工业网络攻击-化工网络被攻击

hacker|
237

公司网络被ARP攻击,装了防火墙也不管用

安装防火墙只能在一定的情况下拦截部分的攻击 有时候给你个提示都不错了

想彻底解决只有抓攻击源头的360那些免费的防火墙能给你提示就很不错了

主要是看你被攻击的时候网络有没有受到什么影响

北化工研究生压力测试系统进不去

测试系统进不去可能有以下原因:一、服务器问题:网站关闭或者暂停,网站被攻击,或者访问人数过多。二、本地问题:本地网速过慢,本地打不开网络,本地ip被网站服务器禁掉。也会导致打不开,查找是哪种原因导致的网址进不去,然后根据原因进行解决。

研究生是高等教育的一种学历,分为硕士研究生和博士研究生两种类型。研究生主要分为全日制和非全日制两种。

上网网站被攻击了怎么办

1、当我们发现网站被攻击的时候不要过度惊慌失措,先查看一下网站服务器是不是被黑了,找出网站存在的黑链,然后做好网站的安全防御,具体操作分为三步:

【1】开启IP禁PING,可以防止被扫描;

【2】关闭不需要的端口;

【3】打开网站的防火墙。

2、这些只能防简单的攻击,如以上方式尚未能解决问题,建议您可联系相关软件技术人员咨询,例如红盾等,具体情况以当地政策为准。

—————

超越7待,沃更精彩,iPhone7优惠热卖中!您可直接点击 进入活动页面(温馨提示:各地市优惠活动不尽相同,具体以活动页面为准。)

您可能还关注:

优惠大赠送!【冰激凌套餐,全新上市,全国流量/通话任性用!】~~还等什么,点击下列相应链接进行办理吧!

【冰激凌套餐】:;

马后炮化工论坛怎么总被攻击

网站被黑的因素分2中 一中是由于服务器空间商的安全 导致被牵连

一种是网站程序的安全自身的程序安全漏洞被黑被入侵被挂马。

有条件的话可以找专业做安全的去看看. 公司的话可以去Sine安全看看听朋友说不错。

一般都是网站程序存在漏洞或者服务器存在漏洞而被攻击了

网站挂马是每个网站最头痛的问题,解决办法:1.在程序中很容易找到挂马的代码,直接删除,或则将你没有传服务器的源程序覆盖一次但反反复复被挂就得深入解决掉此问题了。但这不是最好的解决办法。最好的方法还是找专业做安全的来帮你解决掉

听朋友说 SineSafe 不错 你可以去看看。

清马+修补漏洞=彻底解决

所谓的挂马,就是黑客通过各种手段,包括SQL注入,网站敏感文件扫描,服务器漏洞,网站程序0day, 等各种方法获得网站管理员账号,然后登陆网站后台,通过数据库 备份/恢复 或者上传漏洞获得一个webshell。利用获得的webshell修改网站页面的内容,向页面中加入恶意转向代码。也可以直接通过弱口令获得服务器或者网站FTP,然后直接对网站页面直接进行修改。当你访问被加入恶意代码的页面时,你就会自动的访问被转向的地址或者下载木马病毒

清马

1、找挂马的标签,比如有script language="javascript" src="网马地址"/script或iframe width=420 height=330 frameborder=0

scrolling=auto src=网马地址/iframe,或者是你用360或病杀毒软件拦截了网马网址。SQL数据库被挂马,一般是JS挂马。

2、找到了恶意代码后,接下来就是清马,如果是网页被挂马,可以用手动清,也可以用批量清,网页清马比较简单,这里就不详细讲,现在着重讲一下SQL数据库清马,用这一句语句“update 表名 set 字段名=replace(字段名,'aaa','')”, 解释一下这一句子的意思:把字段名里的内容包含aaa的替换成空,这样子就可以一个表一个表的批量删除网马。

在你的网站程序或数据库没有备份情况下,可以实行以上两步骤进行清马,如果你的网站程序有备份的话,直接覆盖原来的文件即可。

修补漏洞(修补网站漏洞也就是做一下网站安全。)

