俄乌战争加快了工业控制管理系统网络攻击的技战法创新,黎以冲突中的传呼机对讲机爆炸案刷新了对传统网络战的认知,人工智能、大模型降低了攻击者的时空成本。定向ICS恶意软件,PLC武器化、C2化,RTU勒索,OT网络深度横向移动,LOTL攻击,层出不穷;信息战、网络战、情报战到混合战,屡见不鲜,“关基”安全防护从未如此紧迫。
疫情之后网络安全行业并未如预期迎来高光时刻,卷死、死卷成了常态。卷未必是坏事,卷出思路来尝试,卷出时间来思考……OT网络安全如何回归工业本质,如何直面底层防御盲区?如何遏制网络攻击向动能攻击转化?如何守住关基安全最后一公里?强调关注“业务、人员和供应链”者有之,强调安全能力前置的“设计安全和默认安全”者有之,强调系统工程回归的“弹性工程和知情工程”者有之,强调关注“工业风险和安全运营”者有之,倡导内生的“内置安全、内嵌安全、出厂安全”者有之,等等。10月初,“五眼”联盟会同其日、韩、德、荷盟友推出了OT网络安全的六条原则,着重重申并强调了功能安全、业务理解、OT数据、分区隔离、供应链安全、人员意识,以保障OT环境功能安全、网络安全和业务连续性。
OT网络安全深层次问题是什么?ICS攻击技战术发展形态趋势如何?未来产品、服务、解决方案走向何处?安帝科技试图对这样一些问题进行系统思考,尝试探寻自己的解决方案和发展路径。期望与业内同仁一同探讨,共同探索,共同成长。
随着针对关键基础设施勒索软件攻击的日益增多,攻击者对运营技术(OT)资产和控制管理系统的威胁空前增加。鉴于关键基础设施对国家安全的重要性,勒索攻击者将其视为最有利可图的目标。工业网络安全公司Dragos的2024年二季度报告说明,黑客组织通过采用新策略和复杂方法,勒索攻击的频率和严重程度增加,而且目标更加集中在工业部门,尤其是制造业,占所有勒索软件事件的67%。众所周知的Colonial Pipeline和JBS Foods的大规模勒索软件攻击表明,影响OT系统的勒索软件攻击可能会在国家和国际范围内导致非常严重的经济混乱。无论勒索软件是否直接针对OT系统,它都可能对对OT运营产生重大的下游影响甚至严重破坏。多年来,鲜有发现针对OT/ICS的专用勒索软件攻击的事件,但围绕针对性或专用ICS勒索软件的讨论没有停止,无论是出于研究目的提出的LogicLocker、Clearenergy、Scythe、DM-PLC勒索,还是在现实中发现了蛛丝马迹的ICS专用勒索软件EKAHNS以及黑客声称的RTU勒索事件,均表明OT/ICS定向勒索技术的持续不断的发展。未曾发现或很少发现的原因有多方面,比如犯罪分子得不尝失,攻击ICS设备的技术门槛偏高,等等。但有一点不可以忽视,那就是那些拥有充足资源的大玩家,其真实目标并不是勒索赎金,或可能是用勒索掩护其持久攻击控制工业系统的目的。试图说明一般意义上的IT勒索软件攻击和定向OT的勒索软件攻击,可能是困难的,因为OT设备中也有IT系统,IT系统的勒索同样会导致OT系统的运营中断。但将针对工业领域的一般IT勒索软件攻击与定向ICS/OT设备的勒索软件攻击混为一谈,并非明智并且可能是有害的。本文试图聚焦ICS/OT定向(专对于ICS设备如PLC、RTU)勒索软件攻击的演进发展,看到未来有几率发生在ICS/OT设备侧的高级威胁/勒索。一、定向ICS/OT勒索的界定及演进
勒索软件攻击是指在收到赎金之前拒绝用户访问系统的一类网络攻击,它已迅速成为全世界最有利可图的网络犯罪之一,主要是针对企业、政府机构和关键基础设施。与专注于数据窃取或服务中断的传统恶意软件不同,勒索软件独特的商业模式是拒绝访问数据和系统,直到收到付款。勒索软件通过安装程序植入系统,利用侦察模块绘制目标,传播代理扩大感染,逃避模块禁用安全工具,加密引擎封锁数据,赎金界面施压受害者,命令和控制进行远程管理,密码货币模块处理支付,解密框架和擦除模块完成勒索过程,其复杂性远超传统恶意软件,需专门防御。
