FireEye:发现SCADA间谍软件Havex的最新变种
- - FreeBuf.COM又是Havex,是的,之前介绍过的这个恶意软件,曾经以能源部门相关组织为目标,被用于针对一些欧洲公司实施工业间谍活动,并成功入侵1000多家欧洲和北美能源公司. 前几天,安全公司FireEye的研究人员已经发现了Havex RAT的一个新变种,这个变种有能力主动扫描用来控制关键基础设施、能源和制造领域的SCADA系统中的OPC 服务器.
FireEye:发现SCADA间谍软件Havex的最新变种
标签:
资讯
havex
OPC
scada
工控安全
| 发表时间:2014-07-24 21:33 | 作者:S0N1C
出处:http://www.freebuf.com
又是Havex,是的,之前介绍过的这个恶意软件,曾经以能源部门相关组织为目标,被用于针对一些欧洲公司实施工业间谍活动,并成功入侵1000多家欧洲和北美能源公司。
前几天,安全公司FireEye的研究人员已经发现了Havex RAT的一个新变种,这个变种有能力主动扫描用来控制关键基础设施、能源和制造领域的SCADA系统中的OPC 服务器。
OPC是一种通信标准,允许基于Windows的SCADA系统之间或者其他工业控制系统应用程序和过程控制硬件之间进行通信。新的Havex变种可以收集存储在使用OPC标准的被入侵客户端或服务端的系统信息和数据。
FireEye的研究人员在其 官方博文中称, “攻击者已经利用Havex攻击那些能源部门一年多了,但暂时仍然不清楚受影响行业及工业控制系统的的受害程度。我们决定更详尽地检查Havex的OPC扫描组件,以便更好地理解当扫描组件执行时发生了什么以及可能产生的影响。”
该安全公司的研究人员建立了一个典型的OPC服务器环境对新变种的功能进行实时测试。工业控制系统或SCADA系统包括OPC客户端软件以及与其直接交互的OPC服务端,OPC服务端与PLC串联工作,实现对工控硬件的控制。
一旦进入网络后,Havex下载器就会调用DLL导出功能,启动对SCADA网络中OPC服务器的扫描。为了定位潜在的OPC服务器,该扫描器模块使用微软的WNet(Windows networking)功能如WNetOpenEnum和WNetEnumResources,以此枚举网络资源或存在的连接。
博文中提到, “扫描器建立了一个可以通过WNet服务进行全局访问的服务器列表,然后检查这个服务器列表以确定是否有向COM组件开放的接口。”
通过使用OPC扫描模块,Havex新变种可以搜集有关联网设备的任何细节,并将这些信息发回到C&C服务器供攻击者分析。以此看来,这个新变种貌似被用作未来情报收集的工具。
这是第一个用作OPC扫描的"在野"样本,很有可能这些攻击者是把这个恶意软件作为试验品以供未来使用。
到目前为止,研究人员并未发现任何试图控制所连接硬件的行为,这个恶意软件背后使用的攻击路径、开发者以及意图还不得而知,但是研究人员正在调查,并试图收集所有关于这个新变种的信息。
相关 [fireeye 发现 scada] 推荐:
基于HT for Web的Web SCADA工控移动应用
- - ITeye博客最近客户采用 HT for Web图形界面组件,实现了油田燃气管网和供水管网等工控SCADA的HMI人机界面,并将系统运行在平板和手机等Android和iOS移动终端,在此我们在技术支持过程中的一些知识点进行些梳理和分享,希望对有志于Web SCADA领域的伙伴们提供些帮助. 移动终端呈现方面,HMI界面布局应用和游戏领域有类似的问题,一般对横版或者竖版会有更好的布局效果,例如有些游戏只支持横版的玩法,这对于采用Native的App应用来说不成问题,可将App配置成只能横向或者纵向布局,但对于移动终端浏览器就有点尴尬,目前大部分终端你是不能限制用户旋转平面导致布局变化.
发现《地球守则》
- flycondor - Accentuate the Positive两年前,我第一次从Longnow的seminar系列里听到Stewart Brand讲述他关于环境保护运动的新想法,当时我震惊了. SB说,城市是好的,核电是好的,转基因也是好的. 后来,我买了同年出版的SB写的新书《全球守则》(Whole Earth Discipline),看完后才慢慢的领会到作者的用意.
Gmail发现安全漏洞
- Royce - Solidot6月1日,Google官方博客宣布数百Gmail用户遭到黑客攻击,搜索巨人称帐户劫持不是Gmail本身的安全漏洞所致. 攻击者使用的钓鱼攻击,他们向特定帐户发送一封邮件,内有钓鱼网址链接,欺骗用户输入密码. 然而今天Gmail用户温云超发现Google的邮件服务确实存在安全问题,他演示了被钓鱼的过程(YouTube),他收到一封“李承鹏参选人大,邀请你参加”的邮件,文章呼吁支持者前往一个链接支持李承鹏.
Via @VirtualPing: 某女发现…
- KID - JokeCookVia @VirtualPing: 某女发现一老外仗着自己人高马大,正在偷看她的事业线及内部资料,于是怒斥:看毛(come on).
[原]Curator服务发现
- - 升华思想 技术高深一个服务发现系统提供下面几个机制:. 注册它们有用的服务. 定位一个单一特殊服务的实例. 当一个服务改变时发出通知. 3.3.1.1 服务实例. 一个服务实例使用类ServiceInstance作为服务实例类. ServiceInstance有一个名称、id、地址、端口或者ssl端口以及可选负载(用户定义).
【发现者】发现青蒿素,中医没帮忙
- tom017点cn - 网易新闻·有态度专栏导读:2011年度拉斯克奖公布获奖名单,中国科学家屠呦呦因发现并提炼出用以治疗疟疾的青蒿素而获得“临床医学奖”. 一位中国人摘取有着诺贝尔奖风向标之美誉的拉斯克奖,把一种植物青蒿推到世界面前,有舆论称这是为“反中医论者”给出的最好回击;而实际上,青蒿素的研制跟中医的关联极其微弱,这种植物一度被中医抛弃,并因使用煎熬的方法令其价值尽失.
面试是发现缺点,还是发现优点?
- Sosi - 梁斌的博客 在微博上看到这样一个帖子:. @老熊:面试工程师时候,遇到简历写熟悉某语言或框架的,我都会问问ta使用的具体语言或框架的具体小版本号,遇到说熟悉IDE工具的,都会会问问该IDE工具的快捷键,如果这些都不清楚,基本可以断定不是真正的熟悉. @程显峰-Mars:开个玩笑,说熟悉C语言的,我就问ta,32个关键字是什么,或者15级运算符优先级.
话题监测与发现之热点新闻发现技术
- - 一个只愿意做到80分的懒人最近在帮朋友做一个关于“热点新闻发现”的需求. 先解释下什么是热点新闻发现:即在海量的新闻文本中,找到内容相似的那一类新闻,如果这类新闻的数量达到一定阈值,便认为该类新闻属于热点新闻. 其实这一类型的课题早在几年前就已经开始研究,属于TDT(Topic Detecting and Tracking话题检测与发现)分支之一,而且方法也较为成熟,多半是在文本分析的基础上利用数据挖掘中聚类知识进行处理.