工業互聯網場景下工業主機防范勒索病毒
近年來,勒索軟件是OT環境中常見的攻擊手段。針對工控系統的網絡威脅大多數與有國家背景支持的攻擊組織有關,關鍵基礎設施和工業企業所面臨的網絡威脅正在逐年增加。工業制造由于十分依賴現代化技術,成為最容易被勒索攻擊的行業。當前已經出現專門針對OT系統的勒索病毒,比如EKANS、Megacortex,也出現了專門攻擊OT系統的勒索組織,如Conti、Lockbit等。
為應對勒索病毒對工控主機帶來的風險,六方云從專業技術視角對勒索病毒對工控系統的威脅、定向攻擊、攻擊方式、攻擊分析、產生的巨大影響以及如何有效防范等方向進行深入剖析,并結合六方云全自研的核心技術和產品給出用戶全面的解決方案,讓用戶免遭勒索病毒的威脅,成為用戶工控主機的“守護神”
01.勒索病毒成為工控系統的最大威脅之一
據中國工業互聯網產業聯盟的《中國工業互聯網安全態勢報告》分析,勒索病毒已成為工業互聯網安全最大的威脅之一。。2021年針對ICS行業的勒索軟件趨勢,其中制造業占65%,其次是餐飲業11%和交通運輸業8%。在制造業中,金屬部件占17%,其次是汽車8%和技術6%。在2021年勒索病毒攻擊工業基礎設施最著名的事件就是美國管道公司科洛尼爾遭受勒索病毒入侵導致全線業務停擺,給美國的能源供應造成重大的危機影響。
02.定向攻擊工控系統的勒索病毒與組織
勒索軟件的攻擊行為也在悄然發生轉變,對象從最初面向個人消費者的安全威脅,完成了向具有高度針對性和定向性的企業級安全威脅的演變。EKANS是一款專門攻擊工控系統的勒索軟件,在2020年針對電力、石油和天然氣、醫療和制藥制造以及汽車行業的公司。另一種名為Megacortex的勒索軟件毒株于2019年春天首次出現,它具備殺死所有相同的工控系統過程的功能,實際上可能是同一位黑客開發的EKANS的前身。但是由于Megacortex還終止了其他數百個過程,因此其針對工控系統的功能在很大程度上被忽略了。本田汽車網絡2020年遭受勒索軟件Snake攻擊,部分產線停工,背后的真兇懷疑是EKANS。
勒索病毒組織專注于竊取數據并通過威脅勒索受害者來獲取經濟利益,如果受害者不支付贖金就發布泄露的數據。不少企業因數據無法使用,為維持業務所需而不得不選擇支付贖金。
03.勒索病毒進入工控系統的常見攻擊途徑與攻擊方式
工控系統的攻擊途徑大體包含內部發起和外部發起兩類。內部發起又可分為自辦公網滲透到工廠網以及車間現場發起攻擊;外部發起包含針對式攻擊(如APT)和撒網式攻擊。通過科洛尼爾事件分析得出,勒索病毒入侵工控系統主要有四個攻擊途徑:工控儀表設備側、互聯網側、供應鏈和內部人。
勒索病毒通過工控儀表設備側進入工控系統的途徑是最容易被忽略,或者不受重視的途徑。通過此途徑攻擊的共同特點是攻擊者必須在比較接近設備的狀態下進行破壞或竊密,常用的攻擊方式有物理破壞、電磁攻擊、光學攻擊、dolphinattack攻擊等。
來自互聯網側的勒索病毒入侵應該是最大的來源,隨著工業互聯網的發展,網絡化和數字化成為提質增效的有效手段, OT與IT走向融合的趨勢不可逆轉,OT和IT之間的邊界變得越來越模糊,OT系統中的網絡大都以太網化、IP化,工控主機不再是專屬計算機系統,而是一臺普通的PC或服務器,來自互聯網側的遠程訪問越來越頻繁和常見。