1、修改网站后台的用户名和密码及后台的默认路径。

2、更改数据库名,如果是ACCESS数据库,那文件的扩展名最好不要用mdb,改成ASP的,文件名也可以多几个特殊符号。

3、接着检查一下网站有没有注入漏洞或跨站漏洞,如果有的话就相当打上防注入或防跨站补丁。

4、检查一下网站的上传文件,常见了有欺骗上传漏洞,就对相应的代码进行过滤。

5、尽可能不要暴露网站的后台地址,以免被社会工程学猜解出管理用户和密码。

6、写入一些防挂马代码,让框架代码等挂马无效。

7、禁用FSO权限也是一种比较绝的方法。

8、修改网站部分文件夹的读写权限。

9、如果你是自己的服务器,那就不仅要对你的网站程序做一下安全了,而且要对你的服务器做一下安全也是很有必要了!

网站被挂马是普遍存在现象然而也是每一个网站运营者的心腹之患。

您是否因为网站和服务器天天被入侵挂马等问题也曾有过想放弃的想法呢,您否也因为不太了解网站技术的问题而耽误了网站的运营,您是否也因为精心运营的网站反反复复被一些无聊的黑客入侵挂马感到徬彷且很无耐。有条件建议找专业做网站安全的sine安全来做安全维护。

震网病毒的深度分析

2010年10月,国内外多家媒体相继报道了Stuxnet蠕虫对西门子公司的数据采集与监控系统SIMATIC WinCC进行攻击的事件,称其为“超级病毒”、“超级工厂病毒”,并形容成“超级武器”、“潘多拉的魔盒”。

Stuxnet蠕虫(俗称“震网”、“双子”)在2010年7月开始爆发。它利用了微软操作系统中至少4个漏洞,其中有3个全新的零日漏洞;伪造驱动程序的数字签名;通过一套完整的入侵和传播流程,突破工业专用局域网的物理限制;利用WinCC系统的2个漏洞,对其开展破坏性攻击。它是第一个直接破坏现实世界中工业基础设施的恶意代码。据赛门铁克公司的统计,截止到2010年09月全球已有约45000个网络被该蠕虫感染, 其中60%的受害主机位于伊朗境内。伊朗政府已经确认该国的布什尔核电站遭到Stuxnet蠕虫的攻击。

安天实验室于7月15日捕获到Stuxnet蠕虫的第一个变种,在第一时间展开分析,发布了分析报告及防范措施,并对其持续跟踪。截止至本报告发布,安天已经累计捕获13个变种、600多个不同哈希值的样本实体。 2.1 运行环境

Stuxnet蠕虫在以下操作系统中可以激活运行: Windows 2000、Windows Server 2000 Windows XP、Windows Server 2003 Windows Vista Windows 7、Windows Server 2008 当它发现自己运行在非Windows NT系列操作系统中,即刻退出。

被攻击的软件系统包括: SIMATIC WinCC 7.0 SIMATIC WinCC 6.2 但不排除其他版本存在这一问题的可能。

2.2 本地行为

样本被激活后,典型的运行流程如图1 所示。

样本首先判断当前操作系统类型,如果是Windows 9X/ME,就直接退出。

接下来加载一个主要的DLL模块,后续的行为都将在这个DLL中进行。为了躲避查杀,样本并不将DLL模块释放为磁盘文件然后加载,而是直接拷贝到内存中,然后模拟DLL的加载过程。

具体而言,样本先申请足够的内存空间,然后Hookntdll.dll导出的6个系统函数: ZwMapViewOfSection ZwCreateSection ZwOpenFile ZwClose ZwQueryAttributesFile ZwQuerySection 为此,样本先修改ntdll.dll文件内存映像中PE头的保护属性,然后将偏移0x40处的无用数据改写为跳转代码,用以实现hook。

进而,样本就可以使用ZwCreateSection在内存空间中创建一个新的PE节,并将要加载的DLL模块拷贝到其中,最后使用LoadLibraryW来获取模块句柄。

图1 样本的典型运行流程

此后,样本跳转到被加载的DLL中执行,衍生下列文件:

