乌克兰电力系统BlackEnergy病毒分析与防御

doi:10.11959/j.issn.2096-109x.2017.00139

网络与信息安全学报 ›› 2017, Vol. 3 ›› Issue (1): 46-53.doi: 10.11959/j.issn.2096-109x.2017.00139

乌克兰电力系统BlackEnergy病毒分析与防御

王勇,王钰茗(),张琳,张林鹏

上海电力学院计算机科学与技术学院，上海 200090

修回日期:2016-12-30 出版日期:2017-01-15 发布日期:2020-03-20
作者简介:王勇（1973-），男，河南驻马店人，博士，上海电力学院教授，主要研究方向为电力系统攻防试验床、病毒分析、入侵检测。|王钰茗（1994-），女，山东烟台人，上海电力学院本科生，主要研究方向为病毒分析。|张琳（1995-），女，黑龙江绥化人，上海电力学院本科生，主要研究方向为病毒分析。|张林鹏（1991-），男，河北邢台人，上海电力学院硕士生，主要研究方向为电力系统防火墙。
基金资助:
上海科委地方能力建设基金资助项目(15110500700);上海市浦江人才计划基金资助项目(16PJ1433100);上海自然科学基金资助项目(16ZR1436300);上海科委中小企业创新基金资助项目(1601H1E2600)

Analysis and defense of the BlackEnergy malware in the Ukrainian electric power system

Yong WANG,Yu-ming WANG(),Lin ZHANG,Lin-peng ZHANG

School of Computer Science and Technology, Shanghai University of Electric Power, Shanghai 200090, China

Revised:2016-12-30 Online:2017-01-15 Published:2020-03-20
Supported by:
The Project of Shanghai Science and Technology Committee(15110500700);Shanghai Pujiang Program(16PJ1433100);Shanghai Municipal Natural Science Foundation(16ZR1436300);Shanghai Science and TechnologyInnovation Fund for Small and Medium Enterprises(1601H1E2600)

摘要/Abstract

摘要：

2015年12月，乌克兰电力系统遭到BlackEnergy病毒攻击，导致伊万诺—弗兰科夫斯克州地区发生多处同时停电的事故，该病毒也威胁到我国电力系统安全。通过获取不同版本的BlackEnergy病毒样本，构建了分析环境，发现了BlackEnergy攻击方式，并给出了防御方法。

关键词: BlackEnergy病毒, 病毒分析, 入侵防御

Abstract:

Ukrainian electric power system suffered BlackEnergy virus attacks in December 2015, resulting in blackout accident occurred simultaneously at multiple areas in Ivano-Frankovsk region, the malware also pose a threat to the electric power system security in China. Based on different versions of samples of BlackEnergy acquired, the attack mode was analyzed and the prevention of the virus was provided under the proper analysis environment.

Key words: BlackEnergy virus, virus analysis, intrusion prevention

中图分类号:

TP393

王勇,王钰茗,张琳,张林鹏. 乌克兰电力系统BlackEnergy病毒分析与防御[J]. 网络与信息安全学报, 2017, 3(1): 46-53.

Yong WANG,Yu-ming WANG,Lin ZHANG,Lin-peng ZHANG. Analysis and defense of the BlackEnergy malware in the Ukrainian electric power system[J]. Chinese Journal of Network and Information Security, 2017, 3(1): 46-53.

图/表 22

图1

表1

图2

图3

图4

图5

图6

图7

图8

图9

图10

图11

图12

图13

图14

图15

图16

图17

图18

图19

图20

图21

参考文献 11

[1]	Brian Prince(2014). Researchers go inside black energy mal-ware[EB/OL]. .
[2]	John Hultquist(2014).Sandworm team–targeting SCADA sys-tems[EB/OL]. .
[3]	安天实验室. 乌克兰停电事件启示录[J]. 中国信息安全， 2016 (4): 48-53.
	Antiy Lab. Revelation of blackout in Ukraine[J]. China Information Security, 2016 (4): 48-53.
[4]	绿盟科技(2016). 从乌电事件看我国电力安全[EB/OL]. .
	NSFOCUS.(2016). Power safety in China from Ukraine's power grid incident[EB/OL]. .
[5]	哈尔滨安天科技股份有限公司、北京四方继保自动化股份有限公司、复旦大学网络空间治理研究中心. 乌克兰电力系统遭受攻击事件综合分析[J]. 信息安全研究， 2016 (3): 243.
	Harbin Antiy Tech. Co. Ltd., Beijing Sifang Automation Co. Ltd., Fudan University Network Space Management Research Center. Comprehensive analysis of Ukraine's power grid incident[J]. Journal of Information Security Research, 2016 (3): 243.
[6]	安天实验室安全研究与应急处理中心. BlackEnergy简报[EB/OL]. .
	Antiy CERT. BlackEnergy briefing[EB/OL]. .
[7]	F-secure. (2014)BLACKENERGY＆QUEDAGH: the convergence of crimeware and APT attacks[EB/OL]. .
[8]	CVE通用漏洞与披露(2014). Microsoft Windows OLE 远程执行代码漏洞(CNNVD-201410-268)[EB/OL]. .
	CVE Common vulnerabilities and disclosures(2014). Windows OLE remote code execution vulnerability (CNNVD-201410-268)[EB/OL]. .
[9]	翰海源安全(2014). Windows 任意代码执行0day (CVE-2014-4114)分析报告[EB/OL]. .
	Nanjing Vulnhunt Information Security Inc. Analysis report of Windows arbitrary code execution of 0day (CVE-2014-4114)[EB/OL]. .
[10]	CVE 通用漏洞与披露(2014). GE intelligent platforms proficy HMI/SCADA-CIMPLICITY 目录遍历漏洞(CNNVD-201401-524)[EB/OL]. .
	CVE Common vulnerabilities and disclosures. GE Intelligent plat-forms proficy HMI/SCADA-CIMPLICITY directory traversal vul-nerability (CNNVD-201401-524)[EB/OL]. .
[11]	王得金 . 从乌克兰电网被攻击事件看我国基础电网面临的安全风险及处置建议[J]. 中国信息安全， 2016 (3): 91-93.
	WANG D J . Security risks faced by China's basic power grids and suggestions on disposal from the attacked events in Ukraine power grid[J]. China Information Security, 2016 (3): 91-93.

