多年来,卡巴斯基实验室的安全专家一直在发现和研究针对各种信息系统的网络威胁 – 例如商业和政府组织、银行、电信运营商、工业企业以及个人用户的信息系统。在本报告中,卡巴斯基实验室工业控制系统网络应急响应小组(卡巴斯基实验室ICS CERT)发布了关于2018年上半年工业自动化系统的威胁现状的研究结果。
本出版物的主要目的是为全球和本地事件响应小组、企业信息安全人员和工业设施安全领域的研究人员提供信息支持。
一、2018 年上半年的重大事件
1.1、工业解决方案中的幽灵和熔毁漏洞
2018年初,研究人员在英特尔、ARM64和AMD的处理器中发现了允许未授权访问虚拟内存内容的漏洞。利用这些漏洞的攻击分别被称为Meltdown(熔毁)和Spectre(幽灵)。
这些问题与以下三个漏洞有关:
· 边界检查绕过(CVE-2017-5753/幽灵);
· 分支目标注入(CVE-2017-5715/幽灵);
· 恶意数据缓存加载(CVE-2017-5754/熔毁)。
虽然幽灵和熔毁攻击都允许用户级别的应用程序获取其他程序的数据,但熔毁攻击还允许读取内核内存。
该问题影响了许多使用易受攻击的微处理器的计算机、服务器和移动设备,不论它们是运行Windows、macOS、Linux、Android、iOS还是Chrome OS。基于易受攻击的处理器的工业设备(例如SCADA服务器)、工业计算机和网络设备 – 也被证明易受熔毁和幽灵攻击的影响。
思科是最早报告其产品受漏洞影响的公司之一。受影响的设备包括思科800系列集成多业务路由器和工业以太网4000系列交换机。
其它供应商随后也发布了关于熔毁和幽灵漏洞对其产品的影响的通知。
菲尼克斯电气通知其客户称数十个产品,包括控制系统、工业计算机和HMI等都易受熔毁和幽灵攻击。
横河电机易受攻击的产品包括CENTUM VP/CS 3000现场控制站(FCS)和ProSafe-RS安全控制站(SCS)。
熔毁和幽灵也影响了西门子的工业设备:RUGGEDCOM APE和RX1400 VPE设备、SIMATIC HMI精智系列面板、SIMATIC IPC工业计算机以及SIMATIC S7-1500软件控制器PLC等。
除了有关熔毁和幽灵的信息外,西门子还报告称其解决方案还受到之后2018年5月发现的一类被称为SpectreNG(下一代幽灵)漏洞的影响。
其它供应商,包括施耐德电气、ABB和OSIsoft,也发布了使用易受攻击的处理器的产品的相关信息。
1.2、活力熊/蹲伏雪人:针对服务器的攻击
2018年2月,卡巴斯基实验室ICS CERT发布了一份关于臭名昭著的APT组织Energetic Bear/Crouching Yeti(活力熊/蹲伏雪人)的初始感染策略的调查报告。基于目标服务器所有者提供的信息,该报告还对该组织在2016年和2017年初渗透的数个网络服务器进行了分析。
活力熊/蹲伏雪人至少自2010年以来一直活跃,主要针对多个国家的企业和个人。CrowdStrike的安全专家首次指出该组织对能源和工业行业具有强烈的兴趣,这可能解释了活力熊名字的由来。后来,该组织攻击的多样性变得更加明确,卡巴斯基实验室的研究人员将其命名为蹲伏雪人。该组织的攻击目标主要集中在欧洲和美国,最近对土耳其企业的攻击数量大幅增长。根据US-CERT和英国国家网络安全中心,APT组织活力熊/蹲伏雪人与俄罗斯政府有关。
该组织的初始感染策略是一个多步骤的过程,首先通过发送携带恶意文档的钓鱼邮件感染不同的服务器。一部分被感染的服务器被该组织用作辅助设备 – 只用于托管工具。其它的则被用于发起水坑攻击 – 一些服务器托管了指向其它服务器的SMB链接,用于窃取潜在受害者的身份验证数据。
除了极少数例外情况,活力熊/蹲伏雪人通常使用公开的工具进行攻击。卡巴斯基实验室ICS CERT的专家发现的所有工具样本都可在GitHub上免费获得开源代码。在没有额外的组织“标记”的情况下,这使得对攻击进行归因的任务变得十分困难。
卡巴斯基实验室ICS CERT观察到的大多数情况中,攻击者都执行以下任务:识别漏洞,在不同节点上获得持久性并窃取身份验证数据以进行下一步攻击。
对被入侵的服务器的分析表明,对于活力熊/蹲伏雪人而言,网络上的几乎任何易受攻击的服务器都被看作是用于发起针对性攻击的潜在立足点。
对这些攻击的初始、中间和后续目标的调查还揭示了其地理分布的多样性。受害者和目标数量最多的是俄罗斯,其次是土耳其和乌克兰。遭受攻击的系统中,约有不到一半与工业、农业服务业和公用事业有关。
1.3、工业网络中的恶意矿工
2018年2月,一些媒体报道称部分工业企业感染了包含加密货币挖矿功能的恶意软件。
