您所在的位置: 首頁(yè) >
新聞資訊 >
技術(shù)前沿 >
新型勒索軟件對(duì)制造業(yè)網(wǎng)絡(luò)的影響
新型勒索軟件在2020年嚴(yán)重?cái)_亂了制造業(yè),今年第三季度出現(xiàn)了一種令人不安的趨勢(shì),攻擊者似乎在其勒索軟件運(yùn)營(yíng)中把制造企業(yè)作為攻擊目標(biāo)。
一下是來(lái)自趨勢(shì)科技智能保護(hù)網(wǎng)絡(luò)的數(shù)據(jù),顯示了勒索軟件攻擊行動(dòng)對(duì)不同行業(yè)的影響。
2020年第三季度受勒索軟件影響的行業(yè)
制造設(shè)施一般都是一些大型物理設(shè)備(裝配線,熔爐,電動(dòng)機(jī)等),但是技術(shù)的進(jìn)步和工業(yè)4.0的趨勢(shì)也意味著將計(jì)算機(jī)引入生產(chǎn)和運(yùn)營(yíng)系統(tǒng)中。這些大型工業(yè)設(shè)備由計(jì)算機(jī)控制或監(jiān)控。這些計(jì)算機(jī)又連接到其他計(jì)算機(jī)和網(wǎng)絡(luò),以便傳遞數(shù)據(jù)。
下圖就是工業(yè)控制系統(tǒng)(ICS)的體系結(jié)構(gòu)示意圖。
0級(jí)是大型硬件所在的位置,這些是人們想到工廠或發(fā)電廠時(shí)通常想到的設(shè)備。
但是,要控制和監(jiān)控這些設(shè)備,必須使用2級(jí)計(jì)算機(jī)。人機(jī)界面(HMI)和監(jiān)督控制與數(shù)據(jù)采集(SCADA)計(jì)算機(jī)為運(yùn)營(yíng)員提供了對(duì)工業(yè)設(shè)備的可見性和控制力,而工程工作站則包含了所需的藍(lán)圖、設(shè)計(jì)文檔、設(shè)備人代碼、程序和配置創(chuàng)建最終產(chǎn)品。
在許多情況下,可以在級(jí)別3上找到包含設(shè)計(jì)文件和產(chǎn)品文檔以在工程工作站之間進(jìn)行共享訪問(wèn)的集中式文件服務(wù)器,以及歷史數(shù)據(jù)庫(kù)(包含設(shè)備、性能指標(biāo)和產(chǎn)品質(zhì)量的歷史數(shù)據(jù)庫(kù))。
如果勒索軟件攻擊能夠穿透2級(jí)和3級(jí)計(jì)算機(jī),會(huì)發(fā)生什么?
新型勒索軟件的攻擊目的并非關(guān)閉或削弱受感染的計(jì)算機(jī),能夠有效停用受感染計(jì)算機(jī)的最后勒索軟件是Petya,該勒索軟件于2017年和2018年投入使用。隨后的勒索軟件家族在文件加密方面更加小心,故意將系統(tǒng)文件和可執(zhí)行文件排除在外,因?yàn)殡娔X啟動(dòng)和運(yùn)營(yíng)需要這些文件。其他一切都被加密了。這意味著,如果勒索軟件攻擊運(yùn)營(yíng)技術(shù)(OT)網(wǎng)絡(luò)中的任何控制和監(jiān)控計(jì)算機(jī),則工廠車間不會(huì)突然停機(jī)。
HMI示例
但是,看起來(lái)像上圖的HMI無(wú)法被加載,并且在勒索軟件遭到攻擊后會(huì)出錯(cuò)。
由于勒索軟件的攻擊,HMI可能遇到的漏洞
作為人機(jī)界面,HMI非常依賴于映像文件。HMI中表示的每個(gè)按鈕、值、標(biāo)識(shí)、管道和設(shè)備部件都在HMI軟件目錄的某個(gè)地方有一個(gè)對(duì)應(yīng)的文本文件。不僅如此,包含值、映射、邏輯、閾值和詞匯的配置與映像文件一起存儲(chǔ)在文本文件中。在一起影響人機(jī)界面的勒索事件中,我們發(fā)現(xiàn)88%的加密文件是JPEG、BMP或GIF文件——人機(jī)界面使用的映像。如果所有這些文件都被加密,恢復(fù)受影響的系統(tǒng)將不僅僅是重新安裝ICS軟件。此外,還需要恢復(fù)定制的HMI或SCADA接口。
