乌克兰电力系统BlackEnergy病毒分析与防御

doi:10.11959/j.issn.2096-109x.2017.00139

网络与信息安全学报 ›› 2017, Vol. 3 ›› Issue (1): 46-53.doi: 10.11959/j.issn.2096-109x.2017.00139

乌克兰电力系统BlackEnergy病毒分析与防御

王勇,王钰茗(),张琳,张林鹏

上海电力学院计算机科学与技术学院，上海 200090

修回日期:2016-12-30 出版日期:2017-01-15 发布日期:2020-03-20
作者简介:王勇（1973-），男，河南驻马店人，博士，上海电力学院教授，主要研究方向为电力系统攻防试验床、病毒分析、入侵检测。|王钰茗（1994-），女，山东烟台人，上海电力学院本科生，主要研究方向为病毒分析。|张琳（1995-），女，黑龙江绥化人，上海电力学院本科生，主要研究方向为病毒分析。|张林鹏（1991-），男，河北邢台人，上海电力学院硕士生，主要研究方向为电力系统防火墙。
基金资助:
上海科委地方能力建设基金资助项目(15110500700);上海市浦江人才计划基金资助项目(16PJ1433100);上海自然科学基金资助项目(16ZR1436300);上海科委中小企业创新基金资助项目(1601H1E2600)

Analysis and defense of the BlackEnergy malware in the Ukrainian electric power system

Yong WANG,Yu-ming WANG(),Lin ZHANG,Lin-peng ZHANG

School of Computer Science and Technology, Shanghai University of Electric Power, Shanghai 200090, China

Revised:2016-12-30 Online:2017-01-15 Published:2020-03-20
Supported by:
The Project of Shanghai Science and Technology Committee(15110500700);Shanghai Pujiang Program(16PJ1433100);Shanghai Municipal Natural Science Foundation(16ZR1436300);Shanghai Science and TechnologyInnovation Fund for Small and Medium Enterprises(1601H1E2600)

摘要/Abstract

摘要：

2015年12月，乌克兰电力系统遭到BlackEnergy病毒攻击，导致伊万诺—弗兰科夫斯克州地区发生多处同时停电的事故，该病毒也威胁到我国电力系统安全。通过获取不同版本的BlackEnergy病毒样本，构建了分析环境，发现了BlackEnergy攻击方式，并给出了防御方法。

关键词: BlackEnergy病毒, 病毒分析, 入侵防御

Abstract:

Ukrainian electric power system suffered BlackEnergy virus attacks in December 2015, resulting in blackout accident occurred simultaneously at multiple areas in Ivano-Frankovsk region, the malware also pose a threat to the electric power system security in China. Based on different versions of samples of BlackEnergy acquired, the attack mode was analyzed and the prevention of the virus was provided under the proper analysis environment.

Key words: BlackEnergy virus, virus analysis, intrusion prevention

中图分类号:

TP393

王勇,王钰茗,张琳,张林鹏. 乌克兰电力系统BlackEnergy病毒分析与防御[J]. 网络与信息安全学报, 2017, 3(1): 46-53.

Yong WANG,Yu-ming WANG,Lin ZHANG,Lin-peng ZHANG. Analysis and defense of the BlackEnergy malware in the Ukrainian electric power system[J]. Chinese Journal of Network and Information Security, 2017, 3(1): 46-53.

图/表 22

图1

表1

图2

图3

图4

图5

图6

图7

图8

图9

图10

图11

图12

图13

图14

图15

图16

图17

图18

图19

图20

图21

参考文献 11

[1]	Brian Prince(2014). Researchers go inside black energy mal-ware[EB/OL]. .
[2]	John Hultquist(2014).Sandworm team–targeting SCADA sys-tems[EB/OL]. .
[3]	安天实验室. 乌克兰停电事件启示录[J]. 中国信息安全， 2016 (4): 48-53.
	Antiy Lab. Revelation of blackout in Ukraine[J]. China Information Security, 2016 (4): 48-53.
[4]	绿盟科技(2016). 从乌电事件看我国电力安全[EB/OL]. .
	NSFOCUS.(2016). Power safety in China from Ukraine's power grid incident[EB/OL]. .
[5]	哈尔滨安天科技股份有限公司、北京四方继保自动化股份有限公司、复旦大学网络空间治理研究中心. 乌克兰电力系统遭受攻击事件综合分析[J]. 信息安全研究， 2016 (3): 243.
	Harbin Antiy Tech. Co. Ltd., Beijing Sifang Automation Co. Ltd., Fudan University Network Space Management Research Center. Comprehensive analysis of Ukraine's power grid incident[J]. Journal of Information Security Research, 2016 (3): 243.
[6]	安天实验室安全研究与应急处理中心. BlackEnergy简报[EB/OL]. .
	Antiy CERT. BlackEnergy briefing[EB/OL]. .
[7]	F-secure. (2014)BLACKENERGY＆QUEDAGH: the convergence of crimeware and APT attacks[EB/OL]. .
[8]	CVE通用漏洞与披露(2014). Microsoft Windows OLE 远程执行代码漏洞(CNNVD-201410-268)[EB/OL]. .
	CVE Common vulnerabilities and disclosures(2014). Windows OLE remote code execution vulnerability (CNNVD-201410-268)[EB/OL]. .
[9]	翰海源安全(2014). Windows 任意代码执行0day (CVE-2014-4114)分析报告[EB/OL]. .
	Nanjing Vulnhunt Information Security Inc. Analysis report of Windows arbitrary code execution of 0day (CVE-2014-4114)[EB/OL]. .
[10]	CVE 通用漏洞与披露(2014). GE intelligent platforms proficy HMI/SCADA-CIMPLICITY 目录遍历漏洞(CNNVD-201401-524)[EB/OL]. .
	CVE Common vulnerabilities and disclosures. GE Intelligent plat-forms proficy HMI/SCADA-CIMPLICITY directory traversal vul-nerability (CNNVD-201401-524)[EB/OL]. .
[11]	王得金 . 从乌克兰电网被攻击事件看我国基础电网面临的安全风险及处置建议[J]. 中国信息安全， 2016 (3): 91-93.
	WANG D J . Security risks faced by China's basic power grids and suggestions on disposal from the attacked events in Ukraine power grid[J]. China Information Security, 2016 (3): 91-93.