在欧洲的一家污水处理厂,四台运行Windows XP的服务器和来自GE Digital公司的CIMPLICITY SCADA软件遭到感染。恶意软件使得用于监控工业流程的HMI和SCADA服务器的速度下降。
特斯拉的云服务器也遭到入侵,他们的计算资源被用来挖掘门罗币(Monero)。犯罪分子攻击了该电动汽车厂商基础设施的Kubernetes框架,并通过植入恶意软件来挖矿。
根据卡巴斯基实验室ICS CERT,这些广为人知的事件并非孤立事件,它们映射出一个令人担忧的整体趋势。
自2018年4月以来,卡巴斯基实验室一直在使用更准确的verdicts(用于判断病毒的特征)来收集恶意矿工的统计数据。现在还包含以前被检测为木马的恶意矿工。
结果就是,我们的统计数据表明遭受恶意挖矿软件攻击的ICS计算机的比例自4月份以来急剧增长,在2018年上半年达到了6% – 比2017年下半年增长了4.2个百分点。
遭受恶意挖矿软件攻击的ICS计算机的比例
恶意挖矿软件造成的主要问题是工业信息系统的负载增加。这对许多工业自动化系统来说是不可接受的,因为可能导致工业运营的不稳定和工业流程的控制水平降低。
1.4、针对思科交换机的大规模攻击影响了关键基础设施
4月6日研究人员检测到针对思科IOS交换机的攻击活动,影响了全球范围内的ISP、数据中心和网站的运营。
攻击者利用了思科智能安装客户端中的漏洞(CVE-2018-0171)。根据思科Talos研究团队,全世界范围内的超过16.8万台设备存在风险。
该攻击使用一个专门的僵尸程序来检测易受攻击的设备、替换交换机上的思科IOS镜像并修改配置文件,使得交换机变得不可用。
该攻击活动主要针对俄罗斯和伊朗的组织。根据思科Talos团队的说法,目标企业包括关键的基础设施。
1.5、可监控SCADA协议的新恶意软件VPNFilter
2018年5月,研究人员发现一个新的恶意软件VPNFilter。该恶意软件至少感染了54个国家的50万台路由器和NAS设备。
VPNFilter具有复杂的模块化架构,其通过组件来实现各种功能,包括收集网络流量和数据、执行命令和控制设备、拦截数据包、监控Modbus协议以及通过匿名Tor网络与命令服务器通信。
该恶意软件利用多个已知漏洞来感染设备,但其感染向量尚不清楚。在感染期间,该恶意软件将安装一个组件,该组件在重新启动后仍然存在,并且能够下载其它恶意模块。
这就是信息安全社区需要密切关注VPNFilter的原因,该恶意软件可以窃取凭据、检测工业SCADA设备并利用僵尸网络中的受感染设备执行多种攻击。
1.6、针对卫星系统的攻击
2018年6月,研究人员发现来自中国计算机的大规模网络攻击,主要针对美国和东南亚国家的电信运营商、卫星通信运营商以及国防承包商。
攻击期间,犯罪分子入侵了用于控制通信卫星和收集地理定位数据的计算机。安全专家认为,该攻击背后的动机是监视和拦截来自民用和军用通信频道的数据。像这样的攻击可能会导致卫星轨道位置的未授权更改和通信中断。
检测到的恶意软件包括木马Rikamanu和Syndicasec、用于窃取数据的程序Catchamas、键盘记录器Mycicil以及后门Spedear。
攻击者使用合法的软件和管理工具来实施感染,包括PsExec、Mimikatz、WinSCP和LogMeIn。通过使用这些工具,攻击者可以隐藏他们的活动并且使得自己难以被发现。
1.7、重要研究:恶意软件Triton的技术细节
去年12月恶意软件Triton导致一家企业的紧急保护系统出现故障。在2018年上半年的结尾,研究人员披露了该恶意软件的更多细节。
Triton专门用于干扰施耐德电气的Triconex安全仪表系统(SIS)。众所周知,在编程环境TriStation 1131中可通过未公开的专有网络协议TriStation与Triconex进行远程交互。
对该恶意软件的分析表明,Triton程序中的特定字符串与TriStation程序文件tr1com40.dll中的特定字符串具有很强的匹配性(例如TriStation协议命令的助记符名称)。从各方面可以得出结论,为了实现与Triconex的网络通信,Triton开发者逆向了TriStation 1131中的可执行文件。
1.8、物联网僵尸网络的活动
自今年年初以来,由物联网设备组成的新僵尸网络的数量不断增加,这证实了安全专家对2018年物联网僵尸网络数量显著增加的预测。
物联网安全方面最重大的事件是新的僵尸网络“捉迷藏 ”(HNS)的出现,以及Mirai(未来)的新变体OMG和WICKED。
这些僵尸网络仍主要由未受保护的IP摄像机和路由器组成。然而,攻击者也已开始针对其它类型的“智能”设备。例如,2018年4月,一个新的僵尸网络还包含了连接互联网的电视。该僵尸网络被用于实施针对金融机构的DDoS攻击。
