数据采集与监控系统分析系统什么是震网病毒及如何抗震网病毒

数据采集与监控系统分析系统什么是震网病毒及如何抗震网病毒

镇望病毒也被称为st屋面病毒，是一种卷世界行业的病毒。关于震网蠕虫的问题已经有了诸多论述。但是,产生震网病毒的奇怪原因则谈得不够,因为它不是一种普通的病毒。震网病毒是历史上首个能够突破网络空间边界并进入到真实世界中的病毒,它不仅能够损坏数据和程序编码,而且能够损坏机器和设备本身。震网病毒的出现不仅暴露了微软操作系统中的又一批漏洞,而且使信息安全专家的视线转向了对于他们来说完全新型的领域——工业系统安全。此前,尽管有几家安全公司几年前就对工业系统安全发出了警示,但是很少有人真正考虑这一问题。其原因显而易见:工业网不仅与公用网络隔离,而且与企业的内部网络隔离,并且,在工业网中使用了非常专业的设备和软件,且严格地规定所有工艺流程。似乎,一切都应该是安全的,不会出现任何危险。但实际情况却不是这样!震网蠕虫的研制者毫不费力地绕过了这一看似最可靠的物理防护。之所以我们要将其称之为“研制者”,因为,这显然指的不是一个人,而是一个群体,在这个群体中,除了专业的程序设计人员和代码编写者之外,还包括了工艺流程自动化控制系统的专家和工程师,他们熟知使用工业控制器以及其它外围设备的工作特点。这件事反映出很多问题,但从首次发现震网病毒之时起已经过去了好几个月,至今也还没有明确的答案。其原因有几个:1.这是第一起针对工业控制系统的恶意程序事件;2.信息安全及病毒防护专家脑中对“可编程控制器”及“数据采集与监控系统”不熟悉,而工艺流程自动化控制系统专家则又不熟悉信息安全问题,这就严重地妨碍了对病毒进行分析的工作;3.由于病毒损害了特大型工业公司以及能源公司的工作,但是,关于发生这些病毒的相关信息又被掩藏封锁起来。“DigitalSecurity”公司是俄罗斯为数不多的专门研究工业自动控制信息安全的公司之一,在公司中有一批负责研制和推广复杂工业自动化控制系统的富有经验的安全专家,他们对震网病毒进行了相关分析。在工业网中安装自动化工作台现在,我们想象一下,有一个生产某种产品的工业设备,该设备中的各个机组需要按照某种算法进行控制。我们给这一工业设备挂上各种各样的传感器以及各种执行机构,现将其连接到可编程控制器,由该控制器执行这一算法。这一控制器还将测量温度、电压、压力,观察发动机的转速,启动以及关闭各种机构。如果某种参数超出了所允许的范围值(这些允许范围的设定值已经输入到了控制器之中),控制器就会中止该设备的工作或者中止该工艺流程。设备的数量可能会很多,那么,控制器的数量相应地也会很多。通过Ethernet、RS485以及其它类型装置,可以实现设备与控制器之间的交互。工业以太网是普通的以太网,在这种网络中,工业网中的有源设备都能耐外部作用、振动、电磁干扰、温度、湿度以及其它因素的影响。在现代工业网中,Modbus、Profibus以及其它工业协议通常基于TCP/IP协议之上工作。在实际上,它们与传统网路之间确定存在区别,但是,这种区别却没有什么原则性差异。控制器本身也是一台计算机,但它的结构却是微型结构,用于完成某种任务,并有自己的操作系统。工业控制器中的操作系统通常由生产者自己研制,这种操作系统的信息不常用,如QNX系统或者DOS系统。控制器的结构通常是模块式,在控制器中通常接入各种用于完成不同任务的输入—输出模块。但是,除了控制器之外,还有一个人即操作员在观察工艺流程的工作。对于操作员来说,如果手动去观察几十个、通常达到上百个控制器的话,非常不方便。因此,为了便于操作员使用,在工业网中,安装了自动化工作台(АРМ)。自动化工作台指的是一台带有Windows操作系统的计算机,在该计算机中安装了用于显示数据采集与监控系统工艺流程的程序。数据采集与监控系统从控制器向显示屏幕输出数据,也可以保证手动控制各种机构,并可以修改工艺流程中的某些参数,还可以将参数记录归档。