至少从2017年开始,对影响工业生产和关键基础设施组织的勒索软件事件的公开披露大幅增加。知名的勒索软件家族,有WannaCry、LockerGoga、MegaCortex、Ryuk、Maze,以及现在的SNAKEHOSE(也称为Snake / Ekans),已经让工业生产行业的受害者付出了数百万美元的赎金和各种成本,这些攻击还对使各组织能够生产和提供货物和服务的物理过程造成重大中断和延误。
最近,随着金融犯罪分子的策略已从机会主义演变为勒索软件攻击策略,研究人员发现攻击者在攻击时的内部侦察的增加,使他们能够瞄准对生产链至关重要的系统。因此,勒索软件感染无论是影响企业网络中的关键资产,还是影响OT网络中的计算机,往往会导致同样的结果,这些攻击最终都会造成产品或服务供应不足或供应延迟。
要真正理解工业部门勒索软件发送操作的独特细微差别,需要结合IT和OT系统的技能和可视性来讲解。使用收集的例子,研究人员将说明勒索软件是如何破坏工业运营能力的?
传统的勒索软件攻击方法主要依赖于一种 叫做“shotgun” 的方法,这种方法包括不加选择地传播恶意软件,以加密来自各种受害者的文件和数据。攻击者使用这种攻击模式的攻击者将向受害者平均勒索500至1000美元,并希望能从尽可能多的人那里得到付款。虽然采用这种方法的早期勒索软件活动通常被认为超出了OT安全的范围,但最近针对整个工业和关键基础设施组织的活动已经转向采用一种更复杂的勒索操作方法。
在勒索软件安全完成后,攻击者可能仍然经常依靠分布广泛的恶意软件来获得对受害环境的初始访问权限,但是一旦进入网络,他们将专注于获得特权访问权限,以便他们能够在部署勒索软件之前探索目标网络并确定关键网络。另外,这种方法还使攻击者可以禁用通常足以检测已知勒索软件指标或行为的安全过程。攻击者投下的监测网可能会影响关键系统,从而给受害者造成最大的痛苦,进而扩大其后期行动的规模和效力。因此,他们在谈判中处于更有利的地位,往往可以要求更高的赎金,这通常与受害者的支付能力和赎金本身的价值相称。
不加区别的勒索软件方法与扫描后开始进行的勒索软件方法的比较
涉及机会性勒索软件部署的历史事件通常仅限于影响单个计算机,其中偶尔包括OT中间系统,这些系统可以通过互联网访问,分段不佳或暴露于受感染的便携式媒体。在2017年,研究人员还观察到诸如NotPetya和BadRabbit之类的活动,在这些活动中研究人员发现了具有蠕虫功能的雨刷恶意软件(wiper malware),通过伪装,在成功安装后,勒索软件会开始进行攻击操作。
当攻击者针对特定行业或组织量身定制攻击时,具有基础设施性质的组织(例如,公用事业,医院和工业制造)和被认为有能力支付赎金的公司(例如,收入更高的公司)成为主要目标。这意味着金融犯罪攻击者将目标扩大到直接处理有市场价值的信息(如信用卡号码或客户数据)的行业,以方便变现。
由于攻击者在进行内部侦察并在部署勒索软件之前,已经横向移动到目标网络中,现在他们可以更好的在整个网络中发起攻击,从而对关键资产发起攻击。
最重要的是,金融攻击者过去经常使用的许多战术、技术和程序(TTP)与过去OT安全事件的攻击生命周期的初始和中间阶段高技能攻击者所采用的策略、技术和程序相似。因此,金融犯罪分子很可能能够转向OT中介系统并在其中间系统部署勒索软件,以进一步破坏运营。
有组织的金融犯罪分子已经显示出破坏OT资产的能力
攻击者通过勒索软件获得经济利益的能力取决于许多因素,其中之一就是破坏与受害组织的核心使命最相关的系统的能力。因此,研究人员可以期望成熟的攻击者逐渐将其选择范围从IT和业务流程扩展到OT资产监视和控制物理流程。这在勒索软件家族中表现得很明显,例如SNAKEHOSE,其设计仅在停止一系列进程后才执行其有效载荷,比如包括来自通用电气(General Electric)和霍尼韦尔(Honeywell)等供应商的一些工业软件。乍一看,SNAKEHOSE的攻击列表似乎是专门为OT环境量身定制的,因为初始分类的自动化工具识别的进程相对较少(但与OT相关的进程数量较多)。然而,在手动从终止进程的函数中提取列表之后,我们确定SNAKEHOSE使用的终止列表实际上针对超过1000个进程。
实际上,研究人员观察到SNAKEHOSE与其他勒索软件家族(包括LockerGoga,MegaCortex和Maze)执行的进程终止列表非常相似。其实,这也不奇怪,在过去的两年中,所有这些代码家族都与影响工业组织的重大事件相关。研究人员确定的最早包含OT处理的列表是2019年1月与LockerGoga一起部署的批处理脚本。该列表与后来在MegaCortex事件中使用的批处理脚本非常相似,尽管有明显的例外,例如与OT相关的流程出现明显的错字,在研究人员的SNAKEHOSE或MegaCortex样本中不存在“proficyclient.exe4”。 SNAKEHOSE和MegaCortex示例中没有这种错别字可能表明这些恶意软件开发者在最初复制LockerGoga列表中的OT进程时已识别并纠正了该错误,或者LockerGoga开发者未能正确地结合某些理论上的进程常见的来源,如下所示。
