在过去一年,我们对Havex恶意程序家族及其背后的组织保持了高度的关注。Havex被认为以不同工业领域为目标进行攻击的恶意软件,并且在最初的报告中,该恶意软件对能源行业尤为感兴趣。
Havex的主要构成为通用的远程木马(Remote Access Trojan,RAT)和用PHP编写的 服务器 程序。可以在服务器的代码中看到“Havex”这个名字。
在2014年的春天,我们发现Havex开始对工业控制系统(IndustrialControl Systems, ICS)有特殊的兴趣,该恶意软件背后的组织使用了一个创新型木马来接近目标。攻击者首先把ICS/SCADA制造商的网站上用来供用户下载的相关软件感染木马病毒,当用户下载这些软件并安装时实现对目标用户的感染。
我们收集并分析了Havex的88个变种,主要分析了它们的访问目标、从哪收集数据、网络和机器。这一分析发现Havex通信用的C&C服务器多达146个,并且有1500多个IP地址向C&C服务器通信,从而识别最终的受害者。
攻击者利用被攻陷的网站、博客作为C&C服务器,如下为用于C&C服务器的一些实例。
我们还发现了一个额外的功能组件,攻击者利用此组件从应用于ICS/SCADA系统中的机器上盗取数据。这意味着攻击者不仅仅对目标公司的网络感兴趣,还有对这些公司的ICS/SCADA系统进行控制的动机。我们目前对这一动机的缘由还不太清楚。
以包含木马病毒的软件安装包作为感染媒介
Havex RAT以如下途径进行传播,
(1)垃圾邮件
(2)漏洞利用工具
(3)在被入侵的厂商的主站上,使其为用户提供的软件安装包包含该木马
利用垃圾邮件和漏洞工具是相当简单的传播机制,我们对此不进行深入分析。更值得关注的第三中方式,它可以被看做是水坑式攻击(Water-hole attack),因为攻击者选择ICS的供应商作为中间目标,来实现其对最终目标的攻击。
攻击者利用网站的漏洞,入侵了网站,并将正常的供用户下载的安装软件替换为包含木马的安装软件。
我们的研究者发现有三个厂商的主站被这种方式被攻入,在网站上提供的软件安装包中包含了HavexRAT。我们怀疑还会有更多类似的情况,但是尚未确定。
根据他们网站的内容,这三家公司都是开发面向工业的设备和软件,这些公司的总部位于德国、瑞士和比利时。其中两个供应商为ICS系统提供远程管理软件,第三个供应商为开发高精密工业摄像机及相关软件。
作为一个例子,我们可以看一下包含了木马病毒的安装包安装时的动态分析结果。
正常的安装程序是不会包含这个名为“mbcheck.dll”的文件的。这个文件实际上是Havex的恶意软件,包含木马病毒的安装程序会释放并执行这一文件作为其软件安装过程中的一部分。这样攻击者可以用此后门来访问和控制用户的工作电脑。
目标组织
我们能够找到一些受感染的系统,并根据样本的分析报告,来追踪向Havex RATC&C服务器进行通信的IP地址。
所有受感染的这些实体都是与工业应用或者工业机器有一定的关系,大多数受害者位于欧洲,在本文撰写时,我们发现至少有一家位于加利福尼亚的公司在向C&C服务器发送数据。其中欧洲的基础机构中,有两个为法国的众所周知的教育机构,这两个机构是进行技术相关的研究,两个德国的工业应用程序和机器制造商,一个法国的工业机器生产生还有一个是专门从事结构工程的俄罗斯建筑公司。
ICS/SCADA 嗅探
对于Havex样例代码的分析发现,其包含对于ICS/SCADA的嗅探行为。C&C服务器会指示受感染的计算机下载并执行更进一步的组件,其中一个组件很有趣。当分析此组件时,我们发现它会枚举局域网,并寻找连接的资源和服务器。(译注:通过汇编代码可知,该程序调用了Windows的库函数“WNetEnumRESOURCE”,关于该函数的信息可以参照:
然后我们发现,该程序调用了微软的COM对象接口(CoInitializeEx,CoCreateInstanceEx),来连接特定的服务。
为了确认样例代码对哪个服务感兴趣,我们特意的检索了GUID值,通过对于GUID值的检索可以知道哪种类型的接口被调用了。通过Google可知如下:
9DD0B56C-AD9E-43EE-8305-487F3188BF7A = IID_IOPCServerList2
