工業控制系統網絡殺傷鏈是由SANS研究所的Michael J. Assante和Robert M. Lee撰寫并于2015的發布的一個報告,該報告介紹了攻擊者攻擊ICS的具體過程,并將這些過程進行抽象,形成ICS網絡殺傷鏈,報告介紹了ICS殺傷鏈的兩個階段,并通過Havex和Stuxnet的案例分析來演示ICS網絡殺傷鏈的實際應用。
從防范與溯源的角度看,工業控制系統網絡殺傷鏈模型中的每個階段或環節都是安全人員做出偵測和響應的機會,不同的環節也對應了不同的偵測與響應措施。該模型給安全人員分析安全事件,構建防護框架提供了參考依據。工業控制系統網絡殺傷鏈模型主要分為兩個階段,下面將介紹兩個階段的主要流程。
(1)工業控制系統網絡殺傷鏈模型第1階段:網絡入侵準備和執行
第1階段與傳統“網絡殺傷鏈”的攻擊相似,主要的目的是獲取工業控制系統的相關信息,尋找突破方法,從而進入工業控制系統
① 計劃階段(Planning)
第1步是計劃階段,主要是對目標進行偵察。偵察是通過觀察或其他檢測方法獲取有關信息的活動,對目標系統進行研究,可以使用Google和Shodan等開源信息收集工具,以及利用公告和社交媒體資料來搜索公開可用的數據。
計劃階段還可以研究工業控制系統漏洞和技術特征,以及了解如何實施攻擊。
② 準備階段(Preparation)
第2步是準備階段,包括武器化或目標定位。武器化就是修改某些正常文件,使其變為網絡武器。目標定位指攻擊者或其代理(如腳本或工具)識別潛在的受害者的過程。
武器化和目標定位不一定全部執行,如攻擊者可以直接通過獲取的憑據進入目標網絡,從而無須武器化的過程。同樣,攻擊者可以將武器化文件發送到多個目標,則攻擊前無須進行專門的目標定位,在獲得初始訪問權限后再進行目標選擇即可。
③ 網絡入侵階段(Cyber Intrusion)
第3步是網絡入侵階段,是攻擊者為了獲得對目標網絡或系統的訪問控制權,而進行的成功或不成功的任何嘗試行為。首先,攻擊者進行惡意投遞,使用某種方法與攻擊目標進行交互,如發送帶有惡意程序釣魚郵件。然后,進行漏洞利用,是攻擊者用來執行惡意操作的手段,如在PDF或其他文件打開時引發漏洞溢出獲取權限,或者利用VPN的訪問憑證直接獲取網絡的訪問權限。
當漏洞利用成功后,攻擊者將安裝遠程訪問工具或者特洛伊木馬等功能組件。攻擊者還可以替換或者修改系統現有功能。
④ 管理和控制階段(Management and Enablement)
第4步是管理和控制階段。攻擊者可以使用先前安裝的功能組件或者盜用注入VPN這樣的可信通信信道實現對目標網絡的管理和控制功能(Command and Control,C2)。
⑤ 維持、鞏固、發展、執行階段(Sustainment、Entrenchment、Development、Execution)
為了達到最終的目標,第5步是維持、鞏固、發展、執行階段。此時攻擊者開始行動,常見的活動包括發現新的系統或數據、在網絡中橫向移動、安裝和執行附加功能、啟動附加功能、捕獲傳輸的通信(如獲取用戶憑證)、收集數據、向攻擊者傳輸數據,以及消除活動痕跡和防止被發現的反取證技術,如清除攻擊活動的痕跡或者在遇到網絡防御者事件響應之類的活動時保護自己的立足點。
大量關于工業控制系統和工業過程、工程和運營的相關信息保存在連接因特網的網絡中。因此,防御者要評估在不受保護的網絡中,存在哪些信息和工具可以幫助攻擊者實現攻擊。還必須注意,攻擊者可以針對供應商或合作伙伴網絡執行第1階段攻擊,以獲得必要的信息。當攻擊者成功破壞了工業控制系統的安全性并且能夠進入第2階段時,第1階段完成。