随着针对物联网的恶意软件的快速发展,关于自动搜索和破解易受攻击的物联网设备的公开工具的新闻尤为重要。在公共领域发布此类程序可能会大大增加通过物联网设备攻击计算机系统和网络的犯罪分子的数量。
1.9、勒索软件攻击
尽管全球遭受勒索软件攻击的用户数量正在下降,但遭受勒索软件攻击的ICS计算机的比例从1.2%上升到1.6%。
尽管这一变化看起来不大,但它给工业企业带来的危险却不可低估(Wannacry和ExPetr有例在先)。
今年上半年,发生了一起针对医疗机构的勒索软件感染/敲诈的严重事件。根据媒体报道,俄罗斯秋明市的联邦神经外科中心遭到攻击,犯罪分子入侵了托管MEDIALOG医疗信息系统的服务器。该系统的数据库包含病人的医疗图像、测试结果和其它医疗信息等。
该MEDIALOG系统不可用时,一位13岁的小姑娘正准备做一台脑部急诊手术。幸运的是,外科医生在无法访问重要的医疗信息的情况下仍然成功完成了手术。后来才得知该手术所需的相关文件被恶意软件加密了。
秋明市的神经外科中心不是这一系列攻击的唯一受害者。犯罪分子有意针对医疗机构,并只加密服务器上的关键文件。这表明他们有意对医疗机构的业务流程造成尽可能大的损害。
犯罪分子不仅会导致医疗机构的计算机系统不可用,还会对病人的治疗造成直接的影响。这一系列攻击就是一个生动的例子。
1.10、利用RAT攻击工业企业
基于RMS和TeamViewer的钓鱼攻击
卡巴斯基实验室ICS CERT报告了主要针对俄罗斯工业企业的另一波钓鱼邮件攻击。攻击者通过恶意软件安装了合法的远程管理软件(TeamViewer/RMS),用于远程控制目标系统。攻击者还使用了多种技术来掩盖未授权软件的踪迹和活动。
当攻击者需要在目标网络中横向移动时,他们将下载一些其它的恶意软件,包括间谍软件、其它远程管理工具、系统漏洞和软件漏洞的利用工具以及用于获取Windows账户密码的工具Mimikatz等。根据不同的受害者来选择不同的恶意软件。
钓鱼邮件通常模仿合法的商业报价,每一封邮件的内容都与目标企业的业务以及目标员工的工作类型有关。现有信息表明攻击者的主要目的是窃取目标企业的资金。当然,除了经济损失之外,这些攻击也会导致机密数据的泄露。
卡巴斯基实验室ICS CERT的报告在8月初发布,但这一系列攻击最早可追溯至2017年11月。
利用RAT攻击工业网络
卡巴斯基实验室的产品阻止了针对一家汽车制造商和服务公司的工业网络的多次攻击。具体来说,是针对用于诊断卡车和重型汽车的引擎和车载系统的计算机的攻击。
该公司工业网络中的至少一台计算机感染了RAT。几个月内,卡巴斯基的产品在该计算机上阻止了多次恶意软件感染企图,包括被检测为Net-Worm.Win32.Agent.pm的蠕虫变体。一旦攻击成功,该蠕虫将在本地网络内利用MS17-010漏洞(2017年春季ShadowBrokers发布的永恒之蓝漏洞,臭名昭著的勒索软件WannaCry和ExPetr就利用了该漏洞)迅速传播。
被阻止的恶意软件还包括恶意软件家族Trojan-Downloader.Nymaim。该恶意软件常被用于下载僵尸网络Necus的代理,而Necus又常被用于分发勒索软件家族Locky。
由于该RAT频繁地企图加载恶意软件,我们认为该RAT的身份验证数据已泄露,并被攻击者用来针对该企业的计算机。
在ICS计算机上安装RAT程序有时是必要的,但如果它们被犯罪分子所掌控或利用,就会变得十分危险。我们对这一问题进行了专门的调查,并将很快发布相关结果。
二、威胁统计
本报告中使用的所有统计数据均通过分布式反病毒网络KSN收集得来。数据的收集是匿名的,并已获得相关用户的同意。基于产品限制和严格的监管,我们不会收集这些发送了数据的相关企业的身份信息。
2.1、研究方法
卡巴斯基实验室ICS CERT将ICS计算机归类为企业中的工业基础设施。相关统计数据从这一类别的计算机上收集得来。这些计算机包括运行以下功能的Windows计算机:
· 数据采集与监控服务器(SCADA);
· 数据存储服务器(Historian);
· 数据网关(OPC);
· 工程师和操作员的固定工作站;
· 工程师和操作员的移动工作站;
· 人机界面(HMI)。
还包括从工控网络管理员以及工业自动化系统开发人员的计算机上收集到的数据。
在本报告中,遭受攻击的计算机是指在报告期间我们的安全解决方案至少被触发一次的计算机。遭受攻击的计算机的比例是指遭受攻击的计算机(去重)占所有样本计算机(在报告期间向我们发送了匿名数据的计算机)的比例。
通常情况下,由于工业网络的限制,ICS服务器和工程师/操作员的固定工作站不是24小时联网的。这类计算机可能只在,例如维护期间,才能联网。
系统/网络管理员、工程师、工业自动化系统的开发人员和集成人员的工作站可能会经常联网,甚至可能是24小时联网。