在自动化工作台中,通常安装数据库,用于记录各种统计数据和生成总结报告。在网络中的自动化工作台可能会有好几个,其数量取决于生产规模及操作员的数量。自动化工作台总是位于一个带有控制器的网络中。通常,在这些自动化工作台中没有安装抗病毒程序,即使已经安装了抗病毒程序,也通常没有进行程序更新。因为人们总是认为:在这一隔离的环境中,无论如何也不会出现病毒。同样,应该指出的是,在自动化工作台中,对系统程序自然也没有进行任何更新:到目前为止,其中的许多程序还在WindowsXPSP1下工作,或者,甚至没有服务包,这样就造成在这些程序中存在非常危险的漏洞。在许多对工业自动化控制系统了解不多的人中,就会出现一个合乎逻辑的问题:如果已经有了一台完全合乎要求的计算机,这台计算机能够控制一切,那么,为什么还需要控制器?答案很简单:不能相信计算机。由Windows系统所控制的计算机具备“取悦大家”的特性,从其本身来说,Windows无论如何也不能享有实时操作系统的称号。而在控制器中,有自己的操作系统,有自己的工业备份电源,且其故障稳定性比任何个人电脑要高出一倍。当然,这是对工业系统的最为表面的解释,但是,如果不进行这种解释的话,就难以阐述震网蠕虫的实质,也就无法阐述防治震网蠕虫的问题。震网感染的安全问题我们所讨论的震网病毒指的是一种技术水平非常高的带毒程序产品。该蠕虫利用了MicrosoftWindows系统中事先不为人知晓的4个漏洞,其中的漏洞之一就是通过USB-flash存储介质进行传播。并且,在Windows的各种版本中,包括在XP、CE、Vista7、WindowsServer2003、WindowsServer2008以及WindowsServer2008R2中,无论是在32位操作系统中还是在64位操作系统中,都发现了该漏洞。该漏洞主要表现在:当系统试图从存储介质中显示图标时,例如,在对传播工具进行浏览时,将会执行恶意代码并可能会感染整个网络。而且,在大多数工业设施中,这种蠕虫正是通过外部存储介质进入工业设施之中。震网蠕虫向系统中安装两个驱动程序,其中之一为文件系统过滤驱动程序,该驱动程序在移动存储介质中隐蔽安装了恶意程序。第二个驱动程序用于驱动动态加密程序库,在这种程序库中包含了用于完成主要任务的特种程序。含有木马的驱动程序被安装到系统中,驱动程序中有从合法软件生产者那里窃取来的数字签名。在其所使用的数字签名中,目前已知的有属于以下公司的数字签名,如RealtekSemiconductorCorp和JMicronTechnologyCorp公司。黑客利用这些数字签名,将含有Rootkit的驱动程序“悄悄地”安装在专用系统之中。在许多厂商的安全系统中,由著名公司所签署的文件常常被认为是安全的,因此,一旦拥有了签名,就可以无须暴露自己而毫无障碍地在系统中采取行动。此外,在震网蠕虫中,还具有监控感染数量、自我销毁以及远程控制等机制。除了通过外部存储介质进行传播之外,震网蠕虫还可以通过连接到局域网的方式感染计算机。也说是说,当震网蠕虫位于工业网之外时,它还在分析各种有效的网络连接,并将采取各种可能的方式“突破”工业网。在进入到系统之后,恶意程序将在系统中寻找是否存在西门子公司的数据采集与监控系统。并且,它们只攻击WinCC/PCS7中的数据采集与监控系统。在西门子公司的系统中,还有一个“DesigoInsight”数据采集与监控系统,该系统广泛应用于大楼、住宅综合设施、机场等地的自动化,但目前我们还没有掌握关于这一系统是否受到感染的数据。也就是说,这一蠕虫已潜入大型工业设施和战略设施中。当震网蠕虫“明白”装有WinCC的计算机中的实际情形之后,它就会利用标准的统计记录进入系统。