近日，Belden最新的有關Havex病毒新變種——Dragonfly惡意軟件的分析指出，該惡意軟件目標鎖定在了包裝消費品行業，特別是制藥業，而非先前認為的能源行業。

Dragonfly是繼Stuxnet之后又一強大的病毒，它的目標就是侵入特定的工業控制系統（ICS）。它包含一個工業協議掃描儀，可搜索TCP端口44848（歐姆龍和羅克韋爾自動化使用），102（西門子使用）和502（施耐德電氣使用）上的設備。據工業通信專家Belden介紹，這些協議和產品在包裝和制造應用尤其是消費性包裝品行業，特別是制藥業有更大范圍的安裝。

Dragonfly：攻擊信息盜取

Belden委任領先的獨立ICS安全專家JoelLangill對Dragonfly惡意軟件進行更深入的調查。他專注于在反映真實環境下ICS配置的系統上運行惡意代碼并觀察惡意軟件所產生的影響。

他發現在成千上萬個可能的ICS供應商中，被惡意軟件認定為目標的并不是能源行業中的提供商。而是，包括制藥業在內的消費性包裝產品行業中最為常用。

Langill還報告說，Dragonfly惡意軟件與另外一個叫EpicTurla的病毒頗為相像，很可能兩者都是由同一團隊操縱的。EpicTurla目標是制造業企業的知識產權。

“基于本人所做的調查和對制藥業的了解，我得出了Dragonfly惡意軟件的目標就是制藥業的結論，”Langill說到，“其潛在危害包括專利配方和生產批次序列步驟，以及顯示制造工廠容量和生產能力的網絡和設備信息被盜取。”

Belden網絡安全業務首席技術官EricByres介紹說：“有關Dragonfly惡意軟件的一個有趣現象就是，它鎖定目標在ICS信息的目的不是為了引起故障，而是為了竊取知識產權--很可能是為其盜版所用。”首席技術官和其他高管要了解這一攻擊并確保有可對付的技術和產品。

“安全性研究人員和黑客已識別出很多工業生產產品中所存在的漏洞，”他補充說到，“為了防止Dragonfly攻擊，很重要的一點是制造企業要通過最新的最佳實踐政策和工業專用安全技術來保護核心ICS的安全。現在，我們知道Stuxnet和Flame潛伏在其目標網絡中已有數年--一旦發現這些類似病毒進行破壞或者竊取商業機密再進行保護措施，為時已晚。”

Havex：狩獵工控設備

在2014年的春天，人們發現Havex開始對工業控制系統(IndustrialControlSystems，ICS)有特殊的興趣，該惡意軟件背后的組織使用了一個創新型木馬來接近目標。攻擊者首先把ICS/SCADA制造商的網站上用來供用戶下載的相關軟件感染木馬病毒，當用戶下載這些軟件并安裝時實現對目標用戶的感染。

最初，人們分析Havex的主要目標是能源部門相關的組織，而且，也確實發現曾經被用于針對一些歐洲公司實施工業間諜活動，并成功入侵1000多家歐洲和北美能源公司。

Havex的新變種有能力主動掃描用來控制關鍵基礎設施、制造領域的SCADA系統中的OPC服務器。

OPC是一種通信標準，允許基于Windows的SCADA系統之間或者其他工業控制系統應用程序和過程控制硬件之間進行通信。新的Havex變種可以收集存儲在使用OPC標準的被入侵客戶端或服務端的系統信息和數據。

FireEye的研究人員在其官方博文中稱，“攻擊者已經利用Havex攻擊那些能源部門一年多了，但暫時仍然不清楚受影響行業及工業控制系統的的受害程度。我們決定更詳盡地檢查Havex的OPC掃描組件，以便更好地理解當掃描組件執行時發生了什么以及可能產生的影響。”

該安全公司的研究人員建立了一個典型的OPC服務器環境對新變種的功能進行實時測試。工業控制系統或SCADA系統包括OPC客戶端軟件以及與其直接交互的OPC服務端，OPC服務端與PLC串聯工作，實現對工控硬件的控制。

一旦進入網絡后，Havex下載器就會調用DLL導出功能，啟動對SCADA網絡中OPC服務器的掃描。為了定位潛在的OPC服務器，該掃描器模塊使用微軟的WNet(Windowsnetworking)功能如WNetOpenEnum和WNetEnumResources，以此枚舉網絡資源或存在的連接。

“掃描器建立了一個可以通過WNet服務進行全局訪問的服務器列表，然后檢查這個服務器列表以確定是否有向COM組件開放的接口。”

通過使用OPC掃描模塊，Havex新變種可以搜集有關聯網設備的任何細節，并將這些信息發回到C&C服務器供攻擊者分析。以此看來，這個新變種貌似被用作未來情報收集的工具。

這是第一個用作OPC掃描的"在野"樣本，很有可能這些攻擊者是把這個惡意軟件作為試驗品以供未來使用。