勒索软件攻击者传统上专注于典型的IT系统,但在过去十年中,他们已将攻击能力扩展到ICS环境。RaaS的普及也降低了瘫痪交通、水利、制造业和医疗保健等关键基础设施的技术门槛。然而,大多数影响工业设施的勒索软件在最初的攻击后仍然依赖于传统的传播方法,缺乏定制的OT攻击功能。尽管如此,由于IT/OT融合而逐步扩大的攻击面为勒索软件渗透到关键任务系统提供了更大的机会。一旦进入ICS环境,即使是传统的勒索软件也会对可用性和安全性造成严重影响。
OT恶意软件是针对操作技术(OT)环境设计的专用软件,主要攻击对象包括工业控制管理系统、监控和数据采集系统(SCADA)以及其他与关键基础设施相关的设备。其最终目的是破坏、操纵或中断关键业务流程,因此导致生产浪费、数据损失或安全风险隐患,可能引发广泛的经济和社会影响。攻击者通过OT恶意软件可以在一定程度上完成对基础设施的渗透,进而实现其破坏性目的。
借鉴OT恶意软件的定义,这里对尝试对定向ICS/OT勒索攻击进行界定,即ICS/OT定向勒索软件攻击(OT-Directed Ransom Attack,ICS-OT Directed Ransomware)是指专对于工业控制管理系统/运营技术环境实施的勒索软件攻击。此类攻击的主要目标是关键基础设施和工业运营,攻击者通过渗透OT网络,控制关键设备或系统,威胁停工、数据泄露或系统破坏,以受害者支付赎金。如果从普渡模型的层次上看,对于Level 3至Level 0层中非IT设备的勒索攻击视为OT定向的勒索软件攻击。
为了系统地分析勒索软件攻击对ICS/OT构成的风险,需要一个结构化的分类法来对针对这些关键系统的勒索软件活动的各种属性进行分类和描述。通常有两种分类思路,一种是基于感染媒介、攻击目标和最终目的的攻击生命周期分类。另一种是以勒索软件架构、功能及其对物理过程操作的影响为中心的技术分类。每个分类法都提供了关于对手策略、勒索软件能力、目标优先级以及针对工业设施和ICS/OT的攻击严重程度的重要视角。
基于OT系统中也有IT有事实,本文的定向OT勒索软件攻击是从攻击目标上进行了区分,即以对典型控制管理系统/控制设备(包含楼宇自动化(BAS)、物理接入控制管理系统(PACS)等)、通信设施、SIS设备的勒索。
另一种分类,即OT感知勒索软件。OT资产知识和工业协议行为来遍历、映射和操纵关键基础设施环境中的操作。一类是协议感知勒索软件:对工业协议进行逆向工程,使勒索软件能够融入或破坏关键的ICS通信。其策略包括:(1)被动解析操作员、传感器、驱动器和控制器之间的协议交换,以映射资产角色。(2)模仿有效的协议对话流和数据类型,在资产之间传播。(3)操纵协议字段和有效载荷内容,以传递恶意代码和配置更改。(4)引入协议级病毒,通过有效的协议消息交换(如客户端-服务器交互)进行自我复制。另一类是针对嵌入式设备的勒索软件:嵌入式设备与ICS/OT基础设施的集成度逐步的提升,催生出专门的勒索软件攻击目标。攻击手段包括:(1)通过滥用开放调试端口、未经验证的固件更新和硬编码凭证,入侵集成的基于微控制器的传感器、驱动器和仪器。(2)通过自动扫描器分析嵌入式 Web和管理界面以查找漏洞。(3)首先入侵具有后端连接的集成 IoT 和边缘设备,从而突破物理隔离。
IT勒索软件攻击是一种高利润的商业操作,专业攻击者期望通过上述三板斧(加密受害者的数据、威胁泄露受害者的隐私数据、威胁攻击受害者的客户)获得高额赎金。但IT勒索者的套路在OT/ICS定向勒索中却难以得逞。从技术上讲,如果加密正确,且攻击者提供了可靠的解密密钥,则解密ICS-OT数据库和进程文件是可能的。但是攻击者先前加密的ICS-OT系统的任何部分,在解密后都可能没办法安全运作。用户都能够根据需要获取解密密钥,但不能将其用于控制关键的面向安全(safety)流程的系统。显然,这一点适用于面向安全(safety)的系统。故仅凭用户数据实施勒索对攻击者而言可能没收益。
勒索软件的攻击方式不断演变,不再局限于传统的数据加密,不再用于敲诈勒索,而是蓄意破坏工业设施、破坏流程,以及直接操纵物理安全系统参数和设置。大量有记录的活动表明,攻击者有意操纵、破坏控制逻辑,迫使涡轮机与发动机等设备处于安全控制之外的物理危险状态,并禁用那些检测和自动缓解不安全状况的内置故障保险装置和人为警报。
