據報道，2015年12月23日，烏克蘭至少三個區域的電力系統遭到網絡攻擊。本次攻擊造成了伊萬諾-弗蘭科夫斯克地區部分變電站的控制系統遭到破壞，以致大面積停電，電力中斷3至6小時，約140萬人受到影響。針對此事件，我國工信部和國家電網公司都專門下發文件，對工業控制系統進行風險提示并要求相關單位加強安全防范措施。　　

　　▲

啟明星辰工業防火墻快速應對

啟明星辰經過對病毒樣本分析，發現本次攻擊過程開始于一個帶有惡意宏的XLS文件，黑客通過釣魚手段將此惡意文件發送給攻擊目標，XLS文件運行后啟動惡意宏代碼執行，宏代碼會在臨時文件目錄下釋放文件vba_macro.exe，這便是釋放器。他通過釋放BlackEnergy來執行后續操作，如與控制端通信以及下載KillDisk、SSH后門等一系列組件來執行攻擊、刪除磁盤文件等。

BlackEnergy為了隱藏網絡通信信息，躲避檢測，惡意代碼對上線信息進行了Base64編碼，當C&C返回響應時，使用上線請求中的b_id作為密鑰進行了加密。這給病毒的防護造成了很大困難，一般的工業防火墻對此無能為力，甚至是通用IDS對其檢測也有難度。

啟明星辰工業防火墻團隊在設計產品之初，就對工業現場環境進行了深入調研，密切關注工業化和信息化兩化融合中惡意代碼通過傳統IT網絡對工業設備的攻擊，并在工業防火墻集成了更加先進靈活的入侵檢測引擎，在應對這次攻擊的過程中，通過該引擎可以直接處理base64編碼后的數據，對BlackEnergy上線通訊特征進行監測，并通過豐富的數據提取能力實現快速發現、定位感染主機。用戶只需在防火墻中通過加入啟明星辰提供的特征，無需定制開發即可防護此類攻擊。第一步添加BlackEnergy特征：

　　然后啟用自定義規則：

　　▲

查看攔截效果：　　

　　▲

傳統網絡安全設備和大部分市面上的工控防火墻對此類安全威脅并沒有好的應對辦法。一方面是傳統防火墻主要面向IT網絡，對標準工業協議如Modbus、DNP3、EtherNet/IP、OPC等并不支持;二是大部分工業防火墻廠商目前處于起步階段，對工業控制系統攻防技術的研究還不夠深入，尤其是對于工業漏洞庫的積累仍顯不足;三是隨著兩化融合的推進，工業網絡面臨著傳統攻擊日益嚴峻的威脅，一些國外大型工控防火墻廠商仍沒有工業入侵防護功能。截止發稿前，尚未發現其他國內工業防護墻廠商可以對此病毒進行防護的報道。

啟明星辰工業防火墻防護特性

啟明星辰工業防火墻從設計之初就全面研究工業環境下的安全需求，產品除具備工控防火墻的主流功能外，在安全防護方面最大的特點是集成了工業入侵防護引擎，并內置了工業漏洞庫。產品預置9大類上百種工業場景，對Modbus、IEC104、EtherNet/IP、SIEMENS S7、SCADA系統等進行入侵檢測防護。用戶可以根據自己的情況選擇適用場景進行快速部署。通過該引擎，可以對工業協議和內容進行合規性檢查，阻斷黑客對工控設備的掃描行為，并對SCADA緩沖區溢出和目錄遍歷等攻擊進行防護。該特征庫依托啟明星辰ADLab等部門研究成果，可以提供最新最全的工控漏洞特征。

　　▲

啟明星辰工業防火墻的入侵防護引擎是一個開放、可擴展的引擎，能夠靈活的根據企業內部的特定工控設備或協議實施針對性的防護策略，無需長時間的定制開發，在用戶現場即可快速動態制定防護規則，來深入的檢測工控協議內容。以本次烏克蘭電力攻擊事件為例，啟明星辰工業防火墻只需通過添加幾條BlackEnergy等的行為特征，就可以對該類攻擊進行有效防護。

啟明星辰工業防火墻利用該檢測引擎，結合流量自學習功能，可以對用戶私有協議進行快速學習，并進行流量可視化展現，幫助工業用戶迅速了解業務流量信息，進而制定更加符合實際情況的安全策略。后續我們會對該特性做詳細介紹，敬請關注。