《对工控安全威胁最大的五个恶意软件.docx》由会员分享,可在线阅读,更多相关《对工控安全威胁最大的五个恶意软件.docx(4页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、对工控平安威胁最大的五个恶意软件目录编者按1Triton/Trisis 11. Incontroller/PipeDream 2Industroyer/CrashOverride 32. BlackEnergy 3Havex 4编者按提到工控系统恶意软件,人们首先会想第一个能直接攻击0T网络的震网 病毒(Stuxnet),但是震网病毒之后,又涌现大量新型恶意软件,对工控系统 构成严重威胁。近年来,针对工控系统的恶意软件正变得更加复杂且易用。最初的震网病 毒需要通过U盘来潜入伊朗设施,但最新的工控恶意软件工具可通过网络远程 攻击。“较新的0T恶意软件可以通过跨0T网络的中间系统远程部署,使攻击者
2、 更方便地使用它来对付目标。Mandiant的平安研究人员Kapellmann Zafra指 出:“新的工控系统恶意软件更加灵活,可以定制修改,以针对多个目标进行 部署。”Rapid7的首席平安研究员Deral Heiland那么指出,针对工控系统的新型恶意 软件通常利用目标ICS/SCADA环境的正常功能以及相关的管理和控制协议。攻 击者对曾经相对闭塞和晦涩的ICS/SCADA通信协议(例如Codesys和Profinet) 有了更好的理解,并正在利用这些知识开发更复杂的工具。以下是震网病毒之后,专为攻击工控系统而设计的五大恶意软件:1. Triton/TrisisTriton/Trisis
3、被用于2017年针对沙特阿拉伯炼油厂的攻击。该恶意软件针 对施耐德电气的平安仪表系统S)Triconex的多个型号的设备,这些设备被炼油 厂用于监控工厂的管理和硫回收系统。如果恶意软件按预期工作,它可能会引 第1页共5页发爆炸和设施内危险气体的释放。但施耐德电气SIS设备上的平安控制发现了 攻击者安装恶意软件的尝试,并触发了整个炼油厂的自动关闭。Triton/Trisis针对炼油厂的施耐德平安仪表系统而设计。因此,Dragos当时 评估该恶意软件不会对施耐德电气的其他客户环境构成威胁、。但Dragos评估 说,攻击者在攻击中使用的策略、技术和程序会被其他人复制。Mandiant发现该恶意软件有
4、多种功能,包括读写程序和查询施耐德SIS控 制器的状态;向控制器发送特定命令,例如“停止”;并使用恶意负载远程重 新编程它们。Mandiant的Kapellmann Zafra透露:“Triton之所以特别危险,是因为它针 对的是平安系统,这意味着可能存在物理破坏的意图。”他说,该恶意软件针 对特定的资产,此类资产通过一种几乎没有记录的专有协议进行通信,这意味 着攻击者可能需要对工控设备进行逆向工程来开发恶意软件。2. Incontroller/PipeDreamIncontroller/PipeDream是最近才发现的专门攻击工控系统的恶意软件威 胁。美国网络平安和基础设施平安局(CISA)
5、等机构已确定该恶意软件对液化天然 气和电力供应商等能源机构和组织构成严重威胁。Incontroller是Mandiant给该恶意软件的跟踪代号,包含三个恶意软件工 具,针对施耐德电气和欧姆龙的可编程逻辑控制器(PLC)以及任何基于开放平台 通信统一架构(OPC UA)的服务器。攻击者可使用该恶意软件对目标工业环境进 行侦察,并控制PLC,实施可能导致工厂中断、平安故障和潜在物理灾难的破 坏活动。值得注意的是,Incontroller/PipeDream并未利用任何漏洞来破坏目标系 统。相反,它使用Modbus和Codesys这两种常见的工业协议与PLC进行通信 和交互。据Dragos称,该恶意
6、软件利用本机功能的能力使其难以在工业环境中 被发现,该公司给该恶意软件分配的代号是PipeDream。Dragos将该恶意软件 归因于一个可能位于俄罗斯的威胁组织,称之为ChernoviteoIncontroller/PipeDream的三个主要组件是:一个从OPC环境中扫描和收集 数据的工具;一个可以通过Modbus和Codesys识别Schneider和其他基于第2页共5页Modbus的PLC并与之交互的框架;以及专门设计用于通过HTTP和Telnet攻击 Omron设备的工具。目前,Mandiant正在跟踪Tagrun、Codecall和Omshell这三种威胁。Mandiant高级技术