%System32%\drivers\mrxcls.sys %System32%\drivers\mrxnet.sys%Windir%\inf\oem7A.PNF%Windir%\inf\mdmeric3.PNF %Windir%\inf\mdmcpq3.PNF%Windir%\inf\oem6C.PNF  其中有两个驱动程序mrxcls.sys和mrxnet.sys,分别被注册成名为MRXCLS和MRXNET的系统服务,实现开机自启动。这两个驱动程序都使用了Rootkit技术,并有数字签名。

mrxcls.sys负责查找主机中安装的WinCC系统,并进行攻击。具体地说,它监控系统进程的镜像加载操作,将存储在%Windir%\inf\oem7A.PNF中的一个模块注入到services.exe、S7tgtopx.exe、CCProjectMgr.exe三个进程中,后两者是WinCC系统运行时的进程。

mrxnet.sys通过修改一些内核调用来隐藏被拷贝到U盘的lnk文件和DLL文件(图2 )。

图2驱动程序隐藏某些lnk文件

图3 样本的多种传播方式

2.3 传播方式 Stuxnet蠕虫的攻击目标是SIMATIC WinCC软件。后者主要用于工业控制系统的数据采集与监控,一般部署在专用的内部局域网中,并与外部互联网实行物理上的隔离。为了实现攻击,Stuxnet蠕虫采取多种手段进行渗透和传播,如图3所示。

整体的传播思路是:首先感染外部主机;然后感染U盘,利用快捷方式文件解析漏洞,传播到内部网络;在内网中,通过快捷方式解析漏洞、RPC远程执行漏洞、打印机后台程序服务漏洞,实现联网主机之间的传播;最后抵达安装了WinCC软件的主机,展开攻击。

2.3.1. 快捷方式文件解析漏洞(MS10-046)

这个漏洞利用Windows在解析快捷方式文件(例如.lnk文件)时的系统机制缺陷,使系统加载攻击者指定的DLL文件,从而触发攻击行为。具体而言,Windows在显示快捷方式文件时,会根据文件中的信息寻找它所需的图标资源,并将其作为文件的图标展现给用户。如果图标资源在一个DLL文件中,系统就会加载这个DLL文件。攻击者可以构造这样一个快捷方式文件,使系统加载指定的DLL文件,从而执行其中的恶意代码。快捷方式文件的显示是系统自动执行,无需用户交互,因此漏洞的利用效果很好。

Stuxnet蠕虫搜索计算机中的可移动存储设备(图4)。一旦发现,就将快捷方式文件和DLL文件拷贝到其中(图5)。如果用户将这个设备再插入到内部网络中的计算机上使用,就会触发漏洞,从而实现所谓的“摆渡”攻击,即利用移动存储设备对物理隔离网络的渗入。

图4 查找U盘

拷贝到U盘的DLL文件有两个:~wtr4132.tmp和~wtr4141.tmp。后者Hook了kernel32.dll和ntdll.dll中的下列导出函数:

FindFirstFileW FindNextFileW FindFirstFileExWNtQueryDirectoryFile ZwQueryDirectoryFile 实现对U盘中lnk文件和DLL文件的隐藏。因此,Stuxnet一共使用了两种措施(内核态驱动程序、用户态Hook API)来实现对U盘文件的隐藏,使攻击过程很难被用户发觉,也能一定程度上躲避杀毒软件的扫描。

图5 拷贝文件到U盘

2.3.2. RPC远程执行漏洞(MS08-067)与提升权限漏洞

这是2008年爆发的最严重的一个微软操作系统漏洞,具有利用简单、波及范围广、危害程度高等特点。

图6 发动RPC攻击

具体而言,存在此漏洞的系统收到精心构造的RPC请求时,可能允许远程执行代码。在Windows 2000、Windows XP和Windows Server 2003系统中,利用这一漏洞,攻击者可以通过恶意构造的网络包直接发起攻击,无需通过认证地运行任意代码,并且获取完整的权限。因此该漏洞常被蠕虫用于大规模的传播和攻击。

