近年来,勒索软件成为OT环境中常见的攻击手段。针对工控系统的网络威胁大多数与有国家背景支持的攻击组织有关,关键基础设施和工业企业所面临的网络威胁也正在逐年增加。工业制造由于十分依赖现代化技术,已成为最容易被勒索攻击的行业。当前,业界已经出现专门针对OT系统的勒索病毒,比如EKANS、Megacortex,也出现了专门攻击OT系统的勒索组织,如Conti、Lockbit等。
为应对勒索病毒对工控主机带来的风险,六方云从专业技术视角对勒索病毒对工控系统的威胁、定向攻击、攻击方式、攻击分析、产生的巨大影响以及如何有效防范等方向进行深入剖析,并结合六方云全自研的核心技术和产品给出用户全面的解决方案,让用户免遭勒索病毒的威胁,成为用户工控主机的“守护神”。
据中国工业互联网产业联盟的《中国工业互联网安全态势报告》分析,勒索病毒已成为工业互联网安全最大的威胁之一。2021年针对ICS行业的勒索软件趋势,其中制造业占65%,其次是餐饮业11%和交通运输业8%。在制造业中,金属部件占17%,其次是汽车8%和技术6%。在2021年勒索病毒攻击工业基础设施最著名的事件就是美国管道公司科洛尼尔遭受勒索病毒入侵导致全线业务停摆,给美国的能源供应造成了重大的危机影响。
与此同时,勒索软件的攻击行为也在悄然发生转变,对象从最初面向个人消费者的安全威胁,向具有高度针对性和定向性的企业级安全威胁演变。其中,EKANS作为一款专门攻击工控系统的勒索软件,在2020年主要针对了电力、石油和天然气、医疗和制药制造以及汽车行业的公司。另一种名为Megacortex的勒索软件毒株于2019年春天首次出现,它具备杀死所有相同的工控系统过程的功能,实际上可能是同一位黑客开发的EKANS的前身。由于Megacortex还终止了其他数百个过程,因此其针对工控系统的功能在很大程度上被忽略了。本田汽车网络2020年遭受勒索软件Snake攻击,部分产线停工,背后的真凶怀疑是EKANS。
勒索病毒组织专注于窃取数据并通过威胁勒索受害者来获取经济利益,如果受害者不支付赎金就发布泄露的数据。不少企业因数据无法使用,为维持业务所需而不得不选择支付赎金。
03.
勒索病毒进入工控系统的常见攻击途径与攻击方式
工控系统的攻击途径大体包含内部发起和外部发起两类。内部发起又可分为自办公网渗透到工厂网以及车间现场发起攻击;外部发起包含针对式攻击(如APT)和撒网式攻击。通过科洛尼尔事件分析得出,勒索病毒入侵工控系统主要有四个攻击途径:工控仪表设备侧、互联网侧、供应链和内部人员。
勒索病毒通过工控仪表设备侧进入工控系统的途径是最容易被忽略,或者不受重视的途径。通过此途径攻击的共同特点是攻击者必须在比较接近设备的状态下进行破坏或窃密,常用的攻击方式有物理破坏、电磁攻击、光学攻击、dolphinattack攻击等。
来自互联网侧的勒索病毒入侵应该是最大的来源,随着工业互联网的发展,网络化和数字化成为提质增效的有效手段, OT与IT走向融合的趋势不可逆转,OT和IT之间的边界变得越来越模糊,OT系统中的网络大都以太网化、IP化,工控主机不再是专属计算机系统,而是一台普通的PC或服务器,来自互联网侧的远程访问越来越频繁和常见。