应该指出的是,西门子公司没有正式建议修改自己系统中的标准口令,因为“这有可能影响到系统的工作能力”,在蠕虫利用了这些标准口令之后,就可以保证顺利得到近100%的授权。因此,病毒将与WinCC进行连接,并以此获准进入到工艺流程之中。但这还不是全部恶果。蠕虫还将在自动化工作台的局域网中“四处张望”。在局域网中找到目标——其它自动化工作台之后,蠕虫就会利用Windows打印服务中的零日漏洞感染这些自动化工作平台。同样,蠕虫在网络中还可以找到控制器。震网病毒最主要的以及最危险的功能就是能够对可编程控制器进行重新编程,当然不是对所有可编程控制器施加影响,而是只针对于西门子公司的“Simatic”。但是,事情还远不止这些,如果考虑到以下情形,即在为数众多的设施中使用了控制器建立了工艺流程,这些设施包括有各种战略设施和军事设施。例如,伊朗的布什尔核电站,许多专家认为,震网蠕虫的“目标”就是该核电站,尽管在该设施中没有使用西门子公司的控制器控制反应堆本身,但是大量地使用了西门子公司的控制器用于控制各种辅助设备。仅这一个方面就足以使蠕虫瘫痪核电站的工作。并且,这一“瘫痪”的过程也非常有趣。木马并没有向控制器中写入垃圾程序,也没有使控制器中断运行。这一蠕虫在系统中“存活”了很长时间,它积累了有关工艺流程、设备工作方式的信息,包括温度、压力、发动机工作频率设定值的信息。但在合适的时机,木马会对上述设定值进行变更。例如,在设备中,冷却液温度的故障设定值为75°С,额定工作温度为40°С-45°С。如果将控制器中的紧急停车温度值从75°С变更为40°С,那么,当机组实际处于自己的额定工作温度中时,控制器也会引发机组紧急停机。还有一种更坏的情形,即当其将设定值向另外一个方向变更时,则机组在过热的情况下仍将一直工作,直到自我毁坏为止。在这种情况下,在数据采集与监控系统的屏幕上,操作员仍将看到正常的数据及正常的设定值,但是,木马已经对其进行了实时修改。再假设该装置用于压缩燃气,并由“最新一代”涡轮机组自动化控制系统所控制,那么,如果变更这一设定值,就可会导致整个压缩站及其周边地区一起从地图上消失。在由赛门铁克公司专家所“彻查”的一种蠕虫版本中,找到了电动机频率-调节传动装置中的控制泛函数,这些电动机属于两个具体的生产者,并且电动机正在以某种频率进行工作。根据研究材料表明,在伊朗,蠕虫已经导致大量用于铀浓缩的离心机出现故障。在对这些离心机进行控制时,正好使用了频率调节传动装置。读者们可能会提出一个合乎逻辑的问题:伊朗的离心机损坏了,我们为什么要感到不安?答案很简单——震网病毒,例如,它可以导致“游隼”高速列车发生故障,因为这种列车完全建立在“Simatic”系统之中,并且在工作中大量使用了相同的“频率机”。并且,除了“游隼”高速列车之外,在众多各种各样的系统中也使用了这种“频率机”。震网病毒还有一个有趣的功能特点,就是寻找有效的因特网连接,并且可以向某些地址发送信息。显然,正是这一特点成为了“达尼洛夫”抗病毒试验室专家们所发表声明的原因。这些专家认为木马可能会被作为工业间谍工具。这种蠕虫病毒可以通过因特网进行更新,从而导致在各种分析人士手中所捕获的病毒复制样本无论在规模上(从500KB到2MB不等)还是在泛函数上都明显各不相同。当工业网没有与因特网进行连接时,这些因特网功能又有什么用呢?工业网与因特网相连接,尽管不是一直相连接,但是还是有连接的情况。在某些企业中,联系是通过自动化工作台上的第二网卡进行,以便能够监控和收集统计数据;而在其它企业中,则使用GSM调制解调器,用于进行远程技术支持和调度。许多工业网经常性地或者临时性地与公用网络相连接。防止usb口感染的措施目前,所有先进的抗病毒软件都能将震网病毒从计算机中清除。一切看起来都似乎很不错,因为抗病毒软件能够为计算机医治病毒。微软发布了用于消除可能被蠕虫利用的危险漏洞的程序更新,西门子也生产出了用于WinCC的“补丁”。问题解决了吗?没有。