今日頭條
官方微信
官方抖音
資訊頻道
近日, 安全公司的研究人員發現了Havex RAT的一個新變種,這個變種有能力主動掃描用來控制關鍵基礎設施、能源和制造領域的SCADA系統中的OPC服務器。
OPC是一種通信標準,允許基于Windows的SCADA系統之間或者其它工業控制系統應用程序和過程控制硬件之間進行通信。新的Havex變種可以收集存儲在使用OPC標準的被入侵客戶端或服務端的系統信息和數據。
研究人員在其官方博文中稱,“攻擊者已經利用Havex攻擊那些能源部門一年多了,但暫時仍然不清楚受影響行業及工業控制系統的的受害程度。我們決定更詳盡地檢查Havex的OPC掃描組件,以便更好地理解當掃描組件執行時發生了什么以及可能產生的影響。”
該安全公司的研究人員建立了一個典型的OPC服務器環境對新變種的功能進行實時測試。工業控制系統或S C A D A 系統包括OPC客戶端軟件以及與其直接交互的OPC服務端,OP C 服務端與P LC串聯工作, 實現對工控硬件的控制。一旦進入網絡后,Hav e x 下載器就會調用D L L導出功能, 啟動對S C A D A 網絡中O P C 服務器的掃描。為了定位潛在的OPC服務器,該掃描器模塊使用微軟的W N e t ( W i n d o w s networking)功能,如WNetOpenEnum和
WNetEnumResources,以此枚舉網絡資源或存在的連接。
博文中提到,“掃描器建立了一個可以通過WNet服務進行全局訪問的服務器列表,然后檢查這個服務器列表以確定是否有向COM組件開放的接口。”通過使用OPC掃描模塊,Havex新變種可以搜集有關聯網設備的任何細節,并將這些信息發回到C&C服務器供攻擊者分析。以此看來,這個新變種貌似被用作未來情報收集的工具。
到目前為止,研究人員并未發現任何試圖控制所連接硬件的行為,這個惡意軟件背后使用的攻擊路徑、開發者以及意圖還不得而知,但是研究人員正在調查,并試圖收集所以關于這個新變種的信息。
北京市公安局海淀分局備案號:11010802023656號