雖然勒索軟件主要針對企業IT系統,但在許多情況下,勒索軟件確實會直接影響OT,并在集成的IT和OT環境中產生影響。一些勒索軟件運營者在攻擊企業IT時會間接影響OT。一旦攻擊者獲得初始訪問權限,就可以執行勒索軟件,以在關鍵的企業IT系統中站穩腳跟,并可能橫向進入OT系統。在破壞組織后,他們要求受害者支付用于解密文件的密鑰的贖金。通常受害者幾乎沒有辦法恢復其系統功能。
勒索病毒通過供應鏈進入工控系統在當前也變得很常見,近期豐田汽車遭受勒索攻擊導致停產一天就是來自供應鏈攻擊。除了運營管理人員,可將設備帶入工控系統的還有軟硬件供應商。勒索病毒可通過預先感染供應商設備,在工控系統安裝新設備時將勒索病毒融入到工控系統中,再利用勒索蠕蟲病毒內置漏洞在內網中進行橫向滲透,一旦發現存在漏洞,對設備進行感染。
這里說的“內部人”,不完全指懷有惡意的內部雇員,也包括無意或過失將勒索病毒帶入工控系統的內部雇員。比如員工違反網絡安全規定使用了非正常渠道來源的U盤,導致工控主機感染勒索病毒是很常見的威脅來源。
攻擊方式:使用無文件技術規避檢測,比如對內存載荷進行加密、使用多層載荷、使用進程鏤空技術;使用隱寫術規避檢測;利用異常處理機制對抗分析。
04.定向工控系統的勒索病毒攻擊方式分析
為了有效的防范那些專門針對工控系統的勒索病毒,必須要深入分析它們的攻擊途徑、攻擊方式、攻擊行為等。
六方云對科洛尼爾事件的罪魁禍首DarkSide的分析,發現呈現如下特點:不付贖金,就公布敏感信息;只會攻擊付得起錢的公司;采用RaaS運行模式;雙重勒索;和“入口中介”合作;有選擇性攻擊,比如不攻擊俄語系國家。
通過對EKANS勒索病毒的詳細分析,發現EKANS變種很多,而且變化比較頻繁。采用的攻擊技術主要有:通過RDP入侵,通過腳本啟動惡意代碼,針對工控應用進程進行終止。
05.勒索病毒入侵工控系統帶來巨大危害
1)經濟損失和社會影響。比如豐田汽車遭受勒索病毒攻擊導致停產一天,其經濟損失巨大;科洛尼爾事件不僅蒙受了巨大的經濟損失,還造成了重大的社會影響。
2)加密文件。勒索病毒一般通過主機設備對用戶的文件進行加密、覆蓋或破壞掉原始文件,且大部分勒索病毒都具備了蠕蟲病毒的特性,會主動掃描其他被感染的設備,然后尋找有漏洞和脆弱性的設備進行擴散。
3)竊取機密。惡意軟件在攻克并進入工控系統后,根據需求去搭不同的攻擊載荷。可將主機硬盤整個加密或鎖死,從內存或者本地文件系統里提取密碼、控制列表等機密信息,并進行加密,以便將信息傳回惡意軟件的作者用于勒索或其他惡意目的。
4)雙重勒索。攻擊者首先竊取大量敏感商業信息,然后對受害者的數據進行加密,并威脅受害者如果不支付贖金就會公開這些數據,這種勒索策略被稱為“雙重勒索”。傳統的勒索軟件基本信守支付贖金即提供解密密鑰的策略,逐漸演變到從用戶攻擊到有針對性的商業攻擊,現在又增加了數據勒索的雙重危險。這使受害者被迫支付贖金的可能性大幅提高,同時受害者承受著支付贖金后仍被公開數據的風險,以及監管機構對其數據泄露進行處罰的雙重壓力。
06.如何防范勒索病毒撬開工控系統的“上帝之門”,如何保護好工控主機?
