针对机器的勒索软件:攻击者如何通过攻击IT和OT来破坏工业生产
发布时间:
2020-03-04
来源:
作者:
访问量:
28
摘要:近日,安全公司Fire eye研究人员在其博客中发表文章,表示勒索软件对工业企业的OT构成的威胁日益严重。随着攻击者对内部侦察的技能逐步提高,他们能够瞄准对支持生产链至关重要的系统。传统的勒索软件攻击者采用“散弹枪”方法,不加选择的传播恶意软件以加密来自各种受害者的文件和数据。而目前越来越多的攻击者采取更隐蔽的方法,包括凭证盗窃、内部侦察、横向移动、特权升级以及最后删除备份,最后才触发勒索软件有效载荷。这种变化带来的主要发展是,威胁行为者将越来越多地针对具有高可用性要求的目标公司进行攻击,例如公用事业、医院和工业制造,以及理论上可以支付赎金的高收入公司。此外,所涉及的战术、技术和程序(TTP)反映了技术娴熟的金融犯罪参与者的战术、技术和程序,从而导致金融犯罪专家有可能转向在OT中介系统中部署勒索软件。关键证据是在包括SNAKEHOSE、LockerGoga、MegaCortex和Maze的勒索软件系列中采用了“杀伤力清单”,其中列出了在触发勒索软件有效负载之前要停止的进程的列表。该列表越来越多地针对目标商品资产,最新的SNAKEHOSE勒索软件停止了一系列过程,其中包括通用电气和霍尼韦尔等供应商提供的一些工业软件。
自2017年以来,公开披露的针对工业生产和关键基础设施组织的勒索软件事件大幅增加。诸如WannaCry、LockerGoga、MegaCortex、Ryuk、Maze以及新型的SNAKEHOSE(又名Snake/Ekans)之类的著名勒索软件系列,使各个行业的受害者花费了数百万美元的赎金及附带费用。这些事件还导致组织生产和交付商品和服务的物理流程造成严重的中断和延迟。
尽管已经分享了许多有关受害者和工业勒索软件分发活动的直接影响的信息,但公众舆论仍然没有引起关注。随着金融犯罪分子的策略从机会主义演变为妥协后的勒索软件部署,我们发现对手的内部侦察有所增加,这使他们能够瞄准对支持生产链至关重要的系统。因此,勒索软件感染无论是影响公司网络中的关键资产还是影响OT网络中的计算机,通常导致相同的结果:最终产品或服务的供应不足或供应延迟。
要真正了解工业勒索软件分发操作的细微差别,就需要拥有跨IT和OT系统的技能和可见性。我们将以我们的咨询服务和威胁研究为例,来解释向妥协后勒索软件运营的转变如何助长对手破坏工业运营的能力。
随着行动者转向妥协后部署,工业部门的勒索软件分发构成了越来越大的风险
传统的勒索软件攻击方法主要依靠“散弹枪”方法,该方法不加选择的传播恶意软件以加密来自各种受害者的文件和数据。遵循这种模式的威胁者将向受害者平均勒索500至1,000美元,并希望能从尽可能多的人那里得到付款。尽管通常认为采用这种方法的早期勒索软件活动超出了OT安全的范围,但针对整个工业和关键基础架构组织的近期活动却已朝着采用操作上更复杂的妥协后的方法发展。
在威胁发生后的勒索软件事件中,威胁参与者可能仍然经常依靠广泛分发的恶意软件来获得对受害环境的初始访问权限,但是一旦进入网络,他们将专注于获得特权访问权限,以便他们能够在部署勒索软件之前探索目标网络并确定关键系统。这种方法还使攻击者可以禁用通常足以检测已知勒索软件指标或行为的安全过程。威胁者布下的网可能会影响关键系统,从而给受害者造成最大的痛苦,从而扩大其末期行动的规模和效力。结果是,他们有更好的谈判条件,通常可以要求更高的赎金,通常与受害者的支付能力和赎回资产本身的价值相称。
涉及机会性勒索软件部署的历史事件通常仅限于影响单个计算机,其中偶尔包括OT中间系统,通过互联网访问、分段不良、及暴露的受感染的便携式媒体传播。在2017年,我们还观察到诸如NotPetya和BadRabbit之类的活动,其中发布了带有蠕虫功能的雨刮器恶意软件,以伪装成勒索软件的方式破坏组织。尽管这些类型的活动对工业生产构成了威胁,但采用妥协后的部署却在情节上带来了三大主要转折。