使用LockerGoga(左)和SNAKEHOSE(右)部署的终止列表中的“proficyclient.exe”的拼写
无论哪个勒索软件家族首先在终止列表中使用了与OT相关的过程,还是由恶意软件开发者获得该列表的位置,该列表似乎在各个恶意软件家族中普遍存在,这表明这个列表本身比任何实现它的恶意软件家族更值得注意。尽管这些列表中标识的OT流程可能只是代表从目标环境自动收集流程的巧合输出,而不是影响OT的有针对性的努力,但此列表的存在为金融犯罪分子提供了破坏OT系统的机会。此外,研究人员预计随着出于财务动机的攻击者继续将工业组织作为攻击对象,对OT更加熟悉并确定IT和OT系统之间的依存关系,他们将开发其他运行工业软件产品和技术的系统和运行环境。
IT和OT系统中的勒索软件部署已经影响了工业生产
由于攻击者采取了提前扫描工业组织系统的策略,并且对工业部门目标的攻击意识增强,因此无论恶意软件是部署在IT还是OT中,勒索软件事件都会影响工业生产。勒索软件事件对公司网络中服务器和计算机的数据进行加密,导致对由OT网络监管的物理生产过程的直接或间接破坏。这导致了最终产品或服务的供应不足或延迟,这代表了长期的经济损失,如失去商业机会、事件响应成本、监管罚款、声誉损害,有时甚至支付了赎金。在某些部门,如公用事业和公共服务,它们一旦停止运转,就会对社会生活产生重要影响。
勒索软件使用IT网络感染工业生产的最著名例子是Norsk Hydro公司 2019年3月遭受的攻击,挪威铝业巨头Norsk Hydro在2019年3月18日和19日的午夜左右发现了这次攻击,研究表明攻击者早在发现漏洞之前就可以访问其系统。据报道,该攻击涉及一个名为LockerGoga的较新的勒索软件,该勒索软件旨在对受感染计算机上的文件进行加密。该事件导致业务流程管理系统(BPMS)中断,迫使多个站点关闭自动化操作。除此之外,勒索软件还中断了通常用于管理整个生产链中的资源的IT系统之间的通信。这些信息流(例如包含产品库存)中断,迫使该公司临时关闭多个工厂并将挪威、卡塔尔和巴西等国家的工厂运营模式改为“可以使用的”手动运营模式,以继续执行某些运营,比如让员工手动处理6500多个库存单位和4000个货架。根据FireEye旗下的公司 Mandiant对一个类似的案例的调查,在该案例中,TrickBot被用于在一家石油钻机制造商处部署Ryuk勒索软件。尽管感染仅发生在公司网络上,但最大的业务影响是由Oracle ERP软件的中断引起的,该中断使公司暂时脱机,并对生产产生负面影响。
当勒索软件到达OT网络中基于IT的资产时,例如人机界面(HMI),监督控制和数据采集(SCADA)软件以及工程工作站,可能会产生类似的结果。大多数设备依赖于易受各种IT威胁影响的商品软件和标准操作系统。 Mandiant Intelligence根据敏感消息源了解到至少有一次事件,该事件是由于大规模勒索软件攻击而导致工业设施停产。由于该设施的网络分段不当,从而使恶意软件从公司网络传播到OT网络,在此OT服务器对服务器,HMI,工作站和备份进行加密。
如果要缓解勒索软件的影响,需要在IT和OT上进行防御
研究人员鼓励所有组织评估与勒索软件攻击有关的安全和工业风险。请注意,这些建议还有助于在面对其他对业务运营的威胁(例如加密采矿恶意软件感染)时增强抵御能力。尽管每种情况都会有所不同,但研究人员重点介绍以下建议。
- 进行渗透测试,以评估你组织的当前安全状况以及对勒索软件威胁做出响应的能力。模拟攻击场景(主要在非生产环境中)以了解事件响应团队对实际事件的意识和响应能力。
- 审查运营、业务流程和工作流,以识别对于维持连续工业运营至关重要的资产。
- 通过基于网络或基于主机的防火墙逻辑隔离主资产和冗余资产,并进行后续的资产加固,例如,禁用通常被勒索软件用于其传播的服务,如SMB、RDP和WMI。除了创建策略来禁用不必要的对等和远程连接之外,我们还建议对可能承载这些服务和协议的所有系统进行常规审查。
- 建立严格的备份制度,应特别注意确保备份的安全性和完整性。另外,关键备份必须保持脱机状态,或至少保持在隔离的网络上。
- 根据恢复时间目标优化恢复计划,在恢复期间引入所需的可选工作流程(包括手动流程),这对于关键资产有限或没有冗余的组织尤其重要。当从备份中恢复时,加强恢复的资产和整个组织的基础结构,以防止重复的勒索病毒感染和传播。
- 建立对OT外围保护设备的明确所有权和管理,以确保可以在企业范围内进行紧急更改。在遏制攻击时,必须保持有效的网络分段。