不关机的话电脑会存在安全隐患,由于线路老化、高负荷工作,此时会引发火灾等问题,所以关机还是有必要的。
电机星角启动时,接触器大小的设计要求,通常见到的是其中一个小,这样做对不,有什么依据?
通常都是这么做的,在星三角启动的的时候,二次侧线圈用小一号的接触器实现接头短接,理由是节省成本,当然你换成3个一样大的最好。 之所以可以选小一号,并不是说它所承受的电流小,相反,因为是启动阶段,即使因为是星型接法启动电流比直接启动小的多,但也绝对比正常额定电流要大,但是接触器之所以是电机专业,就是因为它能承受瞬间的过流,短时间内都是允许的,所以在星三角允许几秒后切换出去,因为运行时间段,即使过流,也是可以的。 但如果电机是频繁启动,那就不能2大不小了,不然那个小的支撑不了多久。
发表评论