虽然勒索软件主要针对企业IT系统,但在许多情况下,勒索软件确实会直接影响OT,并在集成的IT和OT环境中产生影响。一些勒索软件运营者在攻击企业IT时会间接影响OT。一旦攻击者获得初始访问权限,就可以执行勒索软件,以在关键的企业IT系统中站稳脚跟,并可能横向进入OT系统。在破坏组织后,他们要求受害者支付用于解密文件的密钥的赎金。通常受害者几乎没有办法恢复其系统功能。
勒索病毒通过供应链进入工控系统在当前也变得很常见,近期丰田汽车遭受勒索攻击导致停产一天就是来自供应链攻击。除了运营管理人员,可将设备带入工控系统的还有软硬件供应商。勒索病毒可通过预先感染供应商设备,在工控系统安装新设备时将勒索病毒融入到工控系统中,再利用勒索蠕虫病毒内置漏洞在内网中进行横向渗透,一旦发现存在漏洞,对设备进行感染。
这里说的“内部人”,不完全指怀有恶意的内部雇员,也包括无意或过失将勒索病毒带入工控系统的内部雇员。比如员工违反网络安全规定使用了非正常渠道来源的U盘,导致工控主机感染勒索病毒是很常见的威胁来源。
攻击方式:使用无文件技术规避检测,比如对内存载荷进行加密、使用多层载荷、使用进程镂空技术;使用隐写术规避检测;利用异常处理机制对抗分析。
为了有效地防范那些专门针对工控系统的勒索病毒,必须要深入分析它们的攻击途径、攻击方式、攻击行为等。
六方云对科洛尼尔事件的罪魁祸首DarkSide的分析,发现呈现如下特点:不付赎金,就公布敏感信息;只会攻击付得起钱的公司;采用RaaS运行模式;双重勒索;和“入口中介”合作;有选择性攻击,比如不攻击俄语系国家。
通过对EKANS勒索病毒的详细分析,发现EKANS变种很多,而且变化比较频繁。采用的攻击技术主要有:通过RDP入侵,通过脚本启动恶意代码,针对工控应用进程进行终止。
1、经济损失和社会影响。比如丰田汽车遭受勒索病毒攻击导致停产一天,其经济损失巨大;科洛尼尔事件不仅蒙受了巨大的经济损失,还造成了重大的社会影响。
2、加密文件。勒索病毒一般通过主机设备对用户的文件进行加密、覆盖或破坏掉原始文件,且大部分勒索病毒都具备了蠕虫病毒的特性,会主动扫描其他被感染的设备,然后寻找有漏洞和脆弱性的设备进行扩散。
3、窃取机密。恶意软件在攻克并进入工控系统后,根据需求去搭不同的攻击载荷。可将主机硬盘整个加密或锁死,从内存或者本地文件系统里提取密码、控制列表等机密信息,并进行加密,以便将信息传回恶意软件的作者用于勒索或其他恶意目的。
4、双重勒索。攻击者首先窃取大量敏感商业信息,然后对受害者的数据进行加密,并威胁受害者如果不支付赎金就会公开这些数据,这种勒索策略被称为“双重勒索”。
传统的勒索软件基本信守支付赎金即提供解密密钥的策略,逐渐演变到从用户攻击到有针对性的商业攻击,现在又增加了数据勒索的双重危险。这使受害者被迫支付赎金的可能性大幅提高,同时受害者承受着支付赎金后仍被公开数据的风险,以及监管机构对其数据泄露进行处罚的双重压力。
06.
如何防范勒索病毒撬开工控系统的“上帝之门”,如何保护好工控主机?
