近日，Belden最新的有關Havex病毒新變種——Dragonfly惡意軟件的分析指出，該惡意軟件目標鎖定在了包裝消費品行業(yè)，特別是制藥業(yè)，而非先前認為的能源行業(yè)。

Dragonfly是繼Stuxnet之后又一強大的病毒，它的目標就是侵入特定的工業(yè)控制系統(tǒng)（ICS）。它包含一個工業(yè)協(xié)議掃描儀，可搜索TCP端口44848（歐姆龍和羅克韋爾自動化使用），102（西門子使用）和502（施耐德電氣使用）上的設備。據(jù)工業(yè)通信專家Belden介紹，這些協(xié)議和產(chǎn)品在包裝和制造應用尤其是消費性包裝品行業(yè)，特別是制藥業(yè)有更大范圍的安裝。

Dragonfly：攻擊信息盜取

Belden委任領先的獨立ICS安全專家JoelLangill對Dragonfly惡意軟件進行更深入的調(diào)查。他專注于在反映真實環(huán)境下ICS配置的系統(tǒng)上運行惡意代碼并觀察惡意軟件所產(chǎn)生的影響。

他發(fā)現(xiàn)在成千上萬個可能的ICS供應商中，被惡意軟件認定為目標的并不是能源行業(yè)中的提供商。而是，包括制藥業(yè)在內(nèi)的消費性包裝產(chǎn)品行業(yè)中最為常用。

Langill還報告說，Dragonfly惡意軟件與另外一個叫EpicTurla的病毒頗為相像，很可能兩者都是由同一團隊操縱的。EpicTurla目標是制造業(yè)企業(yè)的知識產(chǎn)權。

“基于本人所做的調(diào)查和對制藥業(yè)的了解，我得出了Dragonfly惡意軟件的目標就是制藥業(yè)的結論，”Langill說到，“其潛在危害包括專利配方和生產(chǎn)批次序列步驟，以及顯示制造工廠容量和生產(chǎn)能力的網(wǎng)絡和設備信息被盜取。”

Belden網(wǎng)絡安全業(yè)務首席技術官EricByres介紹說：“有關Dragonfly惡意軟件的一個有趣現(xiàn)象就是，它鎖定目標在ICS信息的目的不是為了引起故障，而是為了竊取知識產(chǎn)權--很可能是為其盜版所用。”首席技術官和其他高管要了解這一攻擊并確保有可對付的技術和產(chǎn)品。

“安全性研究人員和黑客已識別出很多工業(yè)生產(chǎn)產(chǎn)品中所存在的漏洞，”他補充說到，“為了防止Dragonfly攻擊，很重要的一點是制造企業(yè)要通過最新的最佳實踐政策和工業(yè)專用安全技術來保護核心ICS的安全?，F(xiàn)在，我們知道Stuxnet和Flame潛伏在其目標網(wǎng)絡中已有數(shù)年--一旦發(fā)現(xiàn)這些類似病毒進行破壞或者竊取商業(yè)機密再進行保護措施，為時已晚。”

Havex：狩獵工控設備

在2014年的春天，人們發(fā)現(xiàn)Havex開始對工業(yè)控制系統(tǒng)(IndustrialControlSystems，ICS)有特殊的興趣，該惡意軟件背后的組織使用了一個創(chuàng)新型木馬來接近目標。攻擊者首先把ICS/SCADA制造商的網(wǎng)站上用來供用戶下載的相關軟件感染木馬病毒，當用戶下載這些軟件并安裝時實現(xiàn)對目標用戶的感染。

最初，人們分析Havex的主要目標是能源部門相關的組織，而且，也確實發(fā)現(xiàn)曾經(jīng)被用于針對一些歐洲公司實施工業(yè)間諜活動，并成功入侵1000多家歐洲和北美能源公司。

Havex的新變種有能力主動掃描用來控制關鍵基礎設施、制造領域的SCADA系統(tǒng)中的OPC服務器。

OPC是一種通信標準，允許基于Windows的SCADA系統(tǒng)之間或者其他工業(yè)控制系統(tǒng)應用程序和過程控制硬件之間進行通信。新的Havex變種可以收集存儲在使用OPC標準的被入侵客戶端或服務端的系統(tǒng)信息和數(shù)據(jù)。

FireEye的研究人員在其官方博文中稱，“攻擊者已經(jīng)利用Havex攻擊那些能源部門一年多了，但暫時仍然不清楚受影響行業(yè)及工業(yè)控制系統(tǒng)的的受害程度。我們決定更詳盡地檢查Havex的OPC掃描組件，以便更好地理解當掃描組件執(zhí)行時發(fā)生了什么以及可能產(chǎn)生的影響。”

該安全公司的研究人員建立了一個典型的OPC服務器環(huán)境對新變種的功能進行實時測試。工業(yè)控制系統(tǒng)或SCADA系統(tǒng)包括OPC客戶端軟件以及與其直接交互的OPC服務端，OPC服務端與PLC串聯(lián)工作，實現(xiàn)對工控硬件的控制。

一旦進入網(wǎng)絡后，Havex下載器就會調(diào)用DLL導出功能，啟動對SCADA網(wǎng)絡中OPC服務器的掃描。為了定位潛在的OPC服務器，該掃描器模塊使用微軟的WNet(Windowsnetworking)功能如WNetOpenEnum和WNetEnumResources，以此枚舉網(wǎng)絡資源或存在的連接。

“掃描器建立了一個可以通過WNet服務進行全局訪問的服務器列表，然后檢查這個服務器列表以確定是否有向COM組件開放的接口。”

通過使用OPC掃描模塊，Havex新變種可以搜集有關聯(lián)網(wǎng)設備的任何細節(jié)，并將這些信息發(fā)回到C&C服務器供攻擊者分析。以此看來，這個新變種貌似被用作未來情報收集的工具。

這是第一個用作OPC掃描的"在野"樣本，很有可能這些攻擊者是把這個惡意軟件作為試驗品以供未來使用。