警告：本文包含宏相关内容 - Black Hills信息安全公司

事件背景

2015年12月23日，网络攻击导致乌克兰伊万诺-弗兰科夫斯克地区数十万人供电中断。这是首次确认的网络攻击者瘫痪电网事件。多方报告显示，这是一次协调精密、使用名为BlackEnergy特洛伊木马的行动。

攻击机制分析

宏文档的恶意利用

• BlackEnergy近两年在乌克兰频繁用于政府目标间谍活动
• 实际实施需要技能、定制化、高级协调和编程能力
• 但传播方式始终一致：MS Office文档中的宏

技术细节

• 宏恶意软件自90年代存在，近年流行度上升
• Office应用程序运行用VBA编写的内部宏
• VBA宏设计用于自动化重复性任务
• 但VBA功能如下载文件和运行应用程序可能被滥用

社会工程学因素

• 结合紧急邮件等社会工程学手段
• 组织外围员工日常使用电子邮件和文档编辑
• 员工习惯打开来自组织内部的MS文档
• 相比.exe文件，Office文档更易被信任

防御建议

• 优先教育员工了解这些简单但有效的恶意软件传播机制
• 信息安全中最简单和被忽视的方面往往造成最大问题
• 通过用户意识培训预防威胁
• 对简单威胁的认知可防止城市级停电事件

地缘政治影响

• 攻击被认为来自俄罗斯，类似方式可能持续
• 针对低层级、安全知识有限员工的网络入侵将成为未来战争主要方面
• 依赖社会工程学的恶意软件传播机制使腐败程度高的国家处于最大劣势

结论

虽然存在复杂恶意软件的精密攻击者，但此攻击的简洁性令人惊叹。让我们增加攻击者的难度。

作者Lisa来自乌克兰，是BHIS软件工程师，业余时间喜欢在南达科他州黑岩山区攀岩。