抗病毒软件只能清除自动化工作台中的恶意代码,也就是说,只能清除由Windows控制的工业网中的某些组成部分中的恶意代码。那么,控制器怎么办?震网蠕虫的主要传播源就是外部存储介质。根据几乎所有企业的规定,接入这种存储介质尤其是私人存储介质是完全禁止的。但是,实际上又有多少人老老实实去去遵守这一规定呢?值夜班的操作员感到非常寂寞:企业静悄悄,空无一人,工艺流程在自动化状态下运行,眼前就是自动化工作台,也就是说计算机就在眼前!于是就想看电影了,想玩游戏了。根据我们在各个设施中的抗病毒经验证明,在自动化工作台中,病毒过去存在,现在存在,在将来还会存在。那些从事研制工艺流程自动化控制系统并对其提供技术支持的公司不时地向各个设施中派出自己的专家,其目的在于清理各种工作平台并找出各种病毒。如何防止个人的类似行为呢?如果CD/DVD光驱可以不安装到用户的计算机中,那么,USB输入就总是被默认安装。一家圣彼得堡商业银行的专家找到了一个很细致的解决方案,即用喷枪将所有USB端口喷上胶封死。但是,这种解决方案不是永远可以使用的,因为有时必须使用USB端口,例如,在安装程序产品的防护密钥时,以及在工程技术人员下载信息时,就需要使用这些USB端口。同样,用户的一些接口设备以及打印机也经常通过USB端口进行工作,因此,对USB端口完全进行物理销毁并不完全是明智的,这就是为什么不能建议使用这种激进方法的原因。为了防止系统受到不只是震网病毒的感染,而且不受到其它病毒的感染,其唯一方法就是确保人员遵守企业的规定和信息安全基本规则。遗憾的是,这一问题很不被人关注,有时甚至完全被人忘记。据我个人的经验所知,在很多设施中,人们甚至没有考虑在自动化工作台上安装电脑游戏会造成什么后果、或者自带GSM调制解调器从自动化工作台上玩因特网“冲浪游戏”会造成什么后果。人们普遍缺乏基本的计算机安全知识。领导层要么不知道所发生的一切,或者知道,但仍然是睁一只眼闭一只眼。直接使用先进自动化控制系统自动化工作台以及其它部件的人员必须经过相应的培训和教育,其中包括进行信息安全方面的培训和教育,但遗憾的是,这一切都没有进行落实。正是因为这一切,造成了以下情形,即:震网病毒存在于大量的设施与系统之中,而这一存在病毒的事实则被“当地”的工作人员和领导仔细地隐藏不报。在出现了震网病毒之后,当大型公司的领导层向自己的所有下属设施分别下达指示和下发程序产品时,以便能够清查震网病毒和杀毒时,我们才得知发生了这种隐藏不报的情况。在许多设施中,工作人员确实找到了病毒,但是谁也没有去杀毒!其原因于下:为了顺利地清除系统中的病毒,必须重新安装系统,也就是说,必须中止工艺流程。同样,也会坚决要求专家们在场,以便能够查明控制器中所发生的变化情况,并尽可能地对其进行修正。如果中止设备、车间或者整个企业的工作,这不是一件简单的事,这是一次重大事故,需要说明相应的理由。而又不能用存在恶意软件的事实去说明理由,要知道,当地的领导者必须对没有遵守规定和技术细则的事情承担责任。如果蠕虫进入到了系统之中,这就意味着没有执行技术细则中的规定,领导者就会不高兴。谁也不希望发生不高兴的事情。于是工业设施就与震网蠕虫一起生存,实际上不是与其一起生存,而是我们坐在“火药桶”上面。这就是一个火药桶,因为,谁也不能保证这种暂时“沉睡”的木马会在何时攻击其中的何种设施,谁也不能保证不会出现新的蠕虫版本。据我们所掌握的材料表明,除了伊朗的核设施之外,震网病毒还成功地损害了其它一些国家的某些工业企业、各种设施以及系统,尽管这些设施与系统与核计划没有关系。利用windowsce/embedded软件进行病毒清除程序,并将其上升到计算机病毒以及在其它上面已经说过,震网病毒已经被成功地发现,并可以使用所有先进的防病毒工具进行查杀。同时,也有一些细节需要注意:在为系统清除蠕虫之后,必须检查一下,确认在控制器中的程序与