信息網絡中的違規行為為第1階段的攻擊提供了必要的條件。需要強調的是,如果目標網絡擁有連接因特網的工業控制系統組件,或者關于工業控制系統的重要信息可以通過攻擊第三方獲取,則可以繞過此階段,如Black-Energy系列的惡意軟件就試圖通過攻擊連接因特網的設備進入目標系統。
(2)工業控制系統網絡殺傷鏈模型第2階段:工業控制系統攻擊開發和執行
因為工業控制設備的敏感性,第1階段攻擊操作可能會導致意外的攻擊結果。如嘗 試主動發現工業控制系統網絡上的主機可能會中斷必要的通信或導致通信模塊失效。在第2階段,攻擊者必須利用在第1階段中獲得的信息來專門開發和測試攻擊工業控制系統的方法。
① 攻擊開發和優化階段(Attack Development and Tuning)
第2階段從攻擊開發和優化階段開始,在此階段中,攻擊者需要開發一個專門用于工業控制系統的功能。為了不被發現,攻擊者的開發和優化過程會持續很長時間。
② 驗證階段(Validation)
在開發和優化完成后,下一步就是驗證。在這一階段,攻擊者必須在類似或相同配置的系統中測試攻擊功能,確認該功能是否能對目標系統產生有意義和可靠的影響。即使是簡單的攻擊,如通過增加網絡掃描流量對系統進行拒絕服務攻擊,也需要進行一定程度的測試,以確認掃描可以使系統拒絕服務。若要實現更重要的影響,則需要進行更復雜的測試,如需要獲得真實的物理工業控制系統設備和軟件組件來完成測試。
③ 工業控制系統攻擊階段(ICS Attack)
最終,實現對工業控制系統的實際攻擊。攻擊者將投遞驗證過的惡意程序,安裝或修改現有系統功能,然后執行攻擊。為實現最終的攻擊目的,具體的攻擊可能由很多步驟組成,細分為攻擊準備、攻擊實施和攻擊支持。
回答所涉及的環境:聯想天逸510S、Windows 10。
工業控制系統網絡殺傷鏈是由SANS研究所的Michael J. Assante和Robert M. Lee撰寫并于2015的發布的一個報告,該報告介紹了攻擊者攻擊ICS的具體過程,并將這些過程進行抽象,形成ICS網絡殺傷鏈,報告介紹了ICS殺傷鏈的兩個階段,并通過Havex和Stuxnet的案例分析來演示ICS網絡殺傷鏈的實際應用。
從防范與溯源的角度看,工業控制系統網絡殺傷鏈模型中的每個階段或環節都是安全人員做出偵測和響應的機會,不同的環節也對應了不同的偵測與響應措施。該模型給安全人員分析安全事件,構建防護框架提供了參考依據。工業控制系統網絡殺傷鏈模型主要分為兩個階段,下面將介紹兩個階段的主要流程。
(1)工業控制系統網絡殺傷鏈模型第1階段:網絡入侵準備和執行
第1階段與傳統“網絡殺傷鏈”的攻擊相似,主要的目的是獲取工業控制系統的相關信息,尋找突破方法,從而進入工業控制系統
① 計劃階段(Planning)
第1步是計劃階段,主要是對目標進行偵察。偵察是通過觀察或其他檢測方法獲取有關信息的活動,對目標系統進行研究,可以使用Google和Shodan等開源信息收集工具,以及利用公告和社交媒體資料來搜索公開可用的數據。
計劃階段還可以研究工業控制系統漏洞和技術特征,以及了解如何實施攻擊。
② 準備階段(Preparation)
第2步是準備階段,包括武器化或目標定位。武器化就是修改某些正常文件,使其變為網絡武器。目標定位指攻擊者或其代理(如腳本或工具)識別潛在的受害者的過程。
武器化和目標定位不一定全部執行,如攻擊者可以直接通過獲取的憑據進入目標網絡,從而無須武器化的過程。同樣,攻擊者可以將武器化文件發送到多個目標,則攻擊前無須進行專門的目標定位,在獲得初始訪問權限后再進行目標選擇即可。