因此,2018年上半年我们的样本计算机中约有42%的计算机是定期或全天联网的。其余机器的联网时间不超过一个月,其中很多是远远少于这个时间的。
2.2、遭受攻击的ICS计算机比例
2018年上半年遭受攻击的ICS计算机的比例与2017年下半年相比上升了3.5个百分点,达到了41.2%。同比增长则是4.6个百分点。
遭受攻击的ICS计算机比例
遭受攻击的ICS计算机的比例上升的原因主要是恶意攻击活动的整体上升。
2.3、地理分布
2018年上半年针对工业自动化系统的攻击活动的地理分布,按每个国家/地区遭受攻击的ICS计算机的比例划分
2018年上半年遭受攻击的ICS计算机比例最高的国家/地区(Top20)
2018年上半年遭受攻击的ICS计算机比例最低的国家/地区(Top10)
全球不同地区遭受攻击的ICS计算机的比例在2017年下半年和2018年上半年的对比
全球不同地区数字的对比表明:
· 非洲、亚洲和拉丁美洲遭受攻击的ICS计算机比例要远高于欧洲、北美和澳大利亚;
· 东欧的数字远大于西欧;
· 南欧遭受攻击的ICS计算机比例高于北欧和西欧。
我们推测这一情况的原因与企业对基础设施防护解决方案的资金投入有关。根据IDC的数据,从地理分布来看,2017年信息安全产品的最大市场是美国和西欧。
即使是在同一地理区域内,不同国家的数字也可能相差很大。例如,与大多数非洲国家相比,南非的情况最好;而在中东地区,以色列和科威特明显比其它国家要强。
2.4、影响ICS计算机安全性的因素
正如我们所看到的,全世界范围内的不同国家在遭受攻击的ICS计算机比例方面差异很大,从14%到75%。我们认为这种实质性的差异可能与不同国家的总体发展水平、网络安全水平的差异以及不同国家恶意活动的活跃度有关。
值得注意的是,根据我们的数据,所有遭受攻击的ICS计算机比例极低的国家,都被IMF(国际货币基金组织)列为发达经济体。此外,遭受攻击的ICS计算机比例最低的10个国家中有6个在ITU(国际电信联盟)编制的2017全球网络安全指数中排在前20,包括美国、英国、荷兰、瑞典、瑞士和以色列。
将每个国家的遭受攻击的ICS计算机的比例与该国家的人均GDP排名进行对比分析,我们发现这两个参数之间存在高度正相关性(多重相关系数R=0.84,显著性系数P<0.001)。除去一些特例之外,具有高人均GDP水平的国家(即排名较高的国家)遭受攻击的ICS计算机比例要低于低人均GDP的国家。
不同国家遭受攻击的ICS计算机的比例(X轴)与该国家的人均GDP排名(Y轴)
2017年遭受攻击的ICS计算机比例最高的10个国家中,有7个国家的人均GDP水平不在前100名之内。
发展中国家的遭受攻击的ICS计算机比例较高可能与这些国家的工业部门发展时间相对较短有关。众所周知,在设计和调试工业设施时,通常主要关注其运营的经济效益和工业流程的物理安全,而信息安全的优先级较低。
上图中我们标注的几个例子可能表明部分国家在利用资源保护其工业资产方面效率更高(虚线以上)或更低(虚线以下)。
为了评估不同国家的恶意活动水平,我们计算了每个国家遭受攻击的所有计算机(包括家庭、企业和ICS计算机)的比例。我们发现一个国家遭受攻击的ICS计算机比例与该国家的恶意活动水平(以遭受攻击的所有计算机的比例来衡量)之间存在高度正相关性(多重相关系数R=0.89,显著性系数P<0.001)。
2018年上半年,不同国家遭受攻击的所有计算机的比例(X轴)与遭受攻击的ICS计算机比例(Y轴)
这些数据符合以下假设:工业网络基础设施中连接到公司网络和/或连接到互联网(即使是偶尔连接)的计算机,大多数情况下也会受到恶意软件攻击的影响,其程度与该国家的传统网络攻击目标(例如企业和个人的办公计算机)相同。
2018年上半年,不同国家遭受攻击的所有计算机比例与该国家遭受攻击的ICS计算机比例
值得注意的是,2018年前六个月至少一半的ICS计算机遭受攻击的国家中(排名前二十),几乎所有国家的工业网络基础设施计算机遭受攻击的比例都要高于这些国家的整体恶意活动水平。基于以下事实,这一情况尤其令人不安:根据世界银行和经济合作与发展组织的数据,列表中的八个国家 – 包括印度尼西亚、中国、印度、伊朗、沙特阿拉伯、墨西哥、菲律宾和马来西亚 – 都是2017年工业产值排名前30的国家。
2.5、主要感染源
企业的工业网络基础设施计算机的主要感染源是互联网、可移动媒体和电子邮件。
在过去几年中,互联网成为企业工业网络计算机的主要感染源。此外,我们还观察到尝试通过浏览器打开钓鱼邮件附件并访问已知恶意网站和下载恶意软件的ICS计算机比例的上升。
在一年前的2017年上半年,根据我们收集到的匿名统计数据,互联网是20.6%的ICS计算机威胁的主要来源。在2018年上半年这一数字已经增加到了27.3%。