Stuxnet蠕虫利用这个漏洞实现在内部局域网中的传播(图6)。利用这一漏洞时,如果权限不够导致失败,还会使用一个尚未公开的漏洞来提升自身权限(图1),然后再次尝试攻击。截止本报告发布,微软尚未给出该提权漏洞的解决方案。

2.3.3. 打印机后台程序服务漏洞(MS10-061)

这是一个零日漏洞,首先发现于Stuxnet蠕虫中。

Windows打印后台程序没有合理地设置用户权限。攻击者可以通过提交精心构造的打印请求,将文件发送到暴露了打印后台程序接口的主机的%System32%目录中。成功利用这个漏洞可以以系统权限执行任意代码,从而实现传播和攻击。

图7 利用打印服务漏洞

Stuxnet蠕虫利用这个漏洞实现在内部局域网中的传播。如图7所示,它向目标主机发送两个文件:winsta.exe、sysnullevnt.mof。后者是微软的一种托管对象格式(MOF)文件,在一些特定事件驱动下,它将驱使winsta.exe被执行。

2.3.4.内核模式驱动程序(MS10-073)

2.3.5.任务计划程序漏洞(MS10-092)

2.4 攻击行为

Stuxnet蠕虫查询两个注册表键来判断主机中是否安装WinCC系统(图8):

HKLM\SOFTWARE\SIEMENS\WinCC\Setup

HKLM\SOFTWARE\SIEMENS\STEP7

图8 查询注册表,判断是否安装WinCC

一旦发现WinCC系统,就利用其中的两个漏洞展开攻击:

一是WinCC系统中存在一个硬编码漏洞,保存了访问数据库的默认账户名和密码,Stuxnet利用这一漏洞尝试访问该系统的SQL数据库(图9)。

二是在WinCC需要使用的Step7工程中,在打开工程文件时,存在DLL加载策略上的缺陷,从而导致一种类似于“DLL预加载攻击”的利用方式。最终,Stuxnet通过替换Step7软件中的s7otbxdx.dll,实现对一些查询、读取函数的Hook。

图9 查询WinCC的数据库

2.5 样本文件的衍生关系

本节综合介绍样本在上述复制、传播、攻击过程中,各文件的衍生关系。

如图10所示。样本的来源有多种可能。

对原始样本、通过RPC漏洞或打印服务漏洞传播的样本,都是exe文件,它在自己的.stud节中隐形加载模块,名为“kernel32.dll.aslr.随机数字.dll”。

对U盘传播的样本,当系统显示快捷方式文件时触发漏洞,加载~wtr4141.tmp文件,后者加载一个名为“shell32.dll.aslr.随机数字.dll”的模块,这个模块将另一个文件~wtr4132.tmp加载为“kernel32.dll.aslr.随机数字.dll”。

图10 样本文件衍生的关系

模块“kernel32.dll.aslr.随机数字.dll”将启动后续的大部分操作,它导出了22个函数来完成恶意代码的主要功能;在其资源节中,包含了一些要衍生的文件,它们以加密的形式被保存。

其中,第16号导出函数用于衍生本地文件,包括资源编号201的mrxcls.sys和编号242的mrxnet.sys两个驱动程序,以及4个.pnf文件。

第17号导出函数用于攻击WinCC系统的第二个漏洞,它释放一个s7otbxdx.dll,而将WinCC系统中的同名文件修改为s7otbxsx.dll,并对这个文件的导出函数进行一次封装,从而实现Hook。

第19号导出函数负责利用快捷方式解析漏洞进行传播。它释放多个lnk文件和两个扩展名为tmp的文件。

第22号导出函数负责利用RPC漏洞和打印服务漏洞进行传播。它释放的文件中,资源编号221的文件用于RPC攻击、编号222的文件用于打印服务攻击、编号250的文件用于提权。 3.1 抵御本次攻击

西门子公司对此次攻击事件给出了一个解决方案,链接地址见附录。下面根据我们的分析结果,给出更具体的措施。

1.使用相关专杀工具或手工清除Stuxnet蠕虫

手工清除的步骤为: 使用Atool管理工具,结束系统中的父进程不是winlogon.exe的所有lsass.exe进程; 强行删除下列衍生文件:

%System32%\drivers\mrxcls.sys

%System32%\drivers\mrxnet.sys

%Windir%\inf\oem7A.PNF

%Windir%\inf\mdmeric3.PNF

%Windir%\inf\mdmcpq3.PNF

%Windir%\inf\oem6C.PNF 删除下列注册表项:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxCls

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxNET 2. 安装被利用漏洞的系统补丁

安装微软提供的下列补丁文件: RPC远程执行漏洞(MS08-067) 快捷方式文件解析漏洞(MS10-046) 打印机后台程序服务漏洞(MS10-061) 内核模式驱动程序漏洞(MS10-073) 任务计划程序程序漏洞(MS10-092) 3. 安装软件补丁

安装西门子发布的WinCC系统安全更新补丁,地址见附录。

3.2 安全建议

此次攻击事件凸显了两个问题: 即便是物理隔离的专用局域网,也并非牢不可破; 专用的软件系统,包括工业控制系统,也有可能被攻击。 因此,我们对有关部门和企业提出下列安全建议:

加强主机(尤其是内网主机)的安全防范,即便是物理隔离的计算机也要及时更新操作系统补丁,建立完善的安全策略;

安装安全防护软件,包括反病毒软件和防火墙,并及时更新病毒数据库;

建立软件安全意识,对企业中的核心计算机,随时跟踪所用软件的安全问题,及时更新存在漏洞的软件;

进一步加强企业内网安全建设,尤其重视网络服务的安全性,关闭主机中不必要的网络服务端口;

所有软件和网络服务均不启用弱口令和默认口令;

加强对可移动存储设备的安全管理,关闭计算机的自动播放功能,使用可移动设备前先进行病毒扫描,为移动设备建立病毒免疫,使用硬件式U盘病毒查杀工具。 相比以往的安全事件,此次攻击呈现出许多新的手段和特点,值得我们特别关注。

4.1 专门攻击工业系统

Stuxnet蠕虫的攻击目标直指西门子公司的SIMATIC WinCC系统。这是一款数据采集与监视控制(SCADA)系统,被广泛用于钢铁、汽车、电力、运输、水利、化工、石油等核心工业领域,特别是国家基础设施工程;它运行于Windows平台,常被部署在与外界隔离的专用局域网中。

一般情况下,蠕虫的攻击价值在于其传播范围的广阔性、攻击目标的普遍性。此次攻击与此截然相反,最终目标既不在开放主机之上,也不是通用软件。无论是要渗透到内部网络,还是挖掘大型专用软件的漏洞,都非寻常攻击所能做到。这也表明攻击的意图十分明确,是一次精心谋划的攻击。

4.2 利用多个零日漏洞

Stuxnet蠕虫利用了微软操作系统的下列漏洞: RPC远程执行漏洞(MS08-067) 快捷方式文件解析漏洞(MS10-046) 打印机后台程序服务漏洞(MS10-061) 内核模式驱动程序漏洞(MS10-073) 任务计划程序程序漏洞(MS10-092) 后四个漏洞都是在Stuxnet中首次被使用,是真正的零日漏洞。如此大规模的使用多种零日漏洞,并不多见。

这些漏洞并非随意挑选。从蠕虫的传播方式来看,每一种漏洞都发挥了独特的作用。比如基于自动播放功的U盘病毒被绝大部分杀毒软件防御的现状下,就使用快捷方式漏洞实现U盘传播。

另一方面,在安天捕获的样本中,有一部分实体的时间戳是2013年3月。这意味着至少在3月份,上述零日漏洞就已经被攻击者掌握。但直到7月份大规模爆发,漏洞才首次披露出来。这期间要控制漏洞不泄露,有一定难度。

4.3 使用数字签名

Stuxnet在运行后,释放两个驱动文件:

%System32%\drivers\mrxcls.sys

%System32%\drivers\mrxnet.sys

这两个驱动文件伪装RealTek的数字签名(图7)以躲避杀毒软件的查杀。目前,这一签名的数字证书已经被颁发机构吊销,无法再通过在线验证,但目前反病毒产品大多使用静态方法判定可执行文件是否带有数字签名,因此有可能被欺骗。图11 Stuxnet伪造的数字签名