7、分析经理Kapellmann Zafra指出:uIncontroller只需利 用现有资产和协议中的本机功能进行通信,而无需开发复杂的漏洞利 用。”“从本质上讲,它说明攻击者可以只使用设备/网络的本机功能来改变工 控系统的物理流程。”Industroyer/CrashOverrideIndustroyer (也称为CrashOverride)被认为是第一个的仅针对电网的 恶意软件。在2016年12月对乌克兰电网的攻击中,平安研究人员首次观察到 该恶意软件被部署。攻击导致基辅局部地区停电一小时。多家平安厂商将该恶 意软件归因于俄罗斯APT组织Sandworm (沙虫)。该恶意软件的一个显著特点是
8、不针对任何特定技术(工控设备),也不利 用任何漏洞。相反,它使用本地ICS通信协议与工业系统进行交互,攻击者以 不会触发任何警报的方式向它们发出恶意命令。根据ESET和Dragos等公司的分析,Industroyer由四个有效负载组件组 成,这些组件分阶段工作,首先映射目标环境,并找出用于控制高压开关和断 路器的控制变电站。本月早些时候,乌克兰的计算机应急响应小组(CERT-UA)挫败了沙虫组织对 乌克兰电网的新一轮攻击,这次攻击中使用了定制化的新版本Industroyer2,其 中仅包含原始版本四个有效载荷之一。Industroyer Industroyer2和Incontroller的设计
9、方式使其可用于不同的攻击 场景。Mandiant的Kapellmann Zafra指出:“它们可以针对多个受害者部署, 因为它们具有在特定边界内定制攻击的能力一一例如它们使用的通信协议。”BlackEnergyBlackEnergy最初是用于DDoS攻击以及下载垃圾邮件和恶意软件的恶意软 件。该恶意软件最知名的“用例”是2015年12月对乌克兰电力公司 Prykarpattya Oblenerg的网络攻击,该攻击导致30个变电站断电,引发了长达第3页共5页6小时的大停电,影响了大约100个城市。研究人员将这次攻击归因于俄罗斯 的APT组织“沙虫”。在这次攻击中,黑客入侵了电力公司基于Windo
10、ws的人机界面(HMI)系 统,并用它来操纵断路器以触发断电。分析这次攻击的研究人员发现了 BlackEnergy的证据,并在受感染的电力公司的网络上发现了一个名为KillDisk的 擦除器。但目前业界对于BlackEnergy在引发停电中所起的作用依然没有定论。事实上,BlackEnergy是“沙虫”攻击链的一局部,随后又被用于对乌克兰 矿业公司和铁路运营商的攻击,这意味着其对全球各地的工业控制系统环境都 构成威胁。根据美国网络平安和基础设施平安局(CISA)的分析,至少自2011年 以来,美国和其他地方的工控系统环境中涉及BlackEnergy的攻击一直在发生。 CISA确定了几家被Bla
11、ckEnergy瞄准的供应商的HMI产品,包括Siemens、GE 和 Advantech/BroadwinoHavexHavex是一种远程访问木马(RAT),俄罗斯APT组织Dragonfly (又名 Energetic Bear)于2014年首次被观察到用该木马攻击部署在能源部门组织中的 ICS/SCADA系统。最初,Havex被用于从受感染的系统和系统运行的环境中收集 数据。趋势科技的一项分析说明,Havex还可以下载并执行其他代码,这些代码 可以查找并连接到基于开放平台通信(OPC)架构的服务器,并收集以后可能用于 破坏设备的信息。Dragonfly使用Havex的许多早期攻击都针对能
12、源领域的公司,目的似乎是 为了侦察环境。该组织分发Havex的方法主要是通过网络钓鱼电子邮件和入侵 工控系统软件提供商的网站并在其产品中植入恶意代码。2017年,赛门铁克和其他公司报告观察到黑客在攻击中部署Havex恶意软 件,旨在完全控制美国、瑞士和土耳其能源部门组织的操作系统。平安厂商确 定这些攻击至少从2015年12月开始就一直在进行,并为攻击者提供了对控制 电力设施关键设备的系统的完全访问权限。美国政府在2021年8月的一份起诉书(上个月公开)中指控俄罗斯联邦安 全局的三名官员参与了攻击。起诉书显示,攻击者通过后门攻击了众多公司,第4页共5页 包括电力传输公司、公用事业公司、石油和天然气供应商以及核电运营商。根 据报告,Dragonfly在美国和全球其他地方的组织中累计大约17000台设备上安 装了 Havex木马。第5页共5页