工业勒索软件EKANS是何方妖孽?竟然攻击本田汽车和ENEL能源!
发布时间:
2020-06-17
来源:
作者:
访问量:
106
【编者按】近日,网络攻击影响了本田汽车的全球生产,迫使一些工厂停止运营。本田公司怀疑是勒索软件SNAKE攻击了其内部服务器,但称影响较小,大部分工厂到周二已恢复生产。欧洲能源公司Enel Group同样遭受了勒索软件SNAKE攻击,导致内部IT网络中断。当前受疫情影响,大多数企业发展放缓,但针对工业企业组织的攻击活动一刻也未停止。这两起典型的攻击事件,据分析攻击向量可能是企业网络开放的远程访问服务(远程桌面RDP),而且确定使用了勒索软件EKANS/SNAKE。这在未部署适当的网络安全措施的情况下是相当危险的,不仅会大大增加对IT的威胁,而且还会打开对OT网络攻击的方便之门。虽然两起事件似乎并未勒索成功,影响较小。但专门针对工业控制系统的勒索软件EKANS/SNAKE被用来攻击能源、制造业,给广大工业企业的资产所有者和运营者再次敲响警钟,危险时刻存在,危机慢慢逼近。
一、本田汽车和ENEL能源受攻击概况
(一)ENEL遭受攻击回顾
6月7日晚,欧洲能源公司 Enel Group 遭受了勒索软件Snake 攻击,其内部IT网络中断,所有连接已于6月8日凌晨安全恢复。同样是在 6月7日,日本本田汽车制造公司也遭受了勒索软件 Snake 的攻击。
Enel集团发言人表示,在防病毒系统检测到勒索软件之后,周日晚上,其内部 IT 网络中断。为了预防起见,公司暂时对企业网络和生产网络进行了隔离,以进行旨在消除任何残留风险的所有干预措施。
这些连接已在周一(8日)清晨安全恢复。与其配电资产和发电厂的远程控制系统有关的关键问题尚未发生,客户数据也未公开给第三方。由于内部IT网络的暂时阻塞,客户服务活动可能会在有限的时间内发生临时中断。
Snake部署在目标网络后,它将对内部域和IP地址进行检查,以确认它是否在正确的网络中运行。如果检查失败,即不符合其预设条件,Snake 将不会执行任何加密。Enel没有对攻击中使用的勒索软件的名称发表评论,但安全研究人员 Milkream 在 6月7日发现了提交给VirusTotal的SNAKE/EKANS样本,表明它检查了enelint.global 域。该域名目前归Enel所有,并在上线时重定向到公司的国际网站页面。同一个域连接到美国和意大利的Enel地址,后者指向公司开展业务的意大利网站。Milkream 的分析表明在恶意软件示例中显示了字符串“enelint.global”以及内部 IP 地址的检查。没有关于攻击者如何设法获得网络访问权限的详细信息,但常见的攻击入口是暴露的远程桌面连接(RDP),通常用于远程支持/维护。
CronUp的安全研究员German Fernández 发现这ENEL和本田公司有暴露在互联网上的RDP服务。更重要的是,暴露的连接是针对“enelint.global”和“mds.honda.com”上的计算机的。根据 Enel及本田公司的声明,来自Snake勒索软件的攻击未成功。但是,尚不清楚攻击者何时进入网络以及是否有充足时间窃取任何数据。
(二)本田汽车制造公司遭受攻击回顾
本田汽车网络遭受勒索软件 Snake 攻击,部分产线 6月8日停工,可能和遭到勒索软件攻击有关。本田周一发布公告,指出 6月7日公司发现“电脑网络毁损造成无法连线”,因而影响业务运作,本田也取消了部分工厂作业。本田没有说明关闭了哪个厂区及断线原因为何,只说目前正在调查中。不过安全专家认为,可能和勒索软件有关,但根据防病毒服务VirusTotal 6月8日显示,本田一台服务器遭到名为Ekans的勒索软件感染。英国媒体 Teiss 报导,这家日本汽车大厂位于美国、欧洲及日本分公司的服务器遭黑客勒索软体攻击,使电脑和其他装置无法作业,至少造成美国厂区运作停摆,只好要求员工回家。 Ekans为勒索软件Snake的变种。Snake今年5月初也攻击了欧洲最大医疗设备经销商和医疗管理业者费森尤斯集团,全球各地分公司电脑遭到加密。Snake今年初开始崛起,专门攻击大型企业,以加密他们的 IT 系统和资料来勒索受害者以比特币支付赎金。本田是近来众多惨遭勒索软件毒手的知名企业之一。其他受害者还包括台湾多家制造业包括盟立、力成半导体、美国航空服务供应商 VT San Antonio 等等。事实上,本田2017年也因发现 WannaCry,而紧急关闭位于琦玉县的工厂近两天,影响千余辆车的生产。
二、EKANS疑是真凶?
