亚信信息系统安全周报_CN_170710-亚信安全.DOC

? ? ? 病毒情报中心 ? 系统漏洞信息 一周病毒情况报告热门病毒综述?-?BKDR_INDUSTROYER.A? KB4022714 系统安全技巧 ? 产品 病毒码情况 ? 一周病毒情况报告 ? 本周用户报告感染数量较多的病毒列表 INFECT.MBR-B* ? 亚信安全热门病毒综述 ? 热门病毒综述?-BKDR_INDUSTROYER.A ? 对该病毒的防护可以从下述连接中获取必威体育精装版版本的病毒码：13..60 ? /Anti-Virus/China-Pattern/Pattern/ 病毒详细信息请查询： ? /vinfo/us/threat-encyclopedia/malware/ransom_petya.sma ? 系统漏洞信息 ? 4022714) Windows 10 Version 1511 for 32-bit Systems Windows 10 Version 1511 for x64-based Systems 描述：/zh-cn/security-guidance ? 产品 ? 病毒码情况 在最近一周发布中国区病毒码情况如下： ? 201年月日发布病毒码13..602017年月日发布病毒码13.2017年月日发布病毒码13.2017年月日发布病毒码13..602017年月日发布病毒码13..60 截至目前，病毒码的最高版本为13..60，发布于2017年0月日。 病毒码下载地址为： ? /Anti-Virus/China-Pattern/Pattern/ 您也可以从以下链接下载TSUT工具进行趋势科技Windows平台产品的更新： ? /Anti-Virus/China-Pattern/TSUT/ 趋势科技在最近一周发布全球病毒码情况如下： ? 201年月发布病毒码1.509.002017年月日发布病毒码1.511.002017年月日发布病毒码1.513.002017年月日发布病毒码1002017年月日发布病毒码1.517.00 截至目前，病毒码的最高版本为13..00，发布于2017年0月日。 病毒码下载地址为： ? /Anti-Virus/Main-Pattern/ 您也可以从以下链接下载TSUT工具进行趋势科技Windows平台产品的更新： ? /Anti-Virus/TSUT/ 系统安全技巧 ? 2016年12月发生的针对乌克兰电网的黑客袭击事件，造成其首都基辅附近断电超一小时，数百万户家庭被迫供电中断。最近安全专家经调查发现，侵入乌克兰电网的罪魁祸首可能是Industroyer工控恶意程序。该恶意程序能够控制关键工业控制系统，切断供电数字开关，引发大规模断电，甚至造成更大危害。亚信安全已经截获Industroyer恶意程序，并将其加入病毒库中，对应的检测名为：BKDR_INDUSTROYER.A和TROJ_INDUSTROYER.A。 Industroyer恶意程序入侵方法： Industroyer恶意程序利用的是国际通用的四种工业通讯协议（包括电力供应基础设施、运输控制系统和其他关键基础设施系统如水、天然气基础设施），具体工业通讯协议如下： ? IEC 60870-5-101 (aka IEC 101) ? IEC 60870-5-104 (aka IEC 104) ? IEC 61850 ? OLE for Process Control Data Access (OPC DA) I Industroyer入侵及攻击流程 入侵成功后，Industroyer恶意程序会控制各地变电站的能源开关及断路器。这些能源开关以及断路器实际上是个数字化开关。这些开关和断路器可以实现各种多样化功能。乌克兰断电事件中，Industroyer恶意程序的影响表面上看只是简单的关闭配电，但是其还会存在很多潜在危害，如：非法关闭配电会引起多个层级的错误，甚至可能损坏整体设施，而且这种破坏会直接或间接地影响重要服务的正常运作。 Industroyer恶意程序分析： Industroyer恶意程序具备逃避检测的能力。其会在完成任务后进行痕迹清理，而且其与 CC 服务器通讯会限制在非工作时间进行。当主后门程序不能正常工作时，它还会调用另外一个后门程序用以重新获取目标网络的权限。 Industroyer恶意程序的核心程序是一个后门程序，亚信安全检测为BKDR_INDUSTROYER.A， 通过核心的后门程序，攻击者可以对攻击行为进行管理：安装和控制其他组件，连接到CC服务器来接受指令，并返回信息给攻击方。 命令ID 1 Create process 2 Create process (using specific user account) 3 Download file 4 Copy f