4.4 明确的攻击目标

根据赛门铁克公司的统计,7月份,伊朗感染Stuxnet蠕虫的主机只占25%,到9月下旬,这一比例达到60%。

WinCC被伊朗广泛使用于基础国防设施中。9月27日,伊朗国家通讯社向外界证实该国的第一座核电站“布什尔核电站”已经遭到攻击。据了解,该核电站原计划于2013年8月开始正式运行。因此,此次攻击具有明确的地域性和目的性。 5.1 工业系统安全将面临严峻挑战

在我国,WinCC已被广泛应用于很多重要行业,一旦受到攻击,可能造成相关企业的设施运行异常,甚至造成商业资料失窃、停工停产等严重事故。

对于Stuxnet蠕虫的出现,我们并未感到十分意外。早在去年,安天就接受用户委托,对化工行业仪表的安全性展开过研究,情况不容乐观。

工业控制网络,包括工业以太网,以及现场总线控制系统早已在工业企业中应用多年,目前在电力、钢铁、化工等大型重化工业企业中,工业以太网、DCS(集散控制系统)、现场总线等技术早已渗透到控制系统的方方面面。工业控制网络的核心现在都是工控PC,大多数同样基于Windows-Intel平台,工业以太网与民用以太网在技术上并无本质差异,现场总线技术更是将单片机/嵌入式系统应用到了每一个控制仪表上。工业控制网络除了可能遭到与攻击民用/商用网络手段相同的攻击,例如通过局域网传播的恶意代码之外,还可能遭到针对现场总线的专门攻击,不可轻视。

针对民用/商用计算机和网络的攻击,目前多以获取经济利益为主要目标,但针对工业控制网络和现场总线的攻击,可能破坏企业重要装置和设备的正常测控,由此引起的后果可能是灾难性的。以化工行业为例,针对工业控制网络的攻击可能破坏反应器的正常温度/压力测控,导致反应器超温/超压,最终就会导致冲料、起火甚至爆炸等灾难性事故,还可能造成次生灾害和人道主义灾难。因此,这种袭击工业网络的恶意代码一般带有信息武器的性质,目标是对重要工业企业的正常生产进行干扰甚至严重破坏,其背景一般不是个人或者普通地下黑客组织。

目前,工业以太网和现场总线标准均为公开标准,熟悉工控系统的程序员开发针对性的恶意攻击代码并不存在很高的技术门槛。因此,对下列可能的工业网络安全薄弱点进行增强和防护是十分必要的: 基于Windows-Intel平台的工控PC和工业以太网,可能遭到与攻击民用/商用PC和网络手段相同的攻击,例如通过U盘传播恶意代码和网络蠕虫,这次的Stuxnet病毒就是一个典型的例子。 DCS和现场总线控制系统中的组态软件(测控软件的核心),目前其产品,特别是行业产品被少数公司所垄断,例如电力行业常用的西门子SIMATIC WinCC,石化行业常用的浙大中控等。针对组态软件的攻击会从根本上破坏测控体系,Stuxnet病毒的攻击目标正是WinCC系统。 基于RS-485总线以及光纤物理层的现场总线,例如PROFIBUS和MODBUS(串行链路协议),其安全性相对较好;但短程无线网络,特别是不使用Zigbee等通用短程无线协议(有一定的安全性),而使用自定义专用协议的短程无线通信测控仪表,安全性较差。特别是国内一些小企业生产的“无线传感器”等测控仪表,其无线通信部分采用通用2.4GHz短程无线通信芯片,连基本的加密通信都没有使用,可以说毫无安全性可言,极易遭到窃听和攻击,如果使用,将成为现场总线中极易被攻击的薄弱点。 工业控制网络通常是独立网络,相对民用/商用网络而言,数据传输量相对较少,但对其实时性和可靠性的要求却很高,因而出现问题的后果相当严重。

传统工业网络的安全相对信息网络来说,一直是凭借内网隔离,而疏于防范。因此,针对工业系统的安全检查和防范加固迫在眉睫。

0条大神的评论

发表评论