本田没有透露有关威胁的更多细节。但是,攻击发生后不久,网络安全专家于6月8日开始分析上传到 VirusTotal 的恶意软件样本,Malwarebytes 威胁情报总监 Jerome Segura 表示:“通过查看代码,我们发现了与 EKANS/SNAKE 勒索软件有关的几个标记以及包含'honda'字样的多个文本字符串。”
图1 互斥检查
研究人员在他们的实验室中运行了该样本,发现该样本不会加密文件,除非对本田内部域的 DNS 查询会做出响应。
图2 负责DNS查询的功能
通过此在线样本分析,这些事件可能与EKANS/SNAKE勒索软件系列有关。同样的逻辑出现在同时针对 Edesur S.A.的另一起攻击中,Edesur S.A.是 Enel 阿根廷公司的一家公司,该公司在布宜诺斯艾利斯市的能源部门运营。Segura 称:“这使我们相信,Snake团伙很可能是两次袭击的幕后黑手。” Dragos 专家在分析中解释说,Snake 勒索软件于2019年12月出现,在加密文件和显示赎金通知方面,作为勒索软件样本,它的表现“相对直截了当”。然而,Snake 包含了强制停止多个进程的额外功能,包括一些与工业控制系统(ICS)操作相关的进程。分析人士写道,静态“杀戮清单”中列出的具体过程显示,“之前针对工业领域的勒索软件缺乏某种程度的意向性”。为 ICS 定制的组件引起了人们的关注,但总体而言,简单的恶意软件并没有造成重大威胁。Segura 表示,有几个特点让Snake与众不同,勒索软件是用 Go编程语言编写的,与其他形式的恶意软件相比,这“有点不寻常”。它是模糊的,包含特定的构建标识符。在某些(但不是所有)Snake 示例中,存在命令和控制服务器。除此之外,Snake 与其他类型的勒索软件类似,因为它在加密之前删除卷影副本并杀死几个进程。 Malwarebytes 的研究人员在一篇博客文章中说,瞄准的两家公司都公开了一些带有程桌面协议(RDP)访问的机器。RDP 攻击是有针对性的勒索软件操作的常见入口点,但研究人员无法得出结论,这就是攻击者初始突破并进入本田或 Edesur S.A.网络的。ReliaQuest 的企业架构师 Marcus Carey 表示,针对本田的攻击与其他 Snake 勒索软件攻击类似。
图3 Malwarebytes在其平台上查询的结果
表1 两起事件关键信息对照
图4 两起事件关联查询结果(VirusTotal)
种种迹象表明,两起事件归因于EKANS/SNAKE勒索软件。
三、EKANS为何方妖孽?