命令	描述
Rexec	Download and execute a binary下载并执行一个二进制文件
Lexec	Execute a shell command 执行一个shell命令
Die	Uninstall 卸载
Getpl	Load a plugin 加载一个插件
Turnoff	Quit（will start again after reboot）退出（重启后仍会再启动）
Chprt	Add/remove/set active command and control server 添加/删除/激活C＆C服务器

[1]	任奎, 孟泉润, 闫守琨, 秦湛. 人工智能模型数据泄露的攻击与防御研究综述[J]. 网络与信息安全学报, 2021, 7(1): 1-10.
[2]	张青青, 汤红波, 游伟, 李英乐. 基于免疫算法的网络功能异构冗余部署方法[J]. 网络与信息安全学报, 2021, 7(1): 46-56.
[3]	张涛, 伍前红, 唐宗勋. 基于比特币区块链的隐蔽信息传输研究[J]. 网络与信息安全学报, 2021, 7(1): 84-92.
[4]	王滨, 陈靓, 钱亚冠, 郭艳凯, 邵琦琦, 王佳敏. 面向对抗样本攻击的移动目标防御[J]. 网络与信息安全学报, 2021, 7(1): 113-120.
[5]	苗春雨, 范渊, 李晖, 葛凯强, 张小孟. 基于移动Sink的WSN安全数据收集方法[J]. 网络与信息安全学报, 2021, 7(1): 121-129.
[6]	陈璐, 汤红波, 游伟, 柏溢. 移动边缘计算安全防御研究[J]. 网络与信息安全学报, 2021, 7(1): 130-142.
[7]	孙澄, 胡浩, 杨英杰, 张红旗. 融合宏观与微观的双层威胁分析模型[J]. 网络与信息安全学报, 2021, 7(1): 143-156.
[8]	张颖君,刘尚奇,杨牧,张海霞,黄克振. 基于日志的异常检测技术综述[J]. 网络与信息安全学报, 2020, 6(6): 1-12.
[9]	熊小兵,舒辉,康绯. 基于融合编译的软件多样化保护方法[J]. 网络与信息安全学报, 2020, 6(6): 13-24.
[10]	张鑫,羌卫中,吴月明,邹德清,金海. 基于卷积神经网络恶意安卓应用行为模式挖掘[J]. 网络与信息安全学报, 2020, 6(6): 35-44.
[11]	周天昱,申文博,杨男子,李金库,秦承刚,喻望. Docker组件间标准输入输出复制的DoS攻击分析[J]. 网络与信息安全学报, 2020, 6(6): 45-56.
[12]	尚菁菁,朱宇佳,刘庆云. 电子邮件安全扩展协议应用分析[J]. 网络与信息安全学报, 2020, 6(6): 69-79.
[13]	王标,刘兴洋,许卡,刘汪洋,王克楠,夏宇清. 政府开放数据的国家安全风险评估模型研究[J]. 网络与信息安全学报, 2020, 6(6): 80-87.
[14]	熊钢,葛雨玮,褚衍杰,曹卫权. 基于跨域协同的网络空间威胁预警模式[J]. 网络与信息安全学报, 2020, 6(6): 88-96.
[15]	吴奇,陈鸿昶. 低故障恢复开销的软件定义网络控制器布局算法[J]. 网络与信息安全学报, 2020, 6(6): 97-104.

乌克兰电力系统BlackEnergy病毒分析与防御

Analysis and defense of the BlackEnergy malware in the Ukrainian electric power system

在线阅读

pdf下载

可视化

被引次数

摘要/Abstract

引用本文

使用本文

图/表 22

参考文献 11

相关文章 15

Metrics

推荐阅读 0