13486D51-4821-11D2-A494-3CB306C10000 = CLSID_OPCServerList
译注(上述两个接口应该是OPC标准基金会定义的OPCEnum.exe来实现的,这段代码的目的应该就是访问局域网中运行的OPCEnum.exe程序,通过调用IID_OPCServerList2接口来获取机器上运行的OPCServer程序。各大工控厂商都开发了自己的OPCServer服务程序,但是大家都遵守了统一的OPC标准,从面向对象的角度来说,就是所有的OPCServer都派生自OPC标准基金会定义的接口。OPCEnum.exe主要是负责枚举OPCServer列表用的,例如一台机器上安装三个自动化厂商的OPCServer,别人想访问OPCServer时,可以先通过调用OPCEnum来获取这台机器上安装了哪些OPCServer,然后再与OPCServer进行交互。通过本文来看,似乎Havex程序仅仅是获取了OPCServer的基本信息,没有进一步与OPCServer打交道,但通过另外一篇分析文章来看,Havex还是与OPCServer进行了打交道,获取到了OPCServer内部更为详细的情报。)
注意到“OPCServer”这个名字,还有更多的指示指向了这个单词,在可执行文件中的资源处找到了更多的OPC字符串关键字。
事实上,OPC指的是OLE for ProcessControl,它是一种标准,实现Windows应用程序与过程控制硬件进行交互。通过OPC,恶意软件可以获取设备更为详细的信息,然后将他们发送给C&C服务器,供攻击者分析。看起来这一组件仅仅是作为攻击者收集情报的工具,到目前为止我们还没有发现试图控制连接在控制系统中的硬件的PayLoad。
深度解读
Havex主要有两大组件构成,下载器和OPC情报收集模块。有关下载器的分析文章可以参见此文:
在测试环境中,首先在局域网的其他机器上安装两个OPCServer,如下图所示,恶意软件成功的获取到了这两个OPCServer的情报(译注:根据图可知,安装OPCServer的PC名称为R3P-PC,安装的OPCServer是ICONICS公司的OPCServer AD和AE)
收集到情报以bzip格式压缩,然后利用RSAEuro进行加密,最后保存为.yls文件,放置于机器的临时文件夹下。
在我们目前的测试环境中,这一.yls文件并没有发送回攻击者那里。(译注:从后面生成的txt文件来看,这些文件肯定传回过C&C服务器)
另外两个文件被创建出来分别是OPCServer1.txt和OPCServer2.txt,每个文件记录了一个OPCServer的具体情报。
(译注:如下图,文件中记录了OPCServer中的较为详细的信息,包括OPCServer中的组情况,Tag名称、类型等。其实搞工业控制的人,看到这些情报,通过Tag数量就能大概的推断出工厂的规模,另外就是某些个Tag可能会很敏感,对这一数据值进行强行修改的话可能会产生对控制系统运行非常严重的后果。另外就是某些厂商的OPCServer中可能存在漏洞,通过ICS-CERT的官方公告就能知道,利用这些已知的、未知的漏洞可以进一步侵入OPCServer,这样离控制系统的核心部分就会越来越近。)
小结
Havex背后的攻击者采用了一个巧妙的方法来进行工业间谍活动,通过对ICS/SCADA软件安装包中植入木马,是一种访问目标系统很有效的方法,甚至能够入侵到关键技术设施。
(译注:OPC协议主要是流程工业上用的比较多,例如石油石化行业,这也是为什么说Havex是针对能源行业了,用该协议主要是过程数据的存取等,这是过程控制的范畴,Havex主要可能是偷取数据情报为目的。例如,通过OPC层层的入侵,最后可能偷取到过程控制中的控制方案或者说是配方,例如炼油厂中的配方、或者制药厂中的配方等。Stunex主要是针对PLC这种工厂控制,其涉及到的协议可能是Modbus、Profibus等偏向底层,主要实现对于控制系统底层终端的控制。例如阀门的开关、电机的启停、正反转。)
原文地址:
–Meet-OPC-Server/
相关参照文章:
大学生创业项目有哪些?