③ 網絡入侵階段(Cyber Intrusion)
第3步是網絡入侵階段,是攻擊者為了獲得對目標網絡或系統的訪問控制權,而進行的成功或不成功的任何嘗試行為。首先,攻擊者進行惡意投遞,使用某種方法與攻擊目標進行交互,如發送帶有惡意程序釣魚郵件。然后,進行漏洞利用,是攻擊者用來執行惡意操作的手段,如在PDF或其他文件打開時引發漏洞溢出獲取權限,或者利用VPN的訪問憑證直接獲取網絡的訪問權限。
當漏洞利用成功后,攻擊者將安裝遠程訪問工具或者特洛伊木馬等功能組件。攻擊者還可以替換或者修改系統現有功能。
④ 管理和控制階段(Management and Enablement)
第4步是管理和控制階段。攻擊者可以使用先前安裝的功能組件或者盜用注入VPN這樣的可信通信信道實現對目標網絡的管理和控制功能(Command and Control,C2)。
⑤ 維持、鞏固、發展、執行階段(Sustainment、Entrenchment、Development、Execution)
為了達到最終的目標,第5步是維持、鞏固、發展、執行階段。此時攻擊者開始行動,常見的活動包括發現新的系統或數據、在網絡中橫向移動、安裝和執行附加功能、啟動附加功能、捕獲傳輸的通信(如獲取用戶憑證)、收集數據、向攻擊者傳輸數據,以及消除活動痕跡和防止被發現的反取證技術,如清除攻擊活動的痕跡或者在遇到網絡防御者事件響應之類的活動時保護自己的立足點。
大量關于工業控制系統和工業過程、工程和運營的相關信息保存在連接因特網的網絡中。因此,防御者要評估在不受保護的網絡中,存在哪些信息和工具可以幫助攻擊者實現攻擊。還必須注意,攻擊者可以針對供應商或合作伙伴網絡執行第1階段攻擊,以獲得必要的信息。當攻擊者成功破壞了工業控制系統的安全性并且能夠進入第2階段時,第1階段完成。
信息網絡中的違規行為為第1階段的攻擊提供了必要的條件。需要強調的是,如果目標網絡擁有連接因特網的工業控制系統組件,或者關于工業控制系統的重要信息可以通過攻擊第三方獲取,則可以繞過此階段,如Black-Energy系列的惡意軟件就試圖通過攻擊連接因特網的設備進入目標系統。
(2)工業控制系統網絡殺傷鏈模型第2階段:工業控制系統攻擊開發和執行
因為工業控制設備的敏感性,第1階段攻擊操作可能會導致意外的攻擊結果。如嘗 試主動發現工業控制系統網絡上的主機可能會中斷必要的通信或導致通信模塊失效。在第2階段,攻擊者必須利用在第1階段中獲得的信息來專門開發和測試攻擊工業控制系統的方法。
① 攻擊開發和優化階段(Attack Development and Tuning)
第2階段從攻擊開發和優化階段開始,在此階段中,攻擊者需要開發一個專門用于工業控制系統的功能。為了不被發現,攻擊者的開發和優化過程會持續很長時間。
② 驗證階段(Validation)
在開發和優化完成后,下一步就是驗證。在這一階段,攻擊者必須在類似或相同配置的系統中測試攻擊功能,確認該功能是否能對目標系統產生有意義和可靠的影響。即使是簡單的攻擊,如通過增加網絡掃描流量對系統進行拒絕服務攻擊,也需要進行一定程度的測試,以確認掃描可以使系統拒絕服務。若要實現更重要的影響,則需要進行更復雜的測試,如需要獲得真實的物理工業控制系統設備和軟件組件來完成測試。
③ 工業控制系統攻擊階段(ICS Attack)
最終,實現對工業控制系統的實際攻擊。攻擊者將投遞驗證過的惡意程序,安裝或修改現有系統功能,然后執行攻擊。為實現最終的攻擊目的,具體的攻擊可能由很多步驟組成,細分為攻擊準備、攻擊實施和攻擊支持。
回答所涉及的環境:聯想天逸510S、Windows 10。