攻击者对安全仪表系统、保护继电器、紧急关闭阀和其他网络物理安全机制表现其极大的兴趣,尝试、探索以了解响应情况并评估造成现实世界损害的能力。攻击者还表现出对操纵化学品、石油、天然气和水的物理流量和储罐液位的兴趣,以评估作为环境攻击媒介的潜力。这些技术超越了传统的数据加密,可以故意制造工业事故和损害场景。
尽管有大量针对工业公司和行业的勒索软件攻击,也造成了重大的影响和后果,但它们仍然是以IT系统为攻击目标的勒索,这里讨论的是定向攻击ICS/OT设备的勒索软件。经过文献查询和调研,目前无论存在于实验室环境的概念验证级别的ICS勒索,还是现实案例中已披露的定向的ICS/OT勒索软件,数量确实较少,其示例/实例有如下六种。
在2014年的Black Hat USA安全会议上,佐治亚理工学院(GIT)的研究团队提出了针对ICS/SCADA系统的概念验证(PoC)勒索软件LogicLocker,其概念验证(PoC)展示了勒索软件对工业控制管理系统的潜在威胁。LogicLocker能够识别其在装有PLC软件的计算机上的运作情况、锁定设备并在后台更改PLC参数。该勒索软件主要是针对三种PLC系统:Schneider Modicon M221、Allen Bradley MicroLogix 1400和Schneider Modicon M241。它利用API接口扫描ICS系统内已知安全漏洞设备,通过感染和绕过方式突破安全机制,锁定设备合法用户,并在程序中设置逻辑炸弹,作为赎金勒索之用。
攻击者可能通过复杂的恶意软件注入攻击至少这三种设备,被攻击的设备随后被用来签署恶意交易。一种可能的攻击场景是,勒索软件感染水处理设施的关键网络,改变水处理参数,在饮用水中添加更多的氯或其他化学物质,然后要求巨额赎金来解锁和恢复PLC。
该勒索软件的触发器可能包括对联网ICS设备的初始感染,以及通过内网和感染设备发现存在漏洞和脆弱性的PLC设备。攻击者可通过这些脆弱性进行横向和纵向渗透,最终锁定目标PLC并索要赎金。
2017年4月初,以色列工业网络安全公司CRITIFENCE发布了勒索软件验证模型,基于清除PLC的梯形逻辑图的勒索软攻击的原型,又名能源清除(ClearEnergy)。
ClearEnergy以强大的加密算法感染计算机并加密其内容,然后要求受害者支付赎金来解密该数据。该勒索软件旨在破坏关键基础设施,SCADA和工业控制管理系统中的过程自动化逻辑。如核电厂和设备厂,水和废物设施,运输基础设施等。一旦在受害机器上执行ClearEnergy,它将搜索易受攻击的可编程逻辑控制器(PLC),以便从PLC抓取梯形图逻辑图,并尝试将其上传到远程服务器。最后,ClearEnergy将启动一个定时器,它将触发一个进程,在一小时后从所有PLC中擦除逻辑图,除非受害者愿意支付赎金来停止攻击。
CRITIFENCE公司的科研人员发在2017年还发现两个PLC漏洞:CVE-2017-6032和漏洞CVE-2017-6034。施耐德电气已经证实,Modicon系列PLC产品容易受到CRITIFENCE发现的漏洞所攻击,并发布了重要的网络安全通知。美国国土安全部的ICS-CERT也发布了一项重要的通知表示:施耐德电气确认的基本缺陷允许攻击者轻松猜测一个弱(1字节长度)的会线种可能性),还可以嗅探。使用会话密钥,攻击者能够完全控制控制器,读取控制器的程序并用恶意代码重写。
2017年4月27日在SecurityWeek新加坡ICS网络安全会议上,ICS安全顾问Alexandru Ariciu提出了一个名为“Scythe”的勒索软件概念。概念验证则是由安全公司CRITIFENCE和佐治亚理工学院的研究人员共同开发的,Scythe勒索软件主要是针对的是专用逻辑控制器(PLC)和其他通常被认为风险较低的SCADA设备。