從防御者角度看工控安全,有兩個關鍵要防護的節點:工控主機,工控網絡。工控主機號稱是工控系統的“上帝之門”,猶如操作系統的root賬戶,只要突破了它,相當于整個工控系統被完全控制,處于高度風險之中。業界一般大都采用白名單技術去讓工控主機免受威脅,但實踐中看,效果有一些,但還是防不勝防,煩不勝煩,工控主機仍然是病毒纏身。
面對工業互聯網OT與IT融合下的工業環境,六方云參考美國CISA和MS-ISAC聯合發布的《勒索病毒防護指南》和六方云在工控主機安全防護方面的核心技術和產品, “十一把利劍”幫助企業守住工控主機這最后一道防線。護航智能制造、能源、水務、水利等關系國計民生的企業工控系統和工控主機安全。
其中,六方云全自研的工業衛士可支持豐富的外設管控策略、白名單過濾策略、數據防篡改策略、非法外聯管控策略、兼容全系列操作系統和主流工業應用軟件,占用工業主機資源一般小于5%;支持超過一萬臺工業主機的集中管控與遠程運維
一) 確保專門針對工控系統的勒索病毒無機可乘
1)封堵網絡服務端口,靈活控制遠程訪問
支持應用程序白名單、網絡白名單和操作行為白名單。應用程序白名單防護讓惡意程序難以通過篡改其他應用程序、釋放惡意可執行程序等方式達到入侵目的;網絡白名單防護讓諸如蠕蟲病毒難以感染或傳播;操作行為白名單有效防范無文件攻擊等,從而讓工業主機難以通過網絡感染病毒、通過執行惡意程序遭受破壞。
2)行為監測,無懼勒索病毒“變種”
持續加強威脅監測和檢測能力,依托資產可見能力、威脅情報共享和態勢感知能力,具有識別OT資產中存在哪些安全漏洞以及準確評價每個漏洞帶來的風險級別的能力,形成有效的威脅早發現、早隔離、早處置機制。
六方云工業衛士可采用多種行為監測手段來監測勒索病毒的潛在危害行為,從系統內核指令調用、文件異常掃描操作、進程異常控制、注冊表異常操作、系統命令異常調用,端口異常通信等方面進行全面監測,即時感知進程終止、賬戶提權、文件頻繁遍歷等惡意敏感行為,及時對惡意行為進行阻斷攔截,終止繞過白名單技術的惡意行為發作和破壞。
同時,利用行為感知技術,及時修正調整系統的白名單,對惡意文件進行隔離處理,行為感知技術不依賴病毒特征庫,因此不僅能夠有效防范已知勒索病毒,還能應對未知勒索病毒,無懼勒索病毒“變種”,甚至對絕大多數惡意行為已知/未知病毒都能起到免疫的作用。
3)惡意腳本檢測,杜絕躲避進程白名單防護的攻擊行為
勒索病毒常常通過腳本來釋放或啟動惡意程序,而大多數終端防護軟件不會檢查腳本,從而存在勒索病毒逃逸的風險。六方云工業衛士不僅可以制定腳本白名單,還通過分析腳本執行的上下文來檢測惡意的攻擊行為,從而杜絕類似的躲避檢測的事件。
4)非法外聯與隱蔽隧道檢測,讓雙重勒索不能得逞
自從第一個實施雙重勒索的勒索病毒Maze出現后,越來越多的勒索事件效仿這種勒索行為,讓受害者遭受即使支付贖金仍然被公開敏感信息的威脅。實施雙重勒索的前提是勒索病毒必須將受害者的數據通過外聯網絡、隱蔽隧道,甚至加密隧道傳輸到自己所控制的服務器上。
六方云工業衛士具備完整的非法外聯和隱蔽隧道檢測,一旦發現有非法外聯,隱蔽隧道,立即切斷并告警,使得雙重勒索不能得逞。
二)全息可視化工控系統,全面掌握并收縮工控系統攻擊面
5)深度采集工控主機和工控應用信息,在可見的基礎上做好工控系統的“微隔離”增強資產可見性,細化資產訪問控制。員工、合作伙伴和客戶均以身份和訪問管理為中心。合理劃分安全域,采取必要的微隔離,落實好最小權限原則。
6)集中實施“灰過白”,讓提前潛伏進入的勒索病毒“現身”
針對一臺工控主機的防護再好,對于企業運維人員而言也只是散兵游將。可通過監管平臺系統對工業衛士進行遠程策略下發、策略追加、無感升級等各種管理操作,實現跨地區、跨平臺、跨系統的統一管理和狀態監控,實時實現終端的安全運維管理與安全態勢監控。讓工控主機輕裝安全。
工業主機運行的工業軟件通常會升級或打補丁,這時候白名單也需要隨著更新,但這時候重新提取的白名單極可能混雜有惡意程序,通常稱之為“灰名單”,需要經過人工專家分析或威脅情報庫比對進行“灰過白”。六方云工業衛士支持在監管平臺上集中遠程實施“灰過白”操作,避免一個一個的單臺操作,極大提高了安全運維的效率。也讓提前潛伏進入的勒索病毒無處藏身。
7)支持工控主機的99%的操作系統,實現“防護零死角”