命令	描述
Rexec	Download and execute a binary下载并执行一个二进制文件
Lexec	Execute a shell command 执行一个shell命令
Die	Uninstall 卸载
Getpl	Load a plugin 加载一个插件
Turnoff	Quit（will start again after reboot）退出（重启后仍会再启动）
Chprt	Add/remove/set active command and control server 添加/删除/激活C＆C服务器

[1]	陈先意, 顾军, 颜凯, 江栋, 许林峰, 付章杰. 针对车牌识别系统的双重对抗攻击[J]. 网络与信息安全学报, 2023, 9(3): 16-27.
[2]	叶天鹏, 林祥, 李建华, 张轩凯, 许力文. 面向雾计算的个性化轻量级分布式网络入侵检测系统[J]. 网络与信息安全学报, 2023, 9(3): 28-37.
[3]	祖立军, 曹雅琳, 门小骅, 吕智慧, 叶家炜, 李泓一, 张亮. 基于隐私风险评估的脱敏算法自适应方法[J]. 网络与信息安全学报, 2023, 9(3): 49-59.
[4]	夏锐琪, 李曼曼, 陈少真. 基于机器学习的分组密码结构识别[J]. 网络与信息安全学报, 2023, 9(3): 79-89.
[5]	袁静怡, 李子川, 彭国军. EN-Bypass：针对邮件代发提醒机制的安全评估方法[J]. 网络与信息安全学报, 2023, 9(3): 90-101.
[6]	余锋, 林庆新, 林晖, 汪晓丁. 基于生成对抗网络的隐私增强联邦学习方案[J]. 网络与信息安全学报, 2023, 9(3): 113-122.
[7]	朱春陶, 尹承禧, 张博林, 殷琪林, 卢伟. 基于多域时序特征挖掘的伪造人脸检测方法[J]. 网络与信息安全学报, 2023, 9(3): 123-134.
[8]	李晓萌, 郭玳豆, 卓训方, 姚恒, 秦川. 载体独立的抗屏摄信息膜叠加水印算法[J]. 网络与信息安全学报, 2023, 9(3): 135-149.
[9]	蔡召, 荆涛, 任爽. 以太坊钓鱼诈骗检测技术综述[J]. 网络与信息安全学报, 2023, 9(2): 21-32.
[10]	潘雁, 林伟, 祝跃飞. 渐进式的协议状态机主动推断方法[J]. 网络与信息安全学报, 2023, 9(2): 81-93.
[11]	杨盼, 康绯, 舒辉, 黄宇垚, 吕小少. 基于函数摘要的二进制程序污点分析优化方法[J]. 网络与信息安全学报, 2023, 9(2): 115-131.
[12]	肖天, 江智昊, 唐鹏, 黄征, 郭捷, 邱卫东. 基于深度强化学习的高性能导向性模糊测试方案[J]. 网络与信息安全学报, 2023, 9(2): 132-142.
[13]	袁承昊, 李勇, 任爽. 多关键词动态可搜索加密方案[J]. 网络与信息安全学报, 2023, 9(2): 143-153.
[14]	侯泽洲, 任炯炯, 陈少真. 基于神经网络区分器的SIMON-like算法参数安全性评估[J]. 网络与信息安全学报, 2023, 9(2): 154-163.
[15]	郭学镜, 方毅翔, 赵怡, 张天助, 曾文超, 王俊祥. 基于传统引导机制的深度鲁棒水印算法[J]. 网络与信息安全学报, 2023, 9(2): 175-183.

乌克兰电力系统BlackEnergy病毒分析与防御

Analysis and defense of the BlackEnergy malware in the Ukrainian electric power system

在线阅读

pdf下载

可视化

被引次数

摘要/Abstract

引用本文

使用本文

图/表 22

参考文献 11

相关文章 15

Metrics

推荐阅读 0