Industroyer工控恶意软件分析及防护方案

2017年6月8日， 安全公司ESET发现了针对工控系统的恶意软件Win32/Industroyer，并提前向Dragos公司做了通告，Dragos通过对ESET分析结果进行验证后， 6月12日公布了Win32/Industroyer的hash信息以及分析 告。随后，绿盟科技发布了Industroyer工控恶意软件分析与防护方法， 告全文见文末附件下载。

Industroyer工控恶意软件

与2015年乌克兰断电恶意软件(BlackEnergy, KillDisk，以及其他组件)相比，Industroyer功能结构更加高级，可以造成系统崩溃，无法提供正常服务。根据Dragos分析并推测，Industroyer与2016年12月乌克兰断电时间有关。

Industroyer工控恶意软件攻击流程

Win32/Industroyer是一款专门针对工控系统的恶意软件，支持IEC 101、IEC 104、IEC 61850以及OPC DA四种工控协议。样本分为多个模块，主后门程序负责安装其他模块运行，并与C&C通信，接收C&C指令，根据指令执行下一步操作，针对工控协议的攻击分别有独立的payload完成，攻击能够导致工控系统崩溃，无法提供正常服务。

Main Backdoor

Main Backdoor通过本地代理10.15.1.69:3128与远程C&C通信，C&C ip地址为硬编码5.39.218.152，端口为443，在其他样本中发现另外两个CC地址：195.16.88.6，93.115.27.57。

Launcher

Launcher模块负责加载payload，命令格式为：

%LAUNCHER%.exe %WORKING_DIRECTORY% %PAYLOAD%.dll %CONFIGURATION%.ini

其中，

104 payload

IEC60870-5是IEC（国际电工委员会）制定的用于变电站自动化系统的国际标准。主要包括四个子规约：IEC60870-5-101、IEC60870-5-102、IEC60870-5-103以及IEC60870-5-104。IEC104协议即IEC60870-5-104，IEC104协议是基于2404端口TCP/IP 络协议的一种应用层协议。

Data wiper

数据清理组件分为两类：haslo.dat和haslo.exe，前者为dll文件，由Launcher模块加载执行，后者为exe文件，可以单独执行，两者功能相同。

Data wiper主要功能为：

1. 遍历SYSTEM\CurrentControlSet\Services注册表项，将所有服务ImagePath替换为空，该操作将导致系统服务不可用，系统无法重启：
2. 遍历所有本地以及 络磁盘驱动器，遍历盘符从C到Z，覆写指定类型的文件内容：
3. 枚举进程，结束一些系统进程，该操作将导致系统崩溃：

检测与防护方案 主机类

101.dll，Crash101.dll，104.dll，Crash104.dll，61850.dll，Crash61850.dll，OPCClientDemo.dll，CrashOPCClientDemo.dll，D2MultiCommService.exe，CrashD2MultiCommService.exe，61850.exe，OPC.exe，haslo.exe，haslo.dat。

HKLMSYSTEMCurrentControlSetServicesdefragsvc

服务类

1. 短期服务：绿盟科技工程师现场木马后门清理服务（人工服务+IPS+TAC）。确保第一时间消除 络内相关风险点，控制事件影响范围，提供事件分析 告。
2. 中期服务：提供3-6个月的风险监控与巡检服务（IPS+TAC+人工服务）。根除风险，确保事件不复发。
3. 长期服务：基金行业业务风险解决方案（威胁情 +攻击溯源+专业安全服务）。

参考链接

https://www.welivesecurity.com/wp-content/uploads/2017/06/Win32_Industroyer.pdf

https://dragos.com/blog/crashoverride/CrashOverride-01.pdf

绿盟科技声明

Win32/Industroyer技术分析与防护方法

点击这里下载