請(qǐng)注意,勒索軟件不需要直接針對(duì)ICS軟件的進(jìn)程,以使ICS失去能力。通過(guò)對(duì)HMI、SCADA或工程工作站(EWS)所依賴的文件進(jìn)行加密,勒索軟件可以使系統(tǒng)失效,導(dǎo)致運(yùn)營(yíng)員失去查看和控制場(chǎng)景,并最終破壞工廠的生產(chǎn)力。
盜竊設(shè)備運(yùn)營(yíng)信息
在制造環(huán)境中,網(wǎng)絡(luò)文件共享實(shí)際上是必要的。在運(yùn)營(yíng)方面,工程師和設(shè)計(jì)師不僅將其作為共享設(shè)計(jì)和工程文檔的手段,而且還將其作為參考文件、指導(dǎo)方針、部件列表、工具和工作流的存儲(chǔ)庫(kù)。
在業(yè)務(wù)運(yùn)營(yíng)方面,管理人員和員工使用網(wǎng)絡(luò)共享存儲(chǔ)有關(guān)供應(yīng)商、供應(yīng)商、采購(gòu)訂單、發(fā)票等信息。專門的供應(yīng)鏈管理(SCM)或產(chǎn)品生命周期管理(PLM)系統(tǒng)及其相關(guān)的數(shù)據(jù)庫(kù)甚至可以在4級(jí)或5級(jí)找到。
盡管影響這些文件存儲(chǔ)庫(kù)和數(shù)據(jù)庫(kù)的勒索軟件攻擊不一定會(huì)破壞生產(chǎn)線,但它會(huì)妨礙商業(yè)運(yùn)營(yíng)、供應(yīng)鏈管理以及產(chǎn)品工程和設(shè)計(jì)。不幸的是,這些只是短期后果?,F(xiàn)代勒索軟件的操作還涉及數(shù)據(jù)盜竊,這會(huì)造成永久性影響。
在Maze勒索軟件的勒索模式影響下,勒索軟件組織利用現(xiàn)成的文件備份工具,竊取受害者的數(shù)據(jù)幾乎成為了標(biāo)準(zhǔn)做法。最初,這樣做的目的是為了增加受害者支付贖金的可能性,因?yàn)閿?shù)據(jù)泄漏會(huì)帶來(lái)額外的敲詐攻擊。然而,勒索軟件受害者的數(shù)據(jù)也被泄漏給或在地下出售。這對(duì)企業(yè)來(lái)說(shuō)尤其不幸,因?yàn)樵O(shè)計(jì)和工程文件可能包含知識(shí)產(chǎn)權(quán)。此外,供應(yīng)商和供應(yīng)商信息可能包含機(jī)密的供應(yīng)鏈數(shù)據(jù),如定價(jià)和訂單信息。
制造公司應(yīng)該考慮這些可能性,以防他們遇到勒索軟件事件。一旦生產(chǎn)和業(yè)務(wù)操作恢復(fù),就需要對(duì)被盜數(shù)據(jù)進(jìn)行評(píng)估。之后,組織應(yīng)該問(wèn)自己一個(gè)問(wèn)題:如果數(shù)據(jù)泄漏或出售,對(duì)生產(chǎn)、業(yè)務(wù)關(guān)系和客戶的影響是什么?這個(gè)問(wèn)題的答案將指導(dǎo)制造公司的事后分析行動(dòng),并使其能夠制定更有效的響應(yīng)策略。
這些年來(lái),勒索軟件通過(guò)電子郵件附件或惡意網(wǎng)站安裝的事件大幅減少(見圖4)。然而,從新聞標(biāo)題來(lái)看,很多人可能認(rèn)為勒索軟件的數(shù)量并沒有減少。
趨勢(shì)科技多年來(lái)檢測(cè)到的勒索軟件都是以電子郵件附件或惡意網(wǎng)站開始發(fā)起攻擊的
這背后的原因是,在過(guò)去幾年里,勒索軟件的攻擊者對(duì)他們的目標(biāo)變得更加有選擇性。他們已經(jīng)開始擺脫大規(guī)模傳播勒索軟件垃圾廣告的做法,開始采用一種被稱為“大獵物搜尋”(big game hunting)的精準(zhǔn)方法。這意味著勒索軟件攻擊者不再不關(guān)心那些個(gè)體受害者,而是更感興趣那些大中型企業(yè)。這種轉(zhuǎn)變背后的原因是,勒索軟件攻擊者現(xiàn)在對(duì)大中型企業(yè)的攻擊,每次都會(huì)獲得很大的賠償。