大学生创业是一种以在校大学生和毕业大学生的特殊群体为创业主体的创业过程。 随着近期我国不断走向转型化进程以及社会就业压力的不断加剧,创业逐渐成为在校大学生和毕业大学生的一种职业选择方式。 有校园代理、个人网店、高科技领域的软件开发、网页制作等、智力服务领域的家教、家教中介、连锁加盟领域的动漫店、快餐业等等。
大学生创业是一种以在校大学生和毕业大学生的特殊群体为创业主体的创业过程。 随着近期我国不断走向转型化进程以及社会就业压力的不断加剧,创业逐渐成为在校大学生和毕业大学生的一种职业选择方式。 越来越多的大学生加入创业大军。
大学生创业的优势:
1.大学生往往对未来充满希望,他们有着年轻的血液、充满激情,以及“初生牛犊不怕虎”的精神,而这些都是一个创业者应该具备的素质。
2.大学生在学校里学到了很多理论性的东西,有着较高层次的技术优势,而目前最有前途的事业就是开办高科技企业。 一些风险投资家往往就因为看中了大学生所掌握的先进技术,而愿意对其创业计划进行资助。
3.现代大学生有创新精神,有对传统观念和传统行业挑战的信心和欲望,而这种创新精神也往往造就了大学生创业的动力源泉,成为成功创业的精神基础。
4.大学生创业的最大好处在于能提高自己的能力,增长社会实战经验,以及学以致用;最大的诱人之处是通过成功创业,可以实现自己的理想,证明自己的价值。
大学生创业的弊端:
1.由于大学生社会经验不足,常常盲目乐观,没有充足的心理准备。 对于创业中的挫折和失败,许多创业者感到十分痛苦茫然,甚至沮丧消沉。
2.急于求成、缺乏市场意识及商业管理经验,是影响大学生成功创业的重要因素。 学生们虽然掌握了一定的书本知识,但终究缺乏必要的实践能力和经营管理经验。 此外,由于大学生对市场营销等缺乏足够的认识,很难一下子胜任企业经理人的角色。
3.大学生对创业的理解还停留在仅有一个美妙想法与概念上。 在大学生提交的相当一部分创业计划书中,许多人还试图用一个自认为很新奇的创意来吸引投资。 这样的事以前在国外确实有过,但在今天这已经是几乎不可能的了。 投资人看重的是你的创业计划真正的技术含量有多高,在多大程度上是不可复制的,以及市场赢利的潜力有多大。 而对于这些,你必须有一整套细致周密的可行性论证与实施计划,决不是仅凭三言 两语的一个主意就能让人家掏钱的。
4.大学生的市场观念较为淡薄,不少大学生很乐于向投资人大谈自己的技术如何领先与独特,却很少涉及这些技术或产品究竟会有多大的市场空间。 就算谈到市场的话题,他们也多半只会计划花钱做做广告而已,而对于诸如目标市场定位与营销手段组合这些重要方面,则全然没有概念。
大学生创业的方向与项目:
一、项目选择
1、选择个人有兴趣或擅长的项目;
2、选择市场消耗比较频繁或购买频率比较高的项目;
3、选择投资成本较低的项目;
4、选择风险较小的项目;
5、选择客户认知度较高的项目;
6、可先选择网络创业(免费开店)后进入实体创业项目。
二、创业方向
方向一:高科技领域
身处高新科技前沿阵地的大学生,在这一领域创业有着近水楼台先得月的优势,“易得方舟”、“视美乐”等大学生创业企业的成功,就是得益于创业者的技术优势。 但并非所有的大学生都适合在高科技领域创业,一般来说,技术功底深厚、学科成绩优秀的大学生才有成功的把握。 有意在这一领域创业的大学生,可积极参加各类创业大赛,获得脱颖而出的机会,同时吸引风险投资。
推荐商机:软件开发、网页制作、网络服务、手机游戏开发等。
方向二:智力服务领域
智力是大学生创业的资本,在智力服务领域创业,大学生游刃有余。 例如,家教领域就非常适合大学生创业,一方面,这是大学生勤工俭学的传统渠道,积累了丰富的经验;另一方面,大学生能够充分利用高校教育资源,更容易赚到“第一桶金”。 此类智力服务创业项目成本较低,一张桌子、一部电话就可开业。