Ariciu在会议上警告说,这些不构成明显风险的任务关键型控制管理系统可能会被利益驱动的网络犯罪分子和其他威胁行为者劫持并利用进行攻击。他指出,这些设备位于现场设备和OPC服务器(例如远程终端单元或RTU)之间,负责很多类型的输入/输出(I/O)系统。这些设备由嵌入式操作系统驱动,并运行Web服务器,且数以千计的此类系统能通过互联网轻松访问,攻击者能够最终靠使用非法版本替换其固件来劫持它们。
Scythe勒索软件的攻击目标是那些能够利用互联网访问的、缺乏身份验证机制的SCADA设备。攻击者通过扫描网络寻找潜在目标,并利用搜索引擎如Shodan或Google来识别这些设备。一旦确定目标,攻击者会通过硬件调试了解设备的工作原理,并开发针对特定产品的漏洞利用。
Scythe的触发器是攻击者成功入侵目标设备并安装恶意固件的时刻。受害者在尝试访问设备时会收到勒索通知,要求支付赎金以恢复设备功能。如果受害者支付赎金,攻击者声称能够恢复设备及其配置,但实际上固件更新功能会被禁用,使得受害者难以自行恢复设备。
Ariciu强调,这种攻击可能会造成严重破坏,因为这些设备通常是任务关键型系统的一部分,受害者支付赎金的可能性较大。他还提到,许多组织承认他们从未考虑过备份配置,尤其是因为这些设备一旦部署就很少重新配置,这可能导致在设备受到攻击时产生严重的后果。
DM-PLC(Dead Man’s PLC)是一种针对操作技术(OT)环境设计的新型网络勒索攻击技术。它利用OT环境中现有的功能和通信机制,创建一个隐蔽的监控网络,将PLC(可编程逻辑控制器)和工程工作站(EW)连接起来,使它们能够相互轮询,监控攻击行为的任何偏差。DM-PLC通过在PLC上部署特殊设计的恶意代码,使得一旦受害者尝试更改受攻击者控制的环境或未及时支付赎金,就会触发类似于“死亡开关”的机制,导致所有PLC将输出设置为“ON”状态,可能在物理环境中造成严重混乱。这种攻击方式规避了现有的响应和恢复策略,因为它不需要对PLC进行系统级访问或修改,而是通过现有的通信和安全功能来实施勒索。
物理环境混乱:DM-PLC激活后,所有PLC的输出可能被设置为“ON”状态,这可能导致物理设备如电机、传送带、阀门等的非预期操作,进而在工业环境中造成混乱和潜在的物理损害。
要求支付赎金:攻击者可能会要求受害者支付赎金以换取停止攻击和恢复系统正常运行的密钥。
系统恢复困难:由于DM-PLC使用现有功能和通信机制,受害者很难在不触发恶意代码的情况下恢复系统。攻击者还可能通过设置密码保护和加密来阻止受害者访问或更改PLC和EW上的配置和代码。
合规性和信任问题:受影响的组织可能面临监管机构的审查,特别是如果它们负责关键基础设施或处理敏感数据。此外,客户和合作伙伴的信任可能受损。
为了防范未来的攻击,组织可能需要加强其OT环境的安全措施,包括改进监控、加强访问控制、定期进行安全审计和更新安全策略。DM-PLC代表了一种新的、更为隐蔽和具有破坏性的网络勒索攻击方式,对OT环境的安全性提出了新的挑战。
EKANS勒索软件于2019年12月首次被发现,代表了针对工业控制系统(ICS)和监控与数据采集(SCADA)环境的网络威胁的显著发展。与主要影响IT网络的传统勒索软件不同,EKANS 专门包含一个旨在终止与ICS操作相关的进程的“终止列表”。这种有针对性的方法反映了一种令人担忧的趋势,即攻击者展示了对ICS特定功能的理解,标志着勒索软件策略的转变。
EKANS勒索实施的前序步骤,通常是通过网络钓鱼或利用漏洞利用渗透到企业网络。一旦进入,恶意软件就可以手动或通过脚本执行。这种方法有利于大规模入侵,使攻击者能够在整个网络中传播勒索软件。
EKANS的主要目标是关键的ICS进程,包括与数据历史数据库和人机界面 (HMI) 相关的进程。通过终止这些进程,EKANS可能导致工业运营的可见性和控制力丧失,这可能对制造业和能源行业造成不利影响。例如,终止与GE的Proficy数据历史数据库相关的进程可能会导致大量数据丢失和运营停机,从而影响整体效率和安全性。据Accenture Security MegaCortex 勒索软件报告,EKHANS拟终止进程列表上有252个进程名。
