【IT168 资讯】据报道，2015年12月23日，乌克兰至少三个区域的电力系统遭到网络攻击。本次攻击造成了伊万诺-弗兰科夫斯克地区部分变电站的控制系统遭到破坏，以致大面积停电，电力中断3至6小时，约140万人受到影响。针对此事件，我国工信部和国家电网公司都专门下发文件，对工业控制系统进行风险提示并要求相关单位加强安全防范措施。　　

▲

　　启明星辰工业防火墙快速应对

　　启明星辰经过对病毒样本分析，发现本次攻击过程开始于一个带有恶意宏的XLS文件，黑客通过钓鱼手段将此恶意文件发送给攻击目标，XLS文件运行后启动恶意宏代码执行，宏代码会在临时文件目录下释放文件vba_macro.exe，这便是释放器。他通过释放BlackEnergy来执行后续操作，如与控制端通信以及下载KillDisk、SSH后门等一系列组件来执行攻击、删除磁盘文件等。

　　BlackEnergy为了隐藏网络通信信息，躲避检测，恶意代码对上线信息进行了Base64编码，当C&C返回响应时，使用上线请求中的b_id作为密钥进行了加密。这给病毒的防护造成了很大困难，一般的工业防火墙对此无能为力，甚至是通用IDS对其检测也有难度。

　　启明星辰工业防火墙团队在设计产品之初，就对工业现场环境进行了深入调研，密切关注工业化和信息化两化融合中恶意代码通过传统IT网络对工业设备的攻击，并在工业防火墙集成了更加先进灵活的入侵检测引擎，在应对这次攻击的过程中，通过该引擎可以直接处理base64编码后的数据，对BlackEnergy上线通讯特征进行监测，并通过丰富的数据提取能力实现快速发现、定位感染主机。用户只需在防火墙中通过加入启明星辰提供的特征，无需定制开发即可防护此类攻击。第一步添加BlackEnergy特征：

　　然后启用自定义规则：

▲

　　查看拦截效果：　　

▲

　　传统网络安全设备和大部分市面上的工控防火墙对此类安全威胁并没有好的应对办法。一方面是传统防火墙主要面向IT网络，对标准工业协议如Modbus、DNP3、EtherNet/IP、OPC等并不支持;二是大部分工业防火墙厂商目前处于起步阶段，对工业控制系统攻防技术的研究还不够深入，尤其是对于工业漏洞库的积累仍显不足;三是随着两化融合的推进，工业网络面临着传统攻击日益严峻的威胁，一些国外大型工控防火墙厂商仍没有工业入侵防护功能。截止发稿前，尚未发现其他国内工业防护墙厂商可以对此病毒进行防护的报道。

　　启明星辰工业防火墙防护特性

　　启明星辰工业防火墙从设计之初就全面研究工业环境下的安全需求，产品除具备工控防火墙的主流功能外，在安全防护方面最大的特点是集成了工业入侵防护引擎，并内置了工业漏洞库。产品预置9大类上百种工业场景，对Modbus、IEC104、EtherNet/IP、SIEMENS S7、SCADA系统等进行入侵检测防护。用户可以根据自己的情况选择适用场景进行快速部署。通过该引擎，可以对工业协议和内容进行合规性检查，阻断黑客对工控设备的扫描行为，并对SCADA缓冲区溢出和目录遍历等攻击进行防护。该特征库依托启明星辰ADLab等部门研究成果，可以提供最新最全的工控漏洞特征。

▲

　　启明星辰工业防火墙的入侵防护引擎是一个开放、可扩展的引擎，能够灵活的根据企业内部的特定工控设备或协议实施针对性的防护策略，无需长时间的定制开发，在用户现场即可快速动态制定防护规则，来深入的检测工控协议内容。以本次乌克兰电力攻击事件为例，启明星辰工业防火墙只需通过添加几条BlackEnergy等的行为特征，就可以对该类攻击进行有效防护。

　　启明星辰工业防火墙利用该检测引擎，结合流量自学习功能，可以对用户私有协议进行快速学习，并进行流量可视化展现，帮助工业用户迅速了解业务流量信息，进而制定更加符合实际情况的安全策略。后续我们会对该特性做详细介绍，敬请关注。