据工业网络安全公司Dragos今年2月份的报告《攻击ICS的新型神秘勒索软件》,EKANS是一种用Go编程语言编写的混淆勒索软件变体,于2019年12月下旬首次在商业恶意软件存储库中观察到。唯一已知的相关样本具有以下特征:
l File Name:update.exe;
l MD5:3d1cc4ef33bad0e39c757fce317ef82a;
l SHA1:f34e4b7080aa2ee5cfee2dac38ec0c306203b4ac;
l SHA256:e5262db186c97bbe533f0a674b08ecdafa3798ea7bc17c705df526419c168b60。
对二进制文件的分析表明,它使用了多个自定义的Go库来构造和确保执行,由于二进制文件是多个编码的字符串组成,编码的方案又是被标识和可逆的,在沙盒环境中检查编码的字符串以及监视恶意软件的执行,就可以确定勒索软件的程序流,恶意软件会检查受害者系统上是否有互斥值“EKANS”,如果存在,停止并显示一条消息“已经加密!”。否则,将设置Mutex值,并使用标准的加密库函数继续进行加密。受害者系统上的主要功能是通过Windows管理界面(WMI)调用实现的,该调用开始执行加密操作并删除受害者上的卷影复制备份。
在继续进行文件加密操作之前,勒索软件会强制终止(“杀死”)按进程名称列出的进程,该进程名位于恶意软件的编码字符串内的硬编码列表中。Dragos在报告的附录中提供了评估过的具有进程功能或关系的完整列表。虽然某些引用的进程似乎与安全或管理软件有关(例如奇虎360安全卫士和Microsoft System中心),列出的大多数进程都与数据库(例如Microsoft SQL Server)、数据备份解决方案(例如IBM Tivoli)或与ICS相关的进程有关。
EKANS没有内置的扩散或传播机制。相反,它必须以交互方式或通过脚本启动恶意软件以感染主机。因此,EKANS遵循了在Ryuk和MEGACORTEX等其他勒索软件家族中观察到的趋势,这些勒索软件家族中,不会去自我传播,而倾向于对企业网络进行大规模破坏。一旦实现,勒索软件就可以通过脚本、Active Directory攻击或其他机制在整个网络中扩散和有计划传播,以同时实现感染和系统破坏。
与其他勒索软件一样,EKANS会加密数据并向受害者显示一个便条,要求受害者付款以解密数据;该名称来自它作为受害者计算机上的文件标记植入的字符串,以标识其文件已被加密。
但是EKANS还使用另一种技巧来加剧这种痛苦:它旨在终止受害计算机上的64种不同软件进程,包括许多特定于工业控制系统的软件进程。这样一来,它就可以加密那些与控制系统程序交互的数据。与针对工业破坏而专门设计的其他恶意软件相比,这种恶意软件虽然粗糙,但针对性仍然很强,可以破坏用于监控基础设施的软件,例如石油公司的管道或工厂的机器人。这可能会带来潜在的危险后果,例如阻止员工远程监视或控制设备的运行。
EKANS实际上是第二种进入工业控制系统的勒索软件。据Dragos公司称,另一种名为Megacortex的勒索软件毒株于去年春天首次出现,它具备杀死所有相同的工业控制系统过程的功能,实际上可能是同一位黑客开发的EKANS的前身。但是由于Megacortex还终止了其他数百个过程,因此其针对工业控制系统的功能在很大程度上被忽略了。
Sentinel One公司研究者Kremez称,EKANS受害者可能包括巴林的国家石油公司Bapco。这家安全公司从中东的一位客户那里收到了EKANS恶意软件的样本,该客户是从另一个组织在巴林的受感染网络获得的。
目前对EKANS勒索软件的传播机制尚不清楚,但是EKANS的攻击目标已经覆盖了能源(巴林石油、ENEL能源)、汽车制造(本田汽车)、医疗设备经销等多个工业行业,打击工业控制系统已成为其重要目的。多家安全公司的分析均把幕后攻击团队谨慎地指向伊朗,但最终是国家支持的APT团队还是网络犯罪团伙,目前仍然没有定论。无论幕后是哪个国家,哪类组织,不争的事实就是,工业领域已成网络攻防的重点战场,工业企业的资产所有者和运营者必须警醒,危险时刻存在,危机慢慢逼近。
参考资源
1.https://blog.malwarebytes.com/threat-analysis/2020/06/honda-and-enel-impacted-by-cyber-attack-suspected-to-be-ransomware/
2.https://www.dragos.com/blog/industry-news/ekans-ransomware-and-ics-operations/
3.https://www.otorio.com/blog/snake-industrial-focused-ransomware-with-ties-to-iran/
4.https://mp.weixin.qq.com/s/WIJI_FKjGRGvukNodI1hYg
相关资讯