执行后,EKANS会加密文件并留下勒索信,要求支付解密费用。此类攻击的后果不仅限于直接的经济损失。ICS运营中断可能会导致长时间停机、监管罚款和潜在的安全隐患。组织可能会被迫恢复手动操作,从而导致额外的运营效率低下和风险。
此外,EKANS的广泛影响凸显了资产所有者迫切需要加强其网络安全态势。了解和规划 ICS 资产和连接对于减轻此类勒索软件带来的风险至关重要。EKANS的特殊性强调了主动措施在防御针对关键基础设施的新兴网络威胁方面的重要性。随着勒索软件不断发展,警惕和准备对于保障工业运营至关重要。
2023年1月,GhostSec黑客组织声称成功加密了历史上第一个RTU(远程终端单元),引发了对工业勒索软件关注的新一轮讨论。尽管这一声明的真实性受到质疑,但它确实突显了工业控制系统(ICS)面临的潜在威胁。RTU勒索软件的出现,预示着攻击者可能从传统的IT系统转向针对操作技术(OT)的攻击,尤其是那些对关键基础设施至关重要的系统。
网络安全公司Red Balloon研究人员在后续的分析中指出了RTU勒索的一些挑战,在警告和常规的基础上指出了一个相当极端的步骤:禁用或以其他方式修改工业设备。这表明RTU勒索在技术上是可能的,只不过多数专家认为RTU或PLC级别的“真正”工业勒索软件的要求和影响都使得犯罪分子参与其中的可能性很小。因为回报似乎太微薄,无法证明与此类行动相关的技术投资和政治风险是否合理。
一种更为合理的解释,或者可能代表了一种更隐匿的趋势,国家支持的攻击者使用类似勒索软件的操作作为破坏性网络攻击的掩护。这种伪装成勒索软件的行为已经发生过多次,其效果、影响和误导程度各不相同。
RTU勒索软件的潜在影响是巨大的。它不仅可能导致生产中断和经济损失,还可能引发安全事故和环境风险。与传统的IT勒索软件不同,针对RTU和PLC(可编程逻辑控制器)的攻击可能直接影响到物理过程,造成更严重的后果。
本文梳理的OT/ICS定向勒索软件中,对ICS/OT设备实施攻击的手段囊括了PLC操纵、控制逻辑破坏、固件更新锁定、ICS拒绝服务、工业相关的进程中断、文件加密等,这与IT勒索是不大相同的操作。关注OT/ICS定向勒索,是期望把OT网络安全研究者和从业者的重点聚焦到这些工业设备本身,因为对这类攻击的影响后果更加严重,而识别发现、监测预警、响应处置的难度更大、门槛更高,需要大家更多地研究和分析。未来需要着重关注以下三个方面的进展:
一是虚拟PLC的发展可能为勒索软件攻击创造新的攻击面。西门子的S7-1500、罗克韦尔的Studio 5000、施耐德电气的EcoStruxure Control Expert、三菱电机的GX Works3以及贝加莱自动化的Automation Studio是当前虚拟PLC的代表。这些产品通常通过网络管理,黑客可以利用网络漏洞或弱口令远程攻击。同时,虚拟PLC依赖的软件平台和网络若存在漏洞,可能成为利用的条件。此外,与其他IT系统的集成也可能引入新的风险,配置错误或管理不当更容易受到攻击。相比物理PLC,虚拟PLC缺乏相应的物理安全措施,因此在广泛应用中形成了更大的暴露面。
二是OT定向勒索攻击不一定是加密文件和数据。随着OT(运营技术)环境中针对ICS(工业控制系统)设备的勒索攻击日益增多,攻击者的策略已不再局限于简单的数据加密。本身对OT环境的文件和数据的加密,可能并不能为其带来赎金收益。如今,黑客可以通过攻击PLC(可编程逻辑控制器)、RTU(远程终端单元)等关键设备,实施服务中断、操控设备或威胁泄露敏感信息,从而迫使企业支付赎金。这种攻击不仅可能会引起重大的经济损失,还可能威胁到人员安全和设备正常运行。三是务必警惕以ICS/OT定向勒索为名的APT攻击。在当前针对工业控制管理系统(ICS)的高级持续性威胁(APT)攻击中,攻击者常以伪装成勒索软件攻击的手法掩盖其真实意图。这种策略不仅引发受害者的恐慌,促使其迅速采取措施,如系统关停和支付赎金,从而分散对潜在后门或恶意活动的注意力。这种行为的有效性在于其心理操控,使受害者更关注短期损失而忽视长期安全风险隐患。国家支持的威胁行为者更有意愿使用ICS勒索软件的操作作为破坏性网络攻击的掩护。