从防御者角度看工控安全,有两个关键要防护的节点:工控主机,工控网络。工控主机号称是工控系统的“上帝之门”,犹如操作系统的root账户,只要突破了它,相当于整个工控系统被完全控制,处于高度风险之中。业界一般大都采用白名单技术去让工控主机免受威胁,但实践中看,效果有一些,但还是防不胜防,烦不胜烦,工控主机仍然是病毒缠身。
面对工业互联网OT与IT融合下的工业环境,六方云参考美国CISA和MS-ISAC联合发布的《勒索病毒防护指南》和六方云在工控主机安全防护方面的核心技术和产品,“十一把利剑”帮助企业守住工控主机这最后一道防线,护航智能制造、能源、水务、水利等关系国计民生的企业工控系统和工控主机安全。
其中,六方云全自研的工业卫士可支持丰富的外设管控策略、白名单过滤策略、数据防篡改策略、非法外联管控策略、兼容全系列操作系统和主流工业应用软件,占用工业主机资源一般小于5%;支持超过一万台工业主机的集中管控与远程运维。
1)封堵网络服务端口,灵活控制远程访问
支持应用程序白名单、网络白名单和操作行为白名单。应用程序白名单防护让恶意程序难以通过篡改其他应用程序、释放恶意可执行程序等方式达到入侵目的;网络白名单防护让诸如蠕虫病毒难以感染或传播;操作行为白名单有效防范无文件攻击等,从而让工业主机难以通过网络感染病毒、通过执行恶意程序遭受破坏。
2)行为监测,无惧勒索病毒“变种”
持续加强威胁监测和检测能力,依托资产可见能力、威胁情报共享和态势感知能力,具有识别OT资产中存在哪些安全漏洞以及准确评价每个漏洞带来的风险级别的能力,形成有效的威胁早发现、早隔离、早处置机制。
六方云工业卫士可采用多种行为监测手段来监测勒索病毒的潜在危害行为,从系统内核指令调用、文件异常扫描操作、进程异常控制、注册表异常操作、系统命令异常调用,端口异常通信等方面进行全面监测,即时感知进程终止、账户提权、文件频繁遍历等恶意敏感行为,及时对恶意行为进行阻断拦截,终止绕过白名单技术的恶意行为发作和破坏。
同时,利用行为感知技术,及时修正调整系统的白名单,对恶意文件进行隔离处理,行为感知技术不依赖病毒特征库,因此不仅能够有效防范已知勒索病毒,还能应对未知勒索病毒,无惧勒索病毒“变种”,甚至对绝大多数恶意行为已知/未知病毒都能起到免疫的作用。
3)恶意脚本检测,杜绝躲避进程白名单防护的攻击行为
勒索病毒常常通过脚本来释放或启动恶意程序,而大多数终端防护软件不会检查脚本,从而存在勒索病毒逃逸的风险。六方云工业卫士不仅可以制定脚本白名单,还通过分析脚本执行的上下文来检测恶意的攻击行为,从而杜绝类似的躲避检测的事件。
4)非法外联与隐蔽隧道检测,让双重勒索不能得逞
自从第一个实施双重勒索的勒索病毒Maze出现后,越来越多的勒索事件效仿这种勒索行为,让受害者遭受即使支付赎金仍然被公开敏感信息的威胁。实施双重勒索的前提是勒索病毒必须将受害者的数据通过外联网络、隐蔽隧道,甚至加密隧道传输到自己所控制的服务器上。
六方云工业卫士具备完整的非法外联和隐蔽隧道检测,一旦发现有非法外联,隐蔽隧道,立即切断并告警,使得双重勒索不能得逞。
全息可视化工控系统,全面掌握并收缩工控系统攻击面
5)深度采集工控主机和工控应用信息,在可见的基础上做好工控系统的“微隔离”增强资产可见性,细化资产访问控制
员工、合作伙伴和客户均以身份和访问管理为中心。合理划分安全域,采取必要的微隔离,落实好最小权限原则。
6)集中实施“灰过白”,让提前潜伏进入的勒索病毒“现身”
针对一台工控主机的防护再好,对于企业运维人员而言也只是散兵游将。可通过监管平台系统对工业卫士进行远程策略下发、策略追加、无感升级等各种管理操作,实现跨地区、跨平台、跨系统的统一管理和状态监控,实时实现终端的安全运维管理与安全态势监控。让工控主机轻装安全。
工业主机运行的工业软件通常会升级或打补丁,这时候白名单也需要随着更新,但这时候重新提取的白名单极可能混杂有恶意程序,通常称之为“灰名单”,需要经过人工专家分析或威胁情报库比对进行“灰过白”。六方云工业卫士支持在监管平台上集中远程实施“灰过白”操作,避免一个一个的单台操作,极大提高了安全运维的效率。也让提前潜伏进入的勒索病毒无处藏身。
7)支持工控主机的99%的操作系统,实现“防护零死角”