ICS计算机上的主要威胁来源(以半年为统计周期,统计遭受攻击的ICS计算机比例)
上图中的分布符合逻辑:现代工业网络几乎不可能与外部系统隔离开来。现今,工业网络和企业网络之间的交互是不可或缺的,不仅对工业流程控制而言是这样,而且对工业网络和系统的管理来说也是如此。从工业网络访问互联网的能力可能是必须的 – 例如,第三方承包商的员工可能需要为工业自动化系统提供维护和技术支持。承包商、开发人员、集成人员以及系统和网络管理员的计算机通常从外部(直接或远程)连接客户企业的工业网络,而它们又可以不受限制地访问互联网,这有可能成为恶意软件感染工业网络的渠道之一。另一个类似的渠道是,工业网络中的计算机可能通过手机运营商的网络连接互联网(通过连接手机设备、USB调制解调器和/或支持3G/LTE的无线路由)。因此工业网络感染的第二大和第三大主要来源分别是可移动媒体和电子邮件客户端。在2018年上半年,上述感染源的数字几乎没有发生大的变化。
其它感染源的贡献基本都不超过1%,并且在2018年的前六个月保持这一趋势。
ICS计算机上的次要威胁来源(以半年为统计周期,统计遭受攻击的ICS计算机比例)
2.6、ICS计算机主要感染源的区域分布
2018年上半年ICS计算机的主要威胁来源的区域分布
互联网
由于互联网是ICS计算机的主要威胁来源,因此与所有遭受攻击的ICS计算机的情况一样,不同国家的遭受互联网威胁攻击的ICS计算机比例与人均GDP水平呈现相关性(多重相关系数R=0.82,显著性系数P<0.001)。
不同国家的人均GDP排名(X轴)与该国家遭受互联网威胁攻击的ICS计算机比例(Y轴)
2018年上半年遭受互联网威胁攻击的ICS计算机比例排名前15的国家
可移动媒体
通过可移动媒体传播的威胁的情况与互联网威胁类似(除了一些例外情况):人均GDP水平较低的国家,其遭受可移动媒体威胁攻击的ICS计算机比例通常较高(多重相关系数R=0.82,P<0.001)。
不同国家的人均GDP排名(X轴)与该国家遭受可移动媒体威胁攻击的ICS计算机比例(Y轴)
遭受可移动媒体威胁攻击的ICS计算机比例的区域排名
遭受可移动媒体威胁攻击的ICS计算机比例最高的区域是非洲、中东和东南亚。这可能意味着在这些地区可移动媒体常被用于在ICS计算机之间传输数据。此外,这还可能与这些地区的网络威胁的整体水平相对较低有关。另一方面,这一比例最低的区域是西欧和北美。我们认为其原因是这些地区的整体安全防御水平相对较高,以及对可移动媒体的使用较少。
2018年上半年遭受可移动媒体威胁攻击的ICS计算机比例排名前15的国家/地区
电子邮件客户端
奇怪的是,基于电子邮件的威胁的情况有所不同:遭受电子邮件客户端威胁攻击的ICS计算机比例与人均GDP水平没有曾现出相关性。
不同国家的人均GDP排名(X轴)与该国家遭受电子邮件客户端威胁攻击的ICS计算机比例(Y轴)
这意味着,如果假设整体信息安全水平较高是一个国家人均GDP水平较高的特征,这无助于防护基于电子邮件的攻击。也就是说,信息安全水平对穿透网络边界到达ICS计算机的钓鱼邮件和恶意附件的数量没有实质性的影响。可能的解释是,无论企业的整体网络安全水平如何,旨在防护电子邮件攻击的工具要么没有在网络边界上使用,要么没有进行正确的配置。
遭受电子邮件客户端威胁攻击的ICS计算机比例的区域排名并未显示出什么价值。在其它方面表现较好的澳大利亚(5.8%)这次排名榜首,而大多数其它地区的数字则在2.5%至4.6%之间。
2018年上半年遭受电子邮件客户端威胁攻击的ICS计算机比例的区域排名
值得注意的是,在遭受电子邮件客户端威胁攻击的ICS计算机比例的国家/地区排名中,澳大利亚仅排在第11位。奇怪的是,在电子邮件威胁方面表现最差的15个国家中,还包括在其它方面表现较好的比利时、意大利和南非。
2018年上半年遭受电子邮件客户端威胁攻击的ICS计算机比例排名前15的国家/地区
我们认为对于这些观察结果应该谨慎处理,因为电子邮件常被用于针对工业企业的有针对性攻击之中。我们在这里和这里报告过类似的攻击活动。
2.7、针对工业自动化系统的恶意软件
2018年上半年,安装在工业自动化系统中的卡巴斯基实验室安全解决方案检测到来自于2800个不同恶意软件家族的超过1.94万个恶意软件变体。
和以前一样,针对ICS计算机的感染企图大多数都是随机的攻击,而不是针对性攻击。
2018年上半年遭受攻击的ICS计算机中恶意软件的类别分布
2.8、恶意软件平台
2017年下半年 vs 2018年上半年,遭受攻击的ICS计算机中恶意软件主要平台的分布
上图中:
· Windows平台的数据包含了x86和x64的所有威胁;
· 浏览器平台的数据包含了针对浏览器的攻击和恶意HTML页面的所有威胁;
