近期，安全研究人员发现了一种新的类似震网病毒的恶意软件，并将其命名为：Havex，这种恶意软件已被用在很多针对国家基础设施的网络攻击中。Havex病毒被发现的时间虽然不长，但是目前已经发现有超过8000个能源设施被感染。

就像著名的Stuxnet蠕虫病毒，Havex也是被编写来感染SCADA和工控系统中使用的工业控制软件，这种恶意软件在有效传播之后完全有能力实现禁用水电大坝、使核电站过载、甚至有能力关闭一个地区和国家的电网。这个病毒的来源组织目前被定义为蜻蜓组织或活力熊，主要攻击目标以能源行业为主。

Havex攻击传播路径

它的攻击手段和攻击路径简单来说一共有三种。如图1所示。

图1　Havex攻击路径

第一种是通过篡改供应商网站，使我们通过这个网站上下载的软件升级包中包含恶意间谍软件。接下来这种恶意间谍代码就会自动安装到OPC客户端，恶意间谍代码通过OPC协议发出非法数据采集指令，OPC服务器回应数据信息，将信息加密并传输到C&C （命令与控制）网站。据不完全统计，目前能够发现的Havex病毒用来通信的C&C服务器多达146个，并且有超过1500个IP地址正在向C&C服务器发送数据，这些数字还在持续增加中。

第二种攻击路径是通过社会工程向工程人员发送包含恶意间谍代码的钓鱼邮件，当初震网病毒就是采用这种途径传播的。

当然还有一种攻击传播途径最为直接，那就是利用系统漏洞，直接将恶意代码植入，这是针对于一些防护能力较差的网络而言。

现在我们发现已经有三个厂商的主站以这种方式被攻入，其网站上提供的软件安装包中包含了Havex。我们怀疑还会有更多类似的情况，但是尚未确定。这三家公司都是开发面向工业领域的设备和软件，这些公司的总部分别位于德国、瑞士和比利时。其中两个供应商为ICS系统提供远程管理软件，第三个供应商为开发高精密工业摄像机及相关软件。在中国无论是能源行业，还是轨道交通行业，都需要下载这些软件包，也就是说都有被病毒攻入的危险。

Havex深度解析

通过反向工程Havex程序，我们发现它会枚举局域网中的RPC服务，并寻找可连接的资源，Havex通过调用IOPCServerList和IOPCServerList2 DCOM接口来枚举目标机器上的OPC服务，随后Havex可以连接到OPC服务器，通过调用IOPCBrowse DCOM接口获取敏感信息。

Havex的可怕性

Havex病毒有很多值得关注的特征。第一，这是一个非常强大的职业黑客组织针对工业控制系统（SCADA）而专门研制的攻击手段；第二，版本众多无法及时有效识别（先发现的已经拥有80多个不同版本），因为它的特征一直在不断变化，所以我们无法实现有效的防御；第三，这种病毒针对能源行业的APT，一旦攻击成功后果严重；第四，可以直接控制OPC客户端对OPC服务器发出非法指令操作PLC和现场设备，而目前市场上流行的大多防护手段对其是束手无策的。

Havex标志着工控网络安全已经进入APT2.0时代

在我看来，2010年出现震网病毒标志着工业控制网络安全进入了APT1.0时代，震网之后又出现了Duqu病毒、Flame病毒等，2014年，Havex浮出水面，它的攻击手段更先进，更隐蔽，攻击范围更广阔，这标志着工控网络进入APT2.0时代，而这些也正是APT2.0时代的病毒特征。

工控网络安全事件数量统计，如图2所示。

工控网络安全事件比例统计，如图3所示。

图2　工控网络安全事件数量统计

图 3　工控网络安全事件比例统计

我们应该意识到网络黑客组织已经无处不在，Havex及其背后的蜻蜓组织只是威胁工控网安全的黑客组织的冰山一角。

传统的信息安全手段无法保护工控网络

工控网络的特点决定了基于办公网和互联网设计的信息安全防护手段（如防火墙、病毒查杀等）无法有效地保护工控网络的安全。

尤其是针对于APT1.0时代较为传统的防护手段已经无法防御不断升级的攻击。北京匡恩网络科技有限责任公司（以下简称匡恩网络）是针对于工控网络安全领域而建立的创新企业，致力于为工业控制网络APT2.0时代中的对抗提供有效的防御体系。

完整的解决方案

目前来看，在我国信息安全体系中还有很多工具、手段不完整，甚至整个产业链都是不完整的，需要从检测工具、保护系统、安全数据库、安全漏洞库到安全服务整个体系的创新。

匡恩网络的整体解决方案，如图4所示。

图4　匡恩网络的整体解决方案

匡恩网络的技术体系，如图5所示。

图5　匡恩网络的技术体系

匡恩网络的解决方案特点，如图6所示。 匡恩网络解决方案及产品形态主要分为以下五种。

图6　匡恩网络的解决方案特点

（1）风险评估平台

风险评估平台是针对工控系统中设备、协议、结构等一系列单元的漏洞和风险开发的测试工具，通过对漏洞在被测系统中的验证可以更好提高系统的茁壮性，如图7所示。

图7　风险评估平台

 （2）漏洞挖掘平台

是一款针对工控系统研发的高端漏洞挖掘工具，用户可以通过提供的工具箱深度挖掘出系统中存在的漏洞，可以减少零日漏洞等一系列的系统风险。

（3）智能监控平台

智能监测平台是一款针对工控系统设计的实时告警系统，此平台可以快速识别出系统中的非法操作、异常事件以及外部攻击并发出告警，是一款外挂的监测平台。

（4）智能保护平台

智能保护平台是一款针对工控系统设计的防御系统，此平台可以快速识别出系统中的非法操作、异常事件以及外部攻击并及时告警和阻断非法数据包。如图8所示。

图8　智能保护平台

 （5）数据采集保护平台

基于数据采集系统所用传输协议，数采保护平台可以实时对采集的信息进行深度解析，确保采集数据的完整性和安全性。如图9所示。

图9　数据采集保护平台

除此之外，匡恩网络还可以提供多种服务如工控网络安全培训、工控系统风险评估、工控设备漏洞挖掘、演示实验系统搭建等。

作者简介

孙一桉，男，现任北京匡恩科技网络有限责任公司总裁兼首席执行官，公司创始人。曾在国际知名的网络和通信企业的核心系统开发部门中担任高级技术和管理职位，具有在通信和网络行业近二十年的开发和管理经验。成功领导了十几项大型网络安全领域的大型高科技创新项目。具备丰富的网络安全技术和项目经验、科技创新产业化经验，以及创新团队组织领导和创新企业管理的执行经验。

摘自《工业控制系统信息安全专刊（第一辑）》