推荐商机:家教、家教中介、设计工作室、翻译事务所等。
方向三:连锁加盟领域
统计数据显示,在相同的经营领域,个人创业的成功率低于20%,而加盟创业的则高达80%。 对创业资源十分有限的大学生来说,借助连锁加盟的品牌、技术、营销、设备优势,可以较少的投资、较低的门槛实现自主创业。 但连锁加盟并非“零风险”,在市场鱼龙混杂的现状下,大学生涉世不深,在选择加盟项目时更应注意规避风险。 一般来说,大学生创业者资金实力较弱,适合选择启动资金不多、人手配备要求不高的加盟项目,从小本经营开始为宜;此外,最好选择运营时间在5年以上、拥有10家以上加盟店的成熟品牌。
推荐商机:动漫店、快餐业、家政服务、校园小型超市、数码速印站等。
方向四:开店
大学生开店,一方面可充分利用高校的学生顾客资源;另一方面,由于熟悉同龄人的消费习惯,因此入门较为容易。 正由于走“学生路线”,因此在要靠价廉物美来吸引顾客。 此外,由于大学生资金有限,不可能选择热闹地段的店面,因此推广工作尤为重要,需要经常在校园里张贴广告或和社团联办活动,才能广为人知。
推荐商机:高校内部或周边地区的动漫店、餐厅、咖啡屋、美发屋、文具店、书店等。
电网变电站自动化系统中的五防子系统是什么意思?
五防功能是指:(1)防止误分、合断路器。 (2)防止带负荷分、合隔离开关。 (3)防止带电挂(合)接地线(接地刀闸)。 (4)防止带接地线(接地刀闸)合断路器(隔离开关)。 (5)防止误入带电间隔。 五防系统是变电站防止误操作的主要设备,确保变电站安全运行,防止人为误操作的重要设备,任何正常倒闸操作都必须经过五防系统的模拟预演和逻辑判断,所以确保五防系统的完好和完善,能大大防止和减少电网事故的发生。 随着电网的发展,用户用电量的日益增大,对用户供电的可靠性要求越来越高,五防系统的作用也变得更为重要。 五防系统工作原理是倒闸操作时先在防误主机上模拟预演操作,防误主机根据预先储存的防误闭锁逻辑库及当前设备位置状态,对每一项模拟操作进行闭锁逻辑判断,将正确的模拟操作内容生成实际操作程序传输给电脑钥匙,运行人员按照电脑钥匙显示的操作内容,依次打开相应的编码锁对设备进行操作。 全部操作结束后,通过电脑钥匙的回传,从而使设备状态与现场的设备状态保持一致。 另外,五防系统对设备变位无提示功能,完全依赖于后台监控信号,若运行人员马虎、大意或监控不到位,遗漏了此后台变位信号,尤其在大修、定检或大型操作的过程中,后台信号频繁且繁多,往往设备误发的变位信号与其他信号混杂在一起,此时很难被发现。 在交接班时,交接人员也可能因繁忙或疏忽,未交待清楚设备位置状态。 这些情况一旦发生,都可能引起误操作事故,后果不堪设想。 五防系统存在的问题 通过以上综合分析,五防系统无自主判别设备位置能力,在设备误发变位信号,的情况下,会使五防系统误判设备位置,失去基本的防误能力,反而导致误操作事故的发生。 解决方案 增加位置辅助接点采集,改为双接点模式 后台监控系统位置信号仅通过现场设备辅助开关单接点采集,再传输到五防系统,进行信号对点,一一对应。 如该接点出现问题,将影响信号回路的传输,而误发变位信号。 我们可再增加一对独立位置辅助接点采集,改为双辅助接点传输,互不影响,同时在后台监控和五防系统均增设虚拟位置信号,当两信号回路位置不一致时,五防系统可发出告警信号,来自动闭锁五防系统操作界面,需现场确认,进行人工对位后,方能操作。 改进五防系统,利用闭锁逻辑程序自动对位 仅改进五防系统软件功能,通过每个设备自身的闭锁逻辑程序,来与设备位置相关联,即当某设备出现非逻辑性的变位时,则弹出告警窗口,自动闭锁五防系统操作界面,到现场确认后,实现自动对位。
win7系统里分区时候,为什么会自动生成一个100M的隐藏主分区,它有什么用?
