Havex病毒开始对工业控制系统感染入侵

工业控制

1221人已加入

描述

在过去一年,我们对Havex恶意程序家族及其背后的组织保持了高度的关注。Havex被认为以不同工业领域为目标进行攻击的恶意软件,并且在最初的报告中,该恶意软件对能源行业尤为感兴趣。

Havex的主要构成为通用的远程木马(RemoteAccessTrojan,RAT)和用PHP编写的服务器程序。可以在服务器的代码中看到“Havex”这个名字。

在2014年的春天,我们发现Havex开始对工业控制系统(IndustrialControlSystems,ICS)有特殊的兴趣,该恶意软件背后的组织使用了一个创新型木马来接近目标。攻击者首先把ICS/SCADA制造商的网站上用来供用户下载的相关软件感染木马病毒,当用户下载这些软件并安装时实现对目标用户的感染。

我们收集并分析了Havex的88个变种,主要分析了它们的访问目标、从哪收集数据、网络和机器。这一分析发现Havex通信用的C&C服务器多达146个,并且有1500多个IP地址向C&C服务器通信,从而识别最终的受害者。攻击者利用被攻陷的网站、博客作为C&C服务器。

我们还发现了一个额外的功能组件,攻击者利用此组件从应用于ICS/SCADA系统中的机器上盗取数据。这意味着攻击者不仅仅对目标公司的网络感兴趣,还有对这些公司的ICS/SCADA系统进行控制的动机。我们目前对这一动机的缘由还不太清楚。

利用垃圾邮件和漏洞工具是相当简单的传播机制,我们对此不进行深入分析。更值得关注的第三中方式,它可以被看做是水坑式攻击(Water-holeattack),因为攻击者选择ICS的供应商作为中间目标,来实现其对最终目标的攻击。

攻击者利用网站的漏洞,入侵了网站,并将正常的供用户下载的安装软件替换为包含木马的安装软件。我们的研究者发现有三个厂商的主站被这种方式被攻入,在网站上提供的软件安装包中包含了HavexRAT。我们怀疑还会有更多类似的情况,但是尚未确定。

根据他们网站的内容,这三家公司都是开发面向工业的设备和软件,这些公司的总部位于德国、瑞士和比利时。其中两个供应商为ICS系统提供远程管理软件,第三个供应商为开发高精密工业摄像机及相关软件。

打开APP阅读更多精彩内容
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉

全部0条评论

快来发表一下你的评论吧 !

×
20
完善资料,
赚取积分