当防护软件存在不适配的操作系统时,就形成了防护盲点和死角。六方云工业卫士支持全系列工业主机操作系统,从而实现全面防护,避免勒索病毒防护的盲点。
六方云工业卫士不仅能够支持常见的Windows操作系统,包括Win XP、Win Vista、Win7、Win8、Win10、Win servers 2008/2012/2016/2019等;还能够支持Win 2000、嵌入式Windows系统等比较古老的操作系统,彻底杜绝防护盲点。
同时,核心功能也覆盖支持众多Linux、Unix、国产化操作系统,包括:Redhat、CentOS、Suse、Ubuntu、Solaris、AIX、统信OS、麒麟OS、凝思OS等。
围绕工业数据的全生命周期保护,让勒索病毒无数据加密
8)针对核心或敏感数据实施重点防护
及时加固主机和终端设备,应强行实施复杂口令策略,杜绝弱口令,并安装六方云安全卫士并及时更新病毒库;及时安装漏洞补丁;六方云工业卫士能够限制文件及目录的访问方式,保证仅有可信软件可以读取文件数据,其他程序均不可访问。
当文件系统受到非法入侵时,可以防止文件或数据被篡改,并且对目录的操作进行全面记录。实现基于BLP/Biba安全访问控制模型的许可访问控制,从而保证了敏感数据不泄露。
9)内存防护技术让拥有核心或敏感数据的业务进程无法被非法终止
我们现有安全体系大都采用了纵深防御体系,而内存安全定位在主机安全防护的最后一道防线,当攻击者利用新漏洞或绕过传统防护措施将恶意代码悄无声息的植入到内存时。内存保护系统会对其进行实时监测与拦截。从而达到保护客户数据安全及业务连续性。
勒索病毒在发作前都会考虑优先终止业务,或者对程序进行注入,解除业务程序对数据文件的占用,趁机接管数据文件的操作权限,对文件进行加密。
六方云工业卫士通过内存防护技术实现关键进程的内存保护,可以有效拦截可疑进程对业务进程进行的进程终止、进程强制退出、线程终止、线程强制退出、远程注入等行为,保持关键业务程序正常工作的同时,保持业务程序对数据文件的操作权限,让勒索病毒无法对关键业务的数据进行加密篡改,进而无法勒索成功。
10)在确保安全防护效果的前提下,自身资源占用尽可能小
在工业场景下的安全防护系统,特别是要挤占工控设备或工业应用系统原有分配的资源的情况,比如在工控主机上安装代理程序,在工控网络部署网络安全设备等,必要要求安全防护系统自身占用的资源要尽可能少,而且自己对自己占用的资源要自动约束,而不能无限的资源占用扩散。
比如部署在工控主机上的安全防护程序占用原有工控主机的内存不能超过10%,CPU不能超过5%,存储空间不能超过5%,否则就会影响到工控主机上运行的工业应用,比如MES、组态等应用的正常运行,进而影响生产效率,甚至导致生产事故。
六方云工业卫士软件尽管应用了多种新技术,比如加密、内存监测、行为感知、网络HOOK、机器学习等,但都是经过六方云超弦实验室长时间的优化、轻量化处理,从而将自身资源占用控制在上面的要求之内,不仅如此,六方云工业卫士还限定资源占用的额度,绝不允许越雷池半步。
11)确保自身安全性和健壮性,避免勒索病毒先攻破防护系统
当前很多勒索病毒不仅躲避检测防护,而且在达成目的之前先击溃防护系统。工业场景下,由于资源有限,勒索病毒会通过某些方式让防护系统的资源占用飙升,当资源枯竭时,防护系统失灵直到崩溃,然后勒索病毒再搜寻和攻击目标。
六方云工业卫士开发过程采用了SDL安全开发规范,在发布之前会经过超弦实验室的多次渗透和灰盒测试,确保程序自身的安全性。同时采用双守护设计理念确保自身的健壮性,采用资源占用限制技术确保对业务无干扰。
在OT与IT融合的趋势下,仅仅靠工控主机卫士无法做到全面的安全防范,传统的安全防御产品已逐渐无法应对越来越严重的安全威胁。构建防护监测层、安全运营层、态势感知层分别实现不同安全功能,融合联动发展的互联网安全产品体系将成为未来工业行业发展的重要趋势。
六方云,不断进行技术沉淀和技术创新,深耕工业互联网行业,以“实战化,体系化,常态化”为目标,努力为工业用户构建网络安全综合防御体系,并在动态防御、主动防御、整体防控、精准防护方面积累了一定经验,助力工业用户在等保和关保的积极落实。