· Microsoft Office平台的数据包含了针对相关软件的所有威胁(包括Word、Excel、PowerPoint以及Vision等);
2018年上半年,攻击者继续针对存在漏洞的合法网站,以在这些网站上托管恶意软件的组件。值得注意的是,2018年上半年遭受浏览器威胁攻击的ICS计算机比例的增长是由于JavaScript恶意挖矿脚本攻击的增长导致的。
在同一时期内,遭受Microsoft Office文档攻击的ICS计算机的数量的增长与钓鱼邮件浪潮有关。大多数情况下,这类邮件的恶意附件都是包含漏洞利用的Microsoft Office文档,其目的是使计算机感染间谍软件。不了解这种威胁的用户常常会将这些恶意文档转发给他们的同事,或是通过可移动磁盘和共享文件夹传输此类文档,从而在无意中帮助传播了恶意软件。这就是为什么需要在ICS计算机上严格限制对办公软件的使用(例如Microsoft Office、PDF等)。
2.9、Exploits(漏洞利用程序)
遭受exploits攻击的ICS计算机的比例增长了1个百分点,达2.8%。
遭受攻击的ICS计算机中不同类型的exploits的比例
应该注意的是,攻击者经常将Visual Basic脚本语言编写的下载程序(downloader)作为exploit的有效荷载(payload),或者是直接嵌入到office文档中。这类脚本只有在系统上安装了Windows脚本宿主环境(WSH)时,才能执行。而WSH通常在Windows的安装期间默认进行安装。这意味着要保护系统免遭VBS恶意软件的危害,应该在Windows注册表中禁用WSH,除非你的工业控制系统运营需要用到WSH。这一规则对于Java编写的恶意软件同样有效:如果工业控制系统的运营不需要用到Java运行时,建议不要使用它来降低感染风险。
ShadowBrokers在2017年3月泄露了其exploits,这些exploits随后被勒索软件WannaCry和ExPetr所利用。在2018年上半年,这些exploits仍然被多种不同的恶意程序所利用。利用这些exploits的攻击数量的增长是Windows x86和x64平台的ICS计算机遭受攻击的比例增长的背后原因。
2.10、间谍软件
遭受间谍软件(包括间谍木马和PSW木马)攻击的ICS计算机的比例增长了0.4个百分点。
间谍软件通常通过钓鱼邮件进行分发。一个突出的例子是韩国,其在遭受间谍软件攻击的ICS计算机比例的排行榜上排名榜首(6%)。该国家的大多数间谍软件都是通过针对亚太地区用户的钓鱼邮件进行分发的。
值得注意的是,世界上不同区域的大多数此类钓鱼邮件都非常相似(标题、消息文本以及文件名称都很相似)。唯有亚洲地区例外,亚洲地区的钓鱼邮件都很有“亚洲”风格:所有针对亚洲用户的钓鱼邮件中提及的工业公司都位于亚洲。
还应该指出的是,在遭受后门攻击的ICS计算机比例中韩国(6.4%)排名第三。第一名是越南,其数字达到了惊人的9.8%。
三、建议
我们建议采取多种信息安全措施来防护本报告中描述的威胁。
根据安全专家的经验,以下安全措施基于重要性与实施难度的比值进行排列。
这份清单的内容并非巨细无遗。我们编制它是为了记录整个报告期间我们的研究所发现和分析的工业企业及工业自动化系统中的信息安全问题。
具体而言,这些建议不包含诸如以下这样的措施:除了用于自动化工业流程的协议之外,配置防火墙以阻止工业网络外部的其它连接;或者是,阻止互联网到工业网络主机的直接连接。这是因为,根据我们在工业企业进行的工业网络审计和渗透测试的结果,我们认为绝大多数企业已经采取了这样的措施。
3.1、措施列表一(不需要企业进行组织变更、增加额外人员、调整业务流程/工业流程或是对信息系统进行重大修改)
我们认为这些措施可以帮助企业走出保护工业基础设施的第一步。我们还认为,无论其信息安全流程的成熟度如何,这些措施都适用于大多数组织。
1. 使用防病毒解决方案保护工业网络中的所有主机。
· 检查所有的主要保护组件是否已启用并正在运行。
· 避免将包含ICS软件、OS系统文件夹或用户配置文件的文件夹排除在保护范围之外。
· 如果可能,在扫描时避免使用任何排除项。
· 确保每24小时至少更新一次防病毒数据库。如果可能,应根据安全解决方案供应商提供的建议更新数据库。
· 检查安全解决方案是否已配置为在连接到主机时自动扫描可移动媒体。
· 如果可能,配置为从供应商的反恶意软件云中立刻接收最新的verdicts。
2. 在安装在工业网络边界的防火墙上配置规则。
· 阻止对文件系统对象的远程访问服务请求,例如SMB/CIFS和/或NFS(适用于针对Linux系统的攻击)
· 配置规则以限制远程管理工具的使用。创建白名单机制,只允许列表上的地址访问工业网络中的系统。确保白名单只包含可信资源的地址,并且不包含管理工具供应商的云基础设施以及其它不可信和未知的地址。
