Win32Industroyer技术分析与防护方法.PDF

Win32/Industroyer 技术分析与防护方法 发布时间：2017 年 6 月 15 日 综述 2017 年 6 月 8 日，安全公司ESET 发现了针对工控系统的恶意软件 Win32/Industroyer，并提前向Dragos 公司做了通告，Dragos 通过对 ESET 分 析结果进行验证后，6 月 12 日公布了Win32/Industroyer 的hash 信息以及分 析报告，随后绿盟科技发布此次技术分析及防护方案。 Industroyer 作者具有深厚的工控背景，尤其对电力系统工控协议非常熟 悉，Industroyer 支持四种工控协议： • IEC 60870-5-101 (aka IEC 101) • IEC 60870-5-104 (aka IEC 104) • IEC 61850 • OLE for Process Control Data Access (OPC DA) 与 2015 年乌克兰断电恶意软件 (BlackEnergy, KillDisk，以及其他组件) 相比，Industroyer 功能结构更加高级，可以造成系统崩溃，无法提供正常服 @ NSFOCUS 2017 务。根据 Dragos 分析并推测，Industroyer 与 2016 年 12 月乌克兰断电时间有 关。 文件结构 文件名 SHA-1 功能 MainBackdoor. F6C21F8189CED6AE150F9EF2E82 1.1e 版本后门主模块，与 CC(5.39.2 exe A3A57843B587D 18.152:443 )通信，接收指令并执行 MainBackdoor. CCCCE62996D578B984984426A02 1.1e 版本后门主模块，与 CC(5.39.2 exe 4D9B250237533 18.152:443 )通信，接收指令并执行 MainBackdoor. 2CB8230281B86FA944D3043AE90 1.1s 版本后门主模块，与 CC(195.1 exe 6016C8B5984D9 6.88.6:443 )通信，接收指令并执行 MainBackdoor. 8E39ECA1E48240C01EE570631AE 1.1s 版本后门主模块，与 CC(93.11 exe 8F0C9A9637187 5.27.57:443 )通信，接收指令并执行 Launcher.exe 79CA89711CDAEDB16B0CCCCFD Launcher.exe ，负责加载 payload.dll 或 CFBD6AA7E57120A haslo.dat ，执行攻击操作 Crash104.dll 94488F214B165512D2FC0438A581 Crash104.dll，IEC 104 payload F5C9E3BD4D4C Haslo.dat 5A5FAFBC3FEC8D36FD57B075EB Haslo.dat，数据清理模块，由 Launcher F34119BA3BFF04 加载运行，功能同 haslo.exe Haslo.exe B92149F046F00BB69DE329B8457 Haslo.exe ，数据清理模块，可独立运