工控网首页
>

应用设计

>

【专家博客】Flame恶意软件 Vs SCADA安全

【专家博客】Flame恶意软件 Vs SCADA安全

Flame是蠕虫病毒?还是远程访问技术?都不是,Flame是一种超级恶意软件!

       首先,我们来了解一下Flame。Flame不仅仅只是一种典型的蠕虫病毒,它似乎是一种针对工业或政治间谍活动而精心打造的攻击工具包。卡巴斯基实验室的Aleks说:“它比Duqu病毒复杂多了。可以看做是后门、木马,而且有类似蠕虫病毒的特征。Flame接受指令后,会在本地网络和移动介质上进行复制。”

       目前,关于Flame的第一个不寻常之处就是其体积很大。典型的蠕虫病毒的大小是50K,而Flame是20M,将近普通蠕虫病毒大小的400倍。

       Flame病毒如此大的原因在于Flame是一个窃取信息的多功能工具包,完全由它的主人重新配置新任务。根据crysys关于sKyWIper(又名Flame)的报告:

       sKyWIper有非常先进的功能用来窃取信息并进行繁殖。攻击者可以自由配置多种攻击和繁殖方式。在收集信息方面,其它病毒从未像sKyWIper如此精细。为了实现目标,Flame恶意软件有可能利用计算机的所有功能,涵盖了收集情报能采用的所有主要的可能途径,包括键盘、屏幕、麦克风、存储设备、网络、WIFI、蓝牙、USB和系统进程。

       Flame能拦截能想到的一切东西,从此意义上说,Flame可以说是恶意软件中的“瑞士军刀”,但是,它并不是简单地拼凑现有的恶意代码。Flame经过了非常巧妙的精雕细琢。像Stuxnet一样,它有多种传播载体,——U盘、打印机共享和域控制器权限等。


图1:Flame的感染途径。来源:Securelist.com

       Flame模块化的体系结构使它的创造者可以随时大规模地更改其功能和行为。它还允许操作者使用复杂的脚本语言——Lua来管理其活动。另外flame的代码注入技术也是相当惊人的。(如果你想了解更多信息,请查看文章最后的参考资料)。

谁创造了Flame?

       各大杀毒软件公司分析Flame的所有报告均指出,Flame是由资金充足的专业团队所制造的。正如卡巴斯基实验室所说:

        “……从目标的地理位置(中东某些国家),以及此次威胁的复杂性来看,毫无疑问赞助该研究的是一个民族国家。”



图2:受Flame攻击的7大个国家。来源:Securelist.com

Flame对SCADA和ICS安全有哪些影响?

       表面上,影响很小。按照目前的配置,很显然Flame是一种信息窃取工具。没有证据表明当前其安装了SCADA或ICS的相关模块。

       也就是说,Symantec和其他公司报道称Flame和上个月伊朗石油部报告的影响其在哈格岛终端设备的是同样的蠕虫病毒。伊朗国家电脑紧急事故应变(MAHER)也报道了伊朗境内存在这种蠕虫病毒。

       那么,所有这一切对控制工程师又意味着什么呢?好消息是,像Stuxnet一样,Flame似乎有很强的针对性。像Duqu一样,Flame只是窃取信息,并不损坏设备。但坏消息是,这种蠕虫病毒明确表明工业,尤其是能源行业,现在已经成了有政府赞助且发展迅速的复杂恶意软件的主要攻击目标。

      关于这个最新的超级蠕虫病毒,你有什么看法?它的发现是否影响了你的安全策略?

相关链接

        Securelist.com, Webpage: Flame: Bunny, Frog, Munch and BeetleJuice…
        Securelist.com, Webpage: The Flame: Questions and Answers
        Symantec, Webpage: Flamer: Highly Sophisticated and Discreet Threat Targets the Middle East

投诉建议

提交

查看更多评论
其他资讯

查看更多

能源领域网络安全框架实施指南(英文版)

【指导手册】有效网络防御的关键控制

【操作指南】SCADA与过程控制网络防火墙配置指南

【指导手册】控制系统安全实践汇编

【操作指南】工业控制系统(ICS)安全指南