Havex：以工控设备为狩猎目标的恶意软件

        Havex被认为以不同工业领域为目标进行攻击的恶意软件，并且在最初的报告中，该恶意软件对能源行业尤为感兴趣。  Havex的主要构成为通用的远程木马（Remote Access Trojan，RAT）和用PHP编写的服务器程序。可以在服务器的代码中看到“Havex”这个名字。

        今年年初，Havex开始对工业控制系统（IndustrialControl Systems， ICS）造成干扰，该恶意软件背后的组织使用了一个创新型木马来接近目标。攻击者首先把ICS/SCADA制造商的网站上用来供用户下载的相关软件感染木马病毒，当用户下载这些软件并安装时实现对目标用户的感染。研究人员收集并分析了Havex的88个变种，主要分析了它们的访问目标、从哪收集数据、网络和机器。这一分析发现Havex通信用的C&C服务器多达146个，并且有1500多个IP地址向C&C服务器通信，从而识别最终的受害者。

        攻击者利用被攻陷的网站、博客作为C&C服务器，如下为用于C&C服务器的一些实例。

        此外，还发现了一个额外的功能组件，攻击者利用此组件从应用于ICS/SCADA系统中的机器上盗取数据。这意味着攻击者不仅仅对目标公司的网络感兴趣，还有对这些公司的ICS/SCADA系统进行控制的动机。目前对这一动机的缘由还不太清楚。
Havex RAT以如下途径进行传播：
        （1）垃圾邮件
        （2）漏洞利用工具
        （3）在被入侵的厂商的主站上，使其为用户提供的软件安装包包含该木马
        利用垃圾邮件和漏洞工具是相当简单的传播机制，值得关注的是第三种方式，它可以被看做是水坑式攻击（Water-hole attack），因为攻击者选择ICS的供应商作为中间目标，来实现其对最终目标的攻击。攻击者利用网站的漏洞，入侵了网站，并将正常的供用户下载的安装软件替换为包含木马的安装软件。
        研究者发现有三个厂商的主站被这种方式攻入，在网站上提供的软件安装包中包含了HavexRAT。
        根据网站的内容，这三家公司都是开发面向工业的设备和软件，这些公司的总部位于德国、瑞士和比利时。其中两个供应商为ICS系统提供远程管理软件，第三个供应商为开发高精密工业摄像机及相关软件。
        作为一个例子，看一下包含了木马病毒的安装包安装时的动态分析结果。 

        正常的安装程序是不会包含这个名为“mbcheck.dll”的文件的。这个文件实际上是Havex的恶意软件，包含木马病毒的安装程序会释放并执行这一文件作为其软件安装过程中的一部分。这样攻击者可以用此后门来访问和控制用户的工作电脑。
        所有受感染的这些实体都是与工业应用或者工业机器有一定的关系，大多数受害者位于欧洲，目前发现至少有一家位于加利福尼亚的公司在向C&C服务器发送数据。其中欧洲的基础机构中，有两个为法国的众所周知的教育机构，这两个机构是进行技术相关的研究，两个德国的工业应用程序和机器制造商，一个法国的工业机器生产生还有一个是专门从事结构工程的俄罗斯建筑公司。
        对于Havex样例代码的分析发现，其包含对于ICS/SCADA的嗅探行为。C&C服务器会指示受感染的计算机下载并执行更进一步的组件。当分析此组件时，我们发现它会枚举局域网，并寻找连接的资源和服务器。

        然后发现，该程序调用了微软的COM对象接口（CoInitializeEx，CoCreateInstanceEx），来连接特定的服务。 

        为了确认样例代码对哪个服务感兴趣，可以检索GUID值，通过对GUID值的检索可以知道哪种类型的接口被调用。通过Google可知如下：

       Havex主要有两大组件构成，下载器和OPC情报收集模块。在测试环境中，首先在局域网的其他机器上安装两个OPCServer，如下图所示，恶意软件成功的获取到了这两个OPCServer的情报。

        收集到情报以bzip格式压缩，然后利用RSAEuro进行加密，最后保存为.yls文件，放置于机器的临时文件夹下。

        在目前的测试环境中，这一.yls文件并没有发送回攻击者那里。另外两个文件被创建出来分别是OPCServer1.txt和OPCServer2.txt，每个文件记录了一个OPCServer的具体情报。

        Havex背后的攻击者采用了一个巧妙的方法来进行工业间谍活动，通过对ICS/SCADA软件安装包中植入木马，是一种访问目标系统很有效的方法，甚至能够入侵到关键技术设施。