· 阻止在工业网络内部使用外部电子邮件服务。
· 阻止外部的HTTP/HTTPS电子邮件服务。
· 阻止社交网络。
· 阻止基于云的文件存储服务。
· 阻止种子。
3. 在企业网络内部及其边界配置垃圾邮件和钓鱼邮件的防护方案。
· 确保根据供应商建议的频率更新反垃圾邮件和反钓鱼邮件解决方案。
· 如果可能,配置为连接到供应商的云服务以立刻更新verdicts。
4. 在组织的网络边界配置防病毒解决方案,并限制对恶意/潜在有害的在线资源的连接。
5. 审计工业网络中电子邮件的使用。
· 使用防病毒解决方案阻止工业网络计算机上的外部电子邮件服务。
· 在可能的范围内,在工业网络中阻止企业电子邮件,删除所有已安装的电子邮件客户端,或者使用应用程序启动控制工具阻止其运行。
· 禁用“mailto”服务。
6. 审计工业网络中的网络共享文件夹的使用。
· 除非工业流程所需,否则断开所有的网络共享文件夹。
· 除非工业流程所需,否则断开文件系统的远程访问服务,包括SMB/CIFS以及NFS。
7. 审计工业网络中的第三方远程管理工具的使用,例如VNC、RDP、TeamViewer RMS/Remote Utilities。删除所有工业流程不需要的远程管理工具。
8. 除非工业流程所需,否则禁用ICS软件中的远程管理工具(详细说明请参考相关软件的文档)。
9. 审计工业网络中会大大增加ICS攻击面的其它软件的使用。除非工业流程所需,否则删除所有此类软件。应特别强调以下类型的软件:
· Web浏览器
· 社交网络客户端
· 电子邮件客户端
· 微软Office软件
· Adobe软件
· Java Runtime
· 媒体播放器
· Perl、Python和PHP等脚本解释器
· 未经许可的“破解”软件 – 此类软件通常包含后门,或者感染了恶意软件
10. 除非工业流程所需或者工业控制系统的运营所需,否则禁用Windows脚本宿主环境(WSH)。
11. 如果可能,在工业网络中使用Windows域组策略限制本地系统管理员的SeDebugPrivilege权限(某些软件产品可能需要此类权限,例如Microsoft SQL Server – 请参阅不同系统供应商提供的相关文档)。
3.2、措施列表二(为具有高度信息安全成熟度的组织设计的措施)
在不成熟的组织中应用这些措施可能需要花费大量的时间或资源,需要组织新的网络安全流程、改变人员配置并涉及到其它复杂情况等。
1. 建立企业员工的网络安全培训流程。
· 为员工组织网络安全培训课程,提高他们对现代网络威胁的认识。包括攻击的目标、技术和针对工业企业的攻击场景,以及这些攻击可能对工业流程和业务流程造成的危险,防范攻击和预防事件的方法等。
· 定期组织有关网络威胁和防护方法的培训,重点是关注威胁形势的变化,以及组织新员工的培训。考虑通过培训平台(在线平台或企业平台)、网络研讨会和之前培训课程的录像资料来使员工培训变得更加方便。
· 实施员工简报(关于防范网络威胁)的做法。
· 为企业员工提供信息材料,提醒他们关于防范网络威胁的必要性,可以是海报、宣传册等等。
· 定期组织网络安全演练以及该领域的员工知识审核。
2. 建立工业信息安全和网络防御服务。
· 任命一位负责工业网络信息系统安全防护的官员。
· 使得工业网络的防护成为企业整体信息安全保障流程的一个重要组成部分。
· 组织协调企业中的各种纵向和横向部门/服务的工作,以提供有效的威胁防护,包括工程师、操作员、IT以及IS等。
· 与自动化系统和安全解决方案的供应商建立有关网络安全问题的有效沟通机制。
· 在工业网络中建立信息安全事件的响应流程。
3. 引入针对工业网络信息系统的信息安全状态的定期审核机制。
· 在工业网络的所有主机上盘点运行的网络服务;在可能的情况下,停止(或者,最好是禁用/删除)易受攻击的网络服务(除非这会危及工业流程的持续性)以及自动化系统的运营并不直接需要的其它服务。应特别强调以下服务:SMB/CIFS、NBNS以及LLMNR。
· 审核ICS组件的权限分离,尽量实现最大的访问粒度。
· 审核工业网络及其边界的网络活动。消除工业流程不需要的与外部和其它相邻信息网络的任何网络连接。
· 审核对工业网络的远程访问的安全性;尤其强调是否按照IT安全要求建立了隔离区(DMZ)。
· 审核与可移动媒体及便携式设备的使用有关的策略与实践。阻止那些提供非法访问外部网络和互联网的设备连接到工业网络主机。应尽可能禁用相关端口或使用正确配置的专业工具限制其访问。