在Windows 7的bate版本中该隐藏分区是200M,从Windows 7 的RC及其以后版本中该隐藏分区大小改为100MB,但是不管怎样,其作用是一样的。在Windows 7安装过程中,它会首先在磁盘的开始位置创建一个100M左右的隐藏分区,然后将Windows 7装在另外的一个分区里。好吧,下面就让我们一探究竟。 1、分区状态
该分区的格式为NTFS,没有磁盘卷标也没有分配驱动器号,其磁盘状态描述为:系统、活动、主分区。 因为没有驱动器号,所以在资源管理器中是不可见的。
2、该分区中都有什么呢?
为了一探究竟,笔者为其分配了一个驱动器号F。 操作方法是:在磁盘管理器中选中该分区,右键单击选择“更改驱动器号和路径”弹出更改向导。 单击 “添加”按钮在弹出的对话框中点选“分配以下驱动器号”,然后点击其后的下拉列表从中选择F,最后“确定”退出即可。 接下来打开“计算机”可看到一个新的磁盘分区F,进入该分区发现有两隐藏目录Boot和System Volume Information,另外还有两个隐藏文件bootmgr和。 毫无疑问,Windows 7在该隐藏分区中保存了系统的引导文件。
3、添加分区号后是否会影响系统启动呢?
接下来我们重启系统,看看上述操作(添加盘符)是否会影响到Windows 7的启动。 测试结果系统正常启动,可见上述修改不会影响系统启动。 这是非常好理解的,为启动分区重新分配盘符的操作并没有修改系统的引导文件,也没有修改磁盘引导扇区。 可见,微软之所以将Windows 7的引导文件放在一个独立的隐藏分区中,一定是出于对引导文件的保护。
4、能否将分区返回到隐藏模式呢?
既然隐藏分区是为了保护系统引导文件,下面我们进行测试看是否可以取消刚才为其赋予的驱动器号。 右键单击该分区选择“更改驱动器号和路径”,尝试“更改”或者“删除”驱动器号都显示“无法删除/更改卷的驱动器号”,其原因是改卷是系统或者启动卷。 由此可见,为Windows 7中的这个特殊的隐藏分区添加驱动器号的过程是不可逆的。
5、删除分区中的文件是否影响系统启动呢?
下面我们尝试删除该分区中的系统引导文件会怎样。 笔者以Administrator登录系统,进入F分区然后进行文件删除。 在删除的过程中发现,其中有些文件是无法删除的,显示“文件正在使用”或者提示“没有删除权限”。 然后又尝试了为administrator赋予“完全控制权限”,结果被拒绝。 经过测试发现就连system没有完全控制权限,只有TrusterInstaller用户才有完全控制权限。 该用户是Windows 7中特有的,其任务是单一的与系统安装有关,在Windows7的用户和组()中是没有该用户的。 下面我们看看,在删除了该分区中的某些文件之后是否会影响系统启动。 重启系统,没有问题系统正常启动。 可见,我们刚才删除的文件与系统启动无关,而真正与系统启动相关的文件是无法删除的。
6、删除分区中是否影响系统启动呢?
通过磁盘管理器,笔者尝试“格式化”、“删除卷”均不能成功,可见Windows 7对该分区的保护是做得很不错的。 既然系统工具不行,那试试第三方工具。 笔者用Acronis Disk Director Suite 10.0进行测试,利用该工具删除了分区及其上面的数据,然后重启系统。 显示“BOOTMBR is missing”即主引导扇区丢失,系统无法启动。 由此可见,该隐藏分区中保存了系统的引导文件和磁盘的主引导分区信息。
总结:通过上面的测试揭开了这个隐藏分区的神秘面纱,这个大小为100MB或者200MB的隐藏分区对于Windows7至关重要,它保存了系统引导文件和磁盘引导扇区的信息。 如果它丢失或者被破坏对于Windows 7来说将是灾难性的。 总的来说,将Win7的引导文件保存在一个隐藏分区中无疑加强了其安全性。 但是,因为目标单一也容易成为攻击的对象。 因此,建议大家不要为该隐藏分区分配驱动器号,这样就能够在较大程度上杜绝人为或者病毒木马对其造成破坏。
发表评论