近日，烏克蘭伊萬(wàn)諾－弗蘭科夫斯克地區(qū)大約有一半的家庭（約為一百四十萬(wàn)的人口）遭受了停電的困擾，整個(gè)停電事件持續(xù)了數(shù)小時(shí)之久。據(jù)烏克蘭的新聞媒體TSN電視臺(tái)的報(bào)道，此次停電事件是由黑客攻擊所導(dǎo)致的，并且在發(fā)電站遭受攻擊的同一時(shí)間，烏克蘭境內(nèi)的其他多家能源公司也遭受到了黑客有針對(duì)性的網(wǎng)絡(luò)攻擊。據(jù)調(diào)查，黑客使用了高度破壞性的惡意軟件BlackEnergy（黑暗力量）在烏克蘭境內(nèi)的三處變電站制造了嚴(yán)重的破壞性事件。

       根據(jù)ESET公司公布的黑暗力量攻擊烏克蘭事件的樣本信息，安天追影小組通過(guò)態(tài)勢(shì)感知平臺(tái)獲取了相關(guān)樣本。針對(duì)其中一個(gè)xls格式文檔進(jìn)行分析后發(fā)現(xiàn)，文檔原始名稱可能為Додаток1.xls 即“應(yīng)用程序1.xls”，打開(kāi)后會(huì)出現(xiàn)包含俄語(yǔ)的信息。利用追影威脅分析系統(tǒng)（PTA）可以自動(dòng)對(duì)其進(jìn)行檢測(cè)，發(fā)現(xiàn)該xls文檔包含惡意的宏代碼，宏運(yùn)行后釋放名稱為FONTCACHE.DAT的PE文件，Black Energy NTP plugin在自啟動(dòng)目錄添加快捷方式自啟動(dòng)，注入IE進(jìn)程進(jìn)行反彈連接C2控制IP信息 5.149.254.114。

       安天追影小組發(fā)現(xiàn)黑暗力量進(jìn)行DDoS攻擊時(shí)會(huì)使用NTP 反射/放大技術(shù)。這個(gè)技術(shù)需要欺騙源 IP 地址的數(shù)據(jù)包，而 Windows 限制TCP/IP 數(shù)據(jù)包使用偽造的源 IP 地址進(jìn)行發(fā)送數(shù)據(jù)。黑暗力量通過(guò)釋放安裝winpcap，利用這個(gè)庫(kù)進(jìn)行原始數(shù)據(jù)包構(gòu)造，把源 IP 修改為攻擊目標(biāo)的 IP。在 UDP 協(xié)議中正常情況下，客戶端發(fā)送請(qǐng)求包到服務(wù)端，服務(wù)端返回響應(yīng)包到客戶端。但是 UDP 協(xié)議是面向無(wú)連接的，所以客戶端發(fā)送請(qǐng)求包把源 IP 修改為受害者的 IP，最終NTP服務(wù)端會(huì)返回響應(yīng)包到受害者的 IP，這就形成了一次反射攻擊。NTP 包含一個(gè) monlist 功能，也被成為 MON_GETLIST，主要用于監(jiān)控 NTP 服務(wù)器，NTP 服務(wù)器響應(yīng) monlist 后就會(huì)返回與 NTP 服務(wù)器進(jìn)行過(guò)時(shí)間同步的最后 600 個(gè)客戶端的 IP，響應(yīng)包按照每 6 個(gè) IP 進(jìn)行分割，最多有 100 個(gè)響應(yīng)包，這就達(dá)到了放大攻擊的效果。