· 审核账户和密码策略。用户和服务帐户应该只具有正确操作设施所需的权限。应该尽可能限制具有管理员权限的用户帐户的数量。应使用强密码策略(长度至少为9个字符,包含大小写字母、数字以及特殊字符;不应该包含字典中的单词),并通过域策略强制定期修改密码(例如每90天修改一次)。应尽可能使用更安全的NTLMv2和Kerberos算法替换不安全的身份验证算法(如NTLM)。
4. 在工业网络中建立系统安全漏洞的及时修复流程。
· 访问关于ICS产品、网络设备和通用组件中的漏洞的信息源,建立对此类信息的处理和分析流程。
· 在工业网络及其边界实施系统的定期扫描流程。考虑部署针对工业网络系统的专有漏洞检测工具。
· 针对工业网络中的系统定期进行操作系统、应用软件及安全解决方案的更新。
· 在工业自动化系统和安全仪表系统中及时安装设备固件的更新。
5. 使用下面列出的专业技术来实施自动化的保护机制。通常情况下,一个经过微调的、仔细测试的以及高度发展的信息安全事件监测和响应机制是必要的前提。
· 将应用程序启动控制配置成白名单模式(针对工业网络主机的反恶意软件解决方案通常集成了此类功能)。如果该方案不可行,则将应用程序启动控制配置成监测模式并将相关信息发送给负责信息安全的员工。
· 部署专用工具(针对工业网络主机的反恶意软件解决方案通常集成了此类功能)以确保计算机的完整性,包括操作系统和应用软件(尤其是ICS软件)的关键区域和配置文件。如果该方案不可行,则将完整性控制配置成监测模式并将相关信息发送给负责信息安全的员工。
· 配置外部设备连接控制(针对USB设备、手机等)。
· 启用防病毒解决方案中的主机入侵防御系统(HIPS)组件。
· 部署用于盘点连接到工业网络的设备以及控制新设备连接的自动化工具。这需要聘请高素质的专业人员来监测和响应事件。
· 在工业网络中部署专用的网络流量监测、网络异常及攻击检测的工具。大多数情况下,这类工具并不需要对ICS系统的结构和配置做出任何改变,并且可以进行热部署。然而,为了有效使用这些工具,高素质的专业人员、与其它异常检测工具进行集成以及一个高度发展的工业/企业网络信息安全流程可能是必要的前提。
6. 部署用于记录工业网络信息安全事件和相应事件的自动化处理流程的专用工具。
7. 针对相关威胁建立信息收集和处理机制,以确保能够正确和及时地响应新的攻击,并阻止任何事件发生。
· 关于新出现的针对工业企业的攻击和恶意活动的专有威胁情报报告。
· 关于已知攻击者在针对工业企业的攻击中使用的策略、技术和流程(TTP)的分析报告。
· 工业企业的威胁状况报告。
· 工业网络主机的入侵指标(IoC)。
3.3、措施列表三(需要对工业网络的配置和拓扑进行重大更改,并涉及到对企业的信息系统进行重大更改)
1. 请记住,通常情况下完全隔离工业网络和相邻的网络是不可能的。我们建议采取以下措施以在工业网络和具备不同信任级别的其它网络之间提供更安全的远程访问和数据传输:
· 将24小时或定期与外部网络进行连接的系统(移动设备、VPN集中器、终端服务器等)隔离到工业网络的一个单独的部分 – 隔离区(DMZ)。
· 将隔离区中的系统划分子网或虚拟子网(VLAN),严格限制子网之间的访问(只允许必要的通信)。
· 工业网络与外部世界(包括企业的员工网络)之间的所有必要通信都通过DMZ进行。
· 如有必要,在DMZ中部署支持反向连接(从工业网络到DMZ)的终端服务器。
· 从外部访问工业网络时(使用反向连接方法),尽可能使用精简的客户端。
· 阻止从DMZ到工业网络的访问。
· 严格限制组织的网络与其他公司之间的边界路由器上使用的端口和协议的网络流量(如果有信息从一家公司的工业网络传输到另一家公司的话);
· 如果企业的业务流程支持单向通信,我们建议考虑使用数据二极管技术(data diodes)。
2. 在部署和启动新的ICS系统及组件之前,作为新ICS组件评估流程的一部分,我们建议对其进行是否符合安全要求的测试,包括进行漏洞扫描(已知漏洞和新漏洞)。这将有助于显著降低信息安全的成本。
3. 在所有其它条件都相同的情况下,我们建议优先使用考虑了安全性的供应商开发的产品,例如,采取了安全域分割以及MILS(多重独立安全层)等措施。
4. 为了防护中间人攻击,我们建议企业在工业网络内部及其边界都考虑使用强通信加密 – 至少也要在企业的工业流程和业务流程以及设备支持的地方使用强加密。
5. 在某些情况下,即使现有设备不支持此功能,也可以在工业网络的组件之间配置流量加密 – 在这种情况下,可以使用额外的工具。我们建议您咨询您的自动化系统供应商。
6. 对于需要访问工业网络系统的员工,最好使用双因素身份验证。
7. 我们建议部署PKI基础设施,以简化对身份验证和加密过程的支持。
8. 为了减少与供应链攻击(即通过供应商和承包商进行的攻击)相关的风险,考虑通过一种策略、机制或是流程来限制设备(如承包商和工程师的笔记本电脑)连接到工业网络。