對(duì)大中型企業(yè)的攻擊更加復(fù)雜,需要更多的時(shí)間來(lái)觀察、追蹤和行動(dòng)。這就是為什么大多數(shù)影響大型行業(yè)(如制造業(yè))的勒索軟件家族被稱為“侵入后勒索軟件(post-intrusion ransomware)”。簡(jiǎn)而言之,攻擊者在安裝勒索軟件之前就已經(jīng)通過(guò)其他途徑進(jìn)入了網(wǎng)絡(luò)。
影響制造業(yè)網(wǎng)絡(luò)的不同勒索軟件家族在2020年第三季度的分布
在2020年第三季度,大多數(shù)影響制造業(yè)的勒索軟件都是入侵后勒索軟件。比如在第三季度期間影響了大部分制造網(wǎng)絡(luò)的勒索軟件Sodinokibi,是在攻擊者獲得訪問(wèn)易受攻擊的Oracle WebLogic服務(wù)器的權(quán)限后安裝的。Gandcrab通常是在攻擊者利用易受攻擊的面向公眾的MySQL服務(wù)器后安裝的。勒索軟件Ryuk是由攻擊者安裝的,他們已經(jīng)通過(guò)Emotet惡意軟件在網(wǎng)絡(luò)中獲得了一席之地。安裝Sodinokibi、Medusalocker、Crysis和其他勒索軟件的攻擊者被認(rèn)為濫用弱RDP憑據(jù)。
更重要的是,這表明勒索軟件事件不是單一的事件。相反,它是幾個(gè)安全問(wèn)題的外在表現(xiàn),使攻擊者能夠進(jìn)入網(wǎng)絡(luò),橫向移動(dòng),并確定關(guān)鍵資產(chǎn)進(jìn)行勒索。
最近關(guān)于制造業(yè)的數(shù)據(jù)和ICS系統(tǒng)中勒索軟件的模式都表明,在非軍事區(qū)(DMZ)和網(wǎng)絡(luò)分割中可能存在漏洞。這些因素使得IT網(wǎng)絡(luò)中的攻擊方案能夠穿越到OT網(wǎng)絡(luò)中。另一個(gè)可能的問(wèn)題是,有些直接到OT網(wǎng)絡(luò)的遠(yuǎn)程訪問(wèn)連接很弱或無(wú)法解釋。然而,當(dāng)勒索軟件事件得到緩解,生產(chǎn)和運(yùn)營(yíng)能夠恢復(fù)時(shí),真正的恢復(fù)并不會(huì)結(jié)束。當(dāng)最初解決了導(dǎo)致勒索軟件感染的安全漏洞時(shí),它就結(jié)束了。
保護(hù)制造網(wǎng)絡(luò)
正如我們?cè)谶^(guò)去幾年所看到的,制造業(yè)的網(wǎng)絡(luò)和其他行業(yè)的網(wǎng)絡(luò)一樣容易被破壞。即使有專門的設(shè)備、軟件、協(xié)議和網(wǎng)絡(luò)分段,攻擊者通常也能夠劫持ICS系統(tǒng)。
標(biāo)準(zhǔn)的安全最佳實(shí)踐和解決方案應(yīng)該是有效的,但是應(yīng)該以一種對(duì)生產(chǎn)環(huán)境敏感的方式部署它們。除了安全解決方案的標(biāo)準(zhǔn)能力之外,制造業(yè)的安全官員在評(píng)估安全解決方案時(shí)應(yīng)該考慮的額外要求是:
1.低延遲:解決方案應(yīng)避免干擾對(duì)時(shí)間敏感的生產(chǎn)過(guò)程;
2.了解OT協(xié)議:安全產(chǎn)品應(yīng)正確識(shí)別和監(jiān)控進(jìn)出ICS系統(tǒng)的流量;
3.對(duì)IT和OT網(wǎng)絡(luò)的集成監(jiān)控和檢測(cè):安全策略需要能夠協(xié)同工作并在網(wǎng)絡(luò)段之間發(fā)送數(shù)據(jù)的產(chǎn)品,從而提高易用性并簡(jiǎn)化監(jiān)控和響應(yīng);
原文及參考:https://www.trendmicro.com/en_us/research/20/l/the-impact-of-modern-ransomware-on-manufacturing-networks.html
原文來(lái)源:嘶吼專業(yè)版