1、当威胁行为者针对特定行业或组织进行攻击调整时,具有高可用性要求的公司(例如,公用事业,医院和工业制造)和被认为有能力支付赎金的公司(例如,收入更高的公司)成为主要目标。这意味着金融犯罪参与者将目标扩大到直接处理有市场价值的信息(如信用卡号码或客户数据)的行业,以包括生产环境的货币化。
2、由于威胁行动者在部署勒索软件之前进行内部侦察和横向移动目标网络,他们现在处于更有利的地位,可以撒开影响目标最关键资产的大网,并在有利位置进行谈判。
3、最重要的是,金融参与者过去经常使用的许多战术,技术和程序(TTP)与过去OT安全事件的攻击生命周期的初始和中间阶段高技能参与者所采用的策略,技术和程序相似。因此,金融犯罪分子很可能能够转向OT中介系统并在其中间系统部署勒索软件,以进一步破坏运营。
有组织的金融犯罪参与者已证明有能力破坏OT资产
行动者从妥协后的勒索软件部署中获取经济利益的能力取决于许多因素,其中之一就是破坏与受害组织的核心使命最相关的系统的能力。因此,我们预计成熟的参与者逐渐将其选择范围从IT和业务流程扩展到OT资产监视和控制物理流程。这在诸如SNAKEHOSE的勒索软件系列中很明显,该软件被设计为仅在停止包括通用电气和霍尼韦尔等供应商的一些工业软件在内的一系列过程之后才执行其有效负载。第一眼看去,由于使用自动工具进行初次分类,识别出的进程数量相对较少(但与OT相关的进程数量很多),因此SNAKEHOSE的攻击列表似乎专门针对OT环境。但是,在从终止进程的函数中手动提取列表之后,我们确定了SNAKEHOSE利用的终止列表实际上针对了1,000多个进程。
实际上,我们观察到与其他勒索软件系列(包括LockerGoga,MegaCortex和Maze)勒索软件一起部署的进程攻击列表非常相似。毫不奇怪,在过去的两年中,所有这些代码家族都与影响工业组织的重大事件相关。我们确定的最早包含OT流程的查杀清单是2019年1月与LockerGoga一起部署的批处理脚本。该清单与后来在MegaCortex事件中使用的批处理脚本非常相似,尽管有明显的例外,例如与OT相关的流程出现明显的错别字在我们的蛇形软管或MegaCortex样品中不存在:“ proficyclient.exe4”。
无论哪个勒索软件家族首先在查杀列表中使用了与OT相关的过程,还是由恶意软件作者获得该列表的位置,该列表似乎在各个恶意软件家族中普遍存在,这表明该列表本身比任何已实施的单个恶意软件家族更引人注目它。尽管这些列表中标识的OT流程可能只是代表从目标环境自动收集流程的巧合输出,而不是影响OT的有针对性的努力,但此列表的存在为金融犯罪分子提供了破坏OT系统的机会。此外,我们希望随着出于财务动机的威胁参与者继续影响工业部门组织,对OT更加熟悉,并确定IT和OT系统之间的依存关系。
IT和OT系统中的勒索软件部署已经影响了工业生产
由于攻击者采取了事后妥协的策略,并且对工业部门目标的意识增强,勒索软件事件有效地影响了工业生产,无论恶意软件是部署在IT还是OT中。勒索软件事件对公司网络中服务器和计算机的数据进行加密,导致对由OT网络监管的物理生产过程的直接或间接破坏。这导致了最终产品或服务的供应不足或延迟并导致长期的经济损失,包括失去了商机、事件响应成本、监管罚款、声誉受损、甚至是有偿赎金。在公用事业和公共服务等某些领域,高可用性对于社会福祉也至关重要。
勒索软件因IT网络感染而影响工业生产的最著名例子是Norsk Hydro于2019年3月的事件,该事件导致业务流程管理系统(BPMS)中断迫使多个站点关闭自动化操作。除其他附带损害外,勒索软件还中断了通常用于管理整个生产链中的资源的IT系统之间的通信。这些信息流(例如包含产品库存)中断,迫使员工确定手动替代方案来处理6,500多个库存单位和4,000个货架。FireEye Mandiant对至少一个类似的案例做出了回应,在该案例中,TrickBot被用于在一家石油钻机制造商处部署Ryuk勒索软件。虽然感染仅发生在公司网络上,但最大的业务影响是Oracle ERP软件的中断,导致公司暂时离线,对生产造成负面影响。
