今日头条
官方微信
官方抖音
资讯频道
近日, 安全公司的研究人员发现了Havex RAT的一个新变种,这个变种有能力主动扫描用来控制关键基础设施、能源和制造领域的SCADA系统中的OPC服务器。
OPC是一种通信标准,允许基于Windows的SCADA系统之间或者其它工业控制系统应用程序和过程控制硬件之间进行通信。新的Havex变种可以收集存储在使用OPC标准的被入侵客户端或服务端的系统信息和数据。
研究人员在其官方博文中称,“攻击者已经利用Havex攻击那些能源部门一年多了,但暂时仍然不清楚受影响行业及工业控制系统的的受害程度。我们决定更详尽地检查Havex的OPC扫描组件,以便更好地理解当扫描组件执行时发生了什么以及可能产生的影响。”
该安全公司的研究人员建立了一个典型的OPC服务器环境对新变种的功能进行实时测试。工业控制系统或S C A D A 系统包括OPC客户端软件以及与其直接交互的OPC服务端,OP C 服务端与P LC串联工作, 实现对工控硬件的控制。一旦进入网络后,Hav e x 下载器就会调用D L L导出功能, 启动对S C A D A 网络中O P C 服务器的扫描。为了定位潜在的OPC服务器,该扫描器模块使用微软的W N e t ( W i n d o w s networking)功能,如WNetOpenEnum和
WNetEnumResources,以此枚举网络资源或存在的连接。
博文中提到,“扫描器建立了一个可以通过WNet服务进行全局访问的服务器列表,然后检查这个服务器列表以确定是否有向COM组件开放的接口。”通过使用OPC扫描模块,Havex新变种可以搜集有关联网设备的任何细节,并将这些信息发回到C&C服务器供攻击者分析。以此看来,这个新变种貌似被用作未来情报收集的工具。
到目前为止,研究人员并未发现任何试图控制所连接硬件的行为,这个恶意软件背后使用的攻击路径、开发者以及意图还不得而知,但是研究人员正在调查,并试图收集所以关于这个新变种的信息。
北京市公安局海淀分局备案号:11010802023656号