當防護軟件存在不適配的操作系統時,就形成了防護盲點和死角。六方云工業衛士支持全系列工業主機操作系統,從而實現全面防護,避免勒索病毒防護的盲點。六方云工業衛士不僅能夠支持常見的Windows操作系統,包括Win XP、Win Vista、Win7、Win8、Win10、Win servers 2008/2012/2016/2019等;還能夠支持Win 2000、嵌入式Windows系統等比較古老的操作系統,徹底杜絕防護盲點,同時,核心功能也覆蓋支持眾多Linux、Unix、國產化操作系統,包括:Redhat、CentOS、Suse、Ubuntu、Solaris、AIX、統信OS、麒麟OS、凝思OS等。
三)圍繞工業數據的全生命周期保護,讓勒索病毒無數據加密
8)針對核心或敏感數據實施重點防護
及時加固主機和終端設備,應強行實施復雜口令策略,杜絕弱口令,并安裝六方云安全衛士并及時更新病毒庫;及時安裝漏洞補丁;六方云工業衛士能夠限制文件及目錄的訪問方式,保證僅有可信軟件可以讀取文件數據,其他程序均不可訪問。當文件系統受到非法入侵時,可以防止文件或數據被篡改,并且對目錄的操作進行全面記錄。實現基于BLP/Biba安全訪問控制模型的許可訪問控制,從而保證了敏感數據不泄露。
9)內存防護技術讓擁有核心或敏感數據的業務進程無法被非法終止
我們現有安全體系大都采用了縱深防御體系,而內存安全定位在主機安全防護的最后一道防線,當攻擊者利用新漏洞或繞過傳統防護措施將惡意代碼悄無聲息的植入到內存時。內存保護系統會對其進行實時監測與攔截。從而達到保護客戶數據安全及業務連續性。
勒索病毒在發作前都會考慮優先終止業務,或者對程序進行注入,解除業務程序對數據文件的占用,趁機接管數據文件的操作權限,對文件進行加密。六方云工業衛士通過內存防護技術實現關鍵進程的內存保護,可以有效攔截可疑進程對業務進程進行的進程終止、進程強制退出、線程終止、線程強制退出、遠程注入等行為,保持關鍵業務程序正常工作的同時,保持業務程序對數據文件的操作權限,讓勒索病毒無法對關鍵業務的數據進行加密篡改,進而無法勒索成功。
四)輕量化防護,避免勒索病毒發起拒絕服務攻擊
10)在確保安全防護效果的前提下,自身資源占用盡可能小
在工業場景下的安全防護系統,特別是要擠占工控設備或工業應用系統原有分配的資源的情況,比如在工控主機上安裝代理程序,在工控網絡部署網絡安全設備等,必要要求安全防護系統自身占用的資源要盡可能少,而且自己對自己占用的資源要自動約束,而不能無限的資源占用擴散。比如部署在工控主機上的安全防護程序占用原有工控主機的內存不能超過10%,CPU不能找過5%,存儲空間不能超過5%,否則就會影響到工控主機上運行的工業應用,比如MES、組態等應用的正常運行,進而影響生產效率,甚至導致生產事故。
六方云工業衛士盡管應用了多種新技術,比如加密、內存監測、行為感知、網絡HOOK、機器學習等,但都是經過六方云超弦實驗室長時間的優化,輕量化處理,從而將自身資源占用控制在上面的要求之類,不僅如此,六方云工業衛士還限定資源占用的額度,絕不允許越雷池半步。
11)確保自身安全性和健壯性,避免勒索病毒先攻破防護系統
當前很多勒索病毒不僅躲避檢測防護,而且在達成目的之前先擊潰防護系統。工業場景下,由于資源有限,勒索病毒會通過某些方式讓防護系統的資源占用飆升,但資源枯竭時,防護系統失靈直到奔潰,然后勒索病毒再搜尋和攻擊目標。
六方云工業衛士開發過程采用了SDL安全開發規范,在發布之前會經過超弦實驗室的多次滲透和灰盒測試,確保程序自身的安全性。同時采用雙守護設計理念確保自身的健壯性,采用資源占用限制技術確保對業務無干擾。
在OT與IT融合的趨勢下,僅僅靠工控主機衛士無法做到全面的安全防范,傳統的安全防御產品已逐漸無法應對越來越嚴重的安全威脅。構建防護監測層、安全運營層、態勢感知層分別實現不同安全功能,融合聯動發展的互聯網安全產品體系將成為未來工業行業發展的重要趨勢。
六方云,不斷進行技術沉淀和技術創新,深耕工業互聯網行業,以“實戰化,體系化,常態化”為目標,努力為工業用戶構建網絡安全綜合防御體系,并在動態防御、主動防御、整體防控、精準防護方面積累了一定經驗。助力工業用戶在等保和關保的積極落實。
(2022.4.19 數說安全報道)