当勒索软件到达OT网络中基于IT的资产时,例如人机界面(HMI),监督控制和数据采集(SCADA)软件以及工程工作站,可能会产生类似的结果。大多数设备依赖于易受各种IT威胁影响的商品软件和标准操作系统。Mandiant Intelligence根据敏感消息源了解到至少有一次事件,该事件是由于大规模勒索软件攻击而导致工业设施停产。该设施的网络分段不当,从而使恶意软件从公司网络传播到OT网络,在此OT服务器对服务器,HMI,工作站和备份进行加密。该机构必须与多个供应商联系以检索备份,其中许多备份已有数十年的历史,
就在2020年2月,网络安全基础设施和安全局(CISA)发布了警报AA20-049A,其中描述了妥协后勒索软件事件如何影响天然气压缩设施OT网络上的控制和通信资产。对HMI,数据历史记录者和轮询服务器的影响导致可用性下降和操作员视野丧失。这有意关闭了持续两天的操作。
减轻勒索软件的影响需要在IT和OT上进行防御
部署勒索软件的威胁参与者在有效性和作为犯罪商业模型方面都取得了长足的进步,给受害者造成了高昂的运营成本。我们鼓励所有组织评估与勒索软件攻击有关的安全和工业风险。请注意,这些建议还有助于在面对业务运营的其他威胁(例如,加密恶意软件感染)时增强适应能力。尽管每种情况都会有所不同,但我们重点介绍以下建议。
1、进行桌面和/或受控制的红色团队演习,以评估您组织的当前安全状况以及对勒索软件威胁做出响应的能力。模拟攻击场景(主要在非生产环境中)以了解事件响应团队如何(或不能)检测,分析并从此类攻击中恢复。根据练习结果重新评估恢复要求。通常,反复练习各种威胁情景将提高对实际事件的意识和响应能力。
2、审查运营,业务流程和工作流,以识别对于维持连续工业运营至关重要的资产。尽可能为关键资产引入冗余,以减少停机时间。正确的数量和类型的冗余对于每个组织来说都是唯一的,可以通过风险评估和成本效益分析来确定。请注意,如果没有业务流程所有者的参与以及跨IT和OT的协作,就无法进行此类分析。
3、通过基于网络或基于主机的防火墙在逻辑上隔离主要资产和冗余资产,并随后进行资产强化(例如,禁用勒索软件通常用于传播其的服务,例如SMB,RDP和WMI)。除了创建策略以禁用不必要的对等和远程连接之外,我们还建议对可能承载这些服务和协议的所有系统进行例行审核。请注意,这种体系结构通常对安全事件更具弹性。
4、在建立严格的备份程序时,应特别注意确保备份的安全性(完整性)。关键备份必须保持脱机状态,或至少保持在隔离的网络上。
5、根据恢复时间目标优化恢复计划。在恢复期间介绍所需的替代工作流程(包括手动)。对于关键资产很少或没有冗余的组织而言,这尤其重要。从备份中恢复时,请加固恢复的资产和整个组织的基础架构,以防止再次发生勒索软件感染和传播。
6、建立对OT外围保护设备的明确所有权和管理,以确保可以在企业范围内进行紧急更改。在遏制和主动入侵期间,必须保持有效的网络分段。
7、寻找中介系统中的对手入侵活动,我们将其定义为使用标准操作系统和协议的联网工作站和服务器。尽管系统远离物理过程的直接控制,但攻击者存在的可能性更高。
8、请注意,每个组织都是不同的,具有独特的内部体系结构和流程,利益相关者的需求以及客户的期望。因此,应在各个基础结构的范围内仔细考虑所有建议。例如,强烈建议进行适当的网络分段以减轻勒索软件的传播。但是,预算有限的组织可能会决定利用冗余资产多样化,基于主机的防火墙和强化功能,以与硬件防火墙隔离。
参考来源:
【1】https://www.fireeye.com/blog/threat-research/2020/02/ransomware-against-machine-learning-to-disrupt-industrial-production.html
【2】https://www.scmagazineuk.com/ransomware-posing-rising-threat-operational-tech-industrial-businesses/article/1675076
天地和兴,勒索软件,OT,Fire,eye,工控安全
上一条:
相关资讯
