事件回顧：
2016年1月6日，據英國《金融時報》報道，上周烏克蘭電網系統遭黑客攻擊，數百戶家庭供電被迫中斷，這是有史以來首次導致停電的網絡攻擊，此次針對工控系統的攻擊無疑具有里程碑意義，引起國內外媒體高度關注。
據iSight Partners網絡間諜情報負責人約翰?胡爾特奎斯特(John Hultquist)表示，本次攻擊來自俄羅斯黑客組織，使用的惡意軟件被稱為BlackEnergy（黑暗力量）。
Black Energy簡介

Black Energy（黑暗力量）最早可以追溯到2007年，由俄羅斯地下黑客組織開發并廣泛使用在BOTNET，主要用于建立僵尸網絡，對定向目標實施DDoS攻擊。
此后，Black Energy的攻擊開始轉向政治目標，在2008年，俄羅斯與格魯吉亞沖突期間黑客組織利用Black Energy曾一度攻擊格魯吉亞政府。自2014年夏季，陸續從烏克蘭政府及企事業單位截獲Black Energy樣本，可以預見其矛頭開始瞄準烏克蘭政府組織，并主要用于機密信息竊取和持續攻擊。
Black Energy有一套完整的生成器，可以生成感染受害主機的客戶端程序和架構在C&C (指揮和控制)服務器的命令生成腳本。攻擊者利用這套黑客軟件可以方便地建立僵尸網絡，只需在C&C服務器下達簡單指令，僵尸網絡受害主機便統一執行其指令。
經過數年的發展，Black Energy逐漸加入了Rootkit技術，插件支持，遠程代碼執行， 數據采集等功能，已能夠根據攻擊目的和對象，由黑客來選擇特制插件進行APT攻擊。進一步升級，包括支持代理服務器，繞過用戶賬戶認證（UAC）技術，以及針對64位Windows系統的簽名驅動等等。
Black Energy攻擊過程

BlackEnergy

Black Energy感染流程
上圖展示了Black Energy入侵目標主機的過程。黑客通過收集目標用戶郵箱，然后向其定向發送攜帶惡意文件的Spam郵件，疏于安全防范的用戶打開了帶宏病毒的Office文檔（或利用Office漏洞的文檔）即可運行Installer（惡意安裝程序），Installer則會釋放并加載Rootkit內核驅動，之后Rootkit使用APC線程注入系統關鍵進程svchost.exe（注入體main.dll），main.dll會開啟本地網絡端口，使用HTTPS協議主動連接外網主控服務器，一旦連接成功，開始等待黑客下發指令就可以下載其他黑客工具或插件。
相關樣本分析

此次襲擊事件發生后，金山安全反病毒實驗室第一時間從各個渠道采集到在烏克蘭爆發的BlackEnergy樣本。
從樣本中分析得到樣本連接惡意IP如下：
5.9.32.230
31.210.111.154
88.198.25.92

事件發生之后，這3臺服務器已經無法正常連接，其中截獲的HTTPS POST請求URL：
https://5.9.32.230/Microsoft/Update/KS1945777.php

https://31.210.111.154/Microsoft/Update/KS081274.php

https://88.198.25.92/fHKfvEhleQ/maincraft/derstatus.php
同時，實驗室截獲的Black Energy樣本經過驗證，均可在32位的XP – 8.1系統上正常運行。

惡意樣本偽裝為微軟 USB MDM Driver 驅動文件，但缺乏數字簽名

驅動被Installer加載后，首先執行解壓脫殼，然后創建設備驅動，名字為：\DosDevice{C9059FFF-1**9-83E8-4F16387C720}，用來與用戶端（main.dll）通信。

隨后，驅動開始向svchost.exe申請內存空間并寫入shellcode，再通過APC線程注入方式注入svchost.exe。
APC注入的原理是利用當線程被喚醒時APC中的注冊函數會被執行的機制，并以此去執行我們的DLL加載代碼，進而完成DLL注入的目的。

注入的shellcode與Rootkit代碼，黑客統一使用了通過壓棧API函數的HASH值，調用_GetFuncAddr動態獲取API函數地址，用來干擾和對抗逆向分析

由APC注入的線程會啟動一個主線程

與Rootkit內核模塊建立通信

連接C&C服務器，不知是不是事件發生之后，該IP就再也連不上了

上圖是與C&C服務器通信的控制指令
至此，Black Energy整體攻擊架構已經呈現出來，一旦用戶機器被滲透攻擊成功，黑客便可輕易控制并實施具體攻擊。也證明了在此次烏克蘭電網斷電事件，Black Energy完全有能力實施精確打擊。
防御Black Energy

針對Black Energy的攻擊過程可以在三個階段進行有效攔截。首先，用戶接收到郵件時對郵件內包含的所有文件進行動態行為鑒定，一旦判定文件具有惡意行為會將其刪除或隔離。第二，對系統關鍵進程進行監控，一旦發現可疑操作立即阻斷其執行。第三，阻斷惡意代碼對外連接，設置一個IP黑白庫對系統外連的ip地址進行過濾，攔截與惡意服務器交互的所有網絡數據包。
總結

烏克蘭電廠遭襲事件是第一次經證實的計算機惡意程序導致停電的事件，證明了通過網絡攻擊手段是可以實現工業破壞的。雖然針對工控系統的網絡安全保護早已提上日程，目前國內也沒有發生類似攻擊，但此次事件再次給相關部門敲響警鐘。未來安全形勢必將越來越嚴峻，需要相關各方嚴格部署網絡安全措施，加強網絡安全防范。

總結

以上是生活随笔為你收集整理的乌克兰电网遭黑客攻击事件之Black Energy深入剖析，从技术角度看待这一事件。的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。