失控:工业控制系统勒索软件

摘要 – 勒索软件最近成为网络犯罪的热门新商业模式,对医院进行了高调攻击,揭示了操作关键资产用于获取勒索赎金盈利的技术。同时,由于没有感觉到威胁和现实世界针对ICS攻击的案例较少,工业控制系统(ICS)网络仍然在努力更新其安全措施。 最近的报告表明,ICS网络可能是勒索软件瞄准的下一个领域,但迄今为止所有的攻击只是使用标准的勒索软件攻击个人计算机,攻击的效果有限。 本研究工作中,我们开发了针对可编程逻辑控制器(PLC)的第一个已知版本的勒索软件,讨论这种攻击的经济影响,并为ICS勒索软件设计了一个通用框架,以帮助未来的研究和防御。

1、介绍

工业控制系统(ICS),如提供电力给灯,处理和分配我们从水管喝的水以及制造我们认为理所当然的所有物质产品,迄今为止恶意软件基本上没有涉足,即使数据泄露和企业系统的黑客已经定期成为头条新闻。 发生的几个典型的ICS攻击,例如伊朗核电震网攻击(Stuxnet)和乌克兰停电,都是针对性攻击,实现类似军事目标,而不是经济利益。 然而,近年来显示,大多数恶意软件作者和网络犯罪分子不是国家赞助的军队的阴影武器,而是由财务收益驱动的犯罪分子,他们通过销售和分发恶意软件,僵尸网络和售卖被盗信用卡信息。 ICS网络迄今为止在很大程度上避免了成为网络犯罪的目标,并不是因为它们本质上很安全。事实上,根据卡巴斯基安全情报组(参见参考资料[4])在2016年7月报告中详细描述的猖獗的漏洞和不安全的协议,他们仍然是非常不安全,甚至似乎没有改善。对这种脆弱下的安全的唯一解释是,网络犯罪分子还没有想出如何将他们的业务转化为一个有利可图的商业模式。在典型的企业环境中,对受害者最重要的“如视珍宝”的是公司的数据,恰好这也是攻击者的目标,这就说明了最近勒索软件为什么为取得如此大的成功。然而,在ICS环境中,在制造设施中可能存在一些有价值的知识产权数据,但在电网,水处理和分配以及天然气公用事业中并不多。在这些领域中,公司的“如视珍宝”的最重要的不是任何类型的数据,而是其设施的持续可用性和安全运行。例如,2003年的著名的停电事件影响了美国东北部,并且是由一个简单的软件缺陷造成的,估计的经济成本为7到10亿美元(参见参考资料[3])。制造设施(参见参考资料[16])每小时的系统停机可能会造成数百万美元损失,并且甚至难以衡量家用水龙头或者任何设备流出非干净的水带来的经济损失。考虑到这些经济方面,本文探讨为什么ICS网络可能是勒索软件的下一个目标,我们为可编程逻辑控制器(PLC)(名为LogicLocker)开发了跨厂商勒索软件蠕虫的第一个已知示例。 LogicLocker使用Schneider Modicon M241上的原生套接字API来扫描已知易受攻击目标的网络,即Allen Bradley MicroLogix 1400 PLC和Schneider Modicon M221 PLC,并通过绕过其弱认证机制来感染它们,从而锁定合法用户,为了避免轻松恢复PLC ,用逻辑炸弹替换了程序,如果不及时支付赎金,该炸弹开始操作危险地输出,制造永久性损坏或者伤害人类。 这项工作的主要贡献包括:

  • 工业控制网络中的可编程控制器(PLC)的第一个已知勒索软件实例
  • 可编程控制器(PLC)的第一个跨厂商蠕虫的概念论证
  • 传统勒索软件和ICS勒索软件的经济学的详细比较
  • Shodan上目前可以发现的易受这种攻击影响的设备的调查
  • 解释ICS勒索软件的通用框架,以帮助未来的研究和防御

本文的其余部分安排如下。 第二节介绍了勒索软件和ICS安全领域的相关工作。 第三节描述了我们假设实施这种勒索软件攻击的确切威胁模型,第四节解释了为什么ICS是勒索软件的下一个目标。第五节给出Shodan上最流行的控制器的调查,第六节分析攻击原理,第七节解释LogicLocker和通用ICS勒索软件。 最后,第八节建议对这种攻击提出抗辩,第九节总结结论。

2、相关工作

勒索软件多年来发生了显着变化,恶意软件作者已经学习和调整了他们的分发方法,勒索受害者的方法,以及他们用来持有赎金资产的技术。 在1989年观察到勒索软件的第一个已知例子,当艾滋病毒木马通过纸质邮件分发到软盘上时。 尽管攻击方法具有新颖性,但是由于各种原因,包括无效的分发,小目标池,广泛的强加密无法访问以及国际支付方面的麻烦,这种活动很不成功。 在关于勒索软件演变的赛门铁克报告(参见参考资料[13])中,勒索软件被分为四种主要类型。第一次流行的勒索软件以假应用程序的形式出现,承诺在受害者的计算机中以小额费用修复虚构问题。接下来,攻击者增加了对受害者的假设的威胁,假冒伪造的防病毒程序有希望清除所有的发现与扫描到的感染。随着一般用户变得更加技术和更好地发现这些骗局,攻击者变得更加积极,并开始锁定用户的计算机,通常利用一些执法机构强迫他们支付罚款。再次,一般用户开始学习如何检测这些骗局和合法的安全产品被发布恢复受害者的电脑,没有支付赎金。为了弥补以前在勒索软件中的所有弱点,攻击者最终转移到了加密勒索,以更强的控制受害者的有价值的资产,并放弃试图欺骗用户,而不是选择公开要求付款或他们的数据将被销毁。 正是这种加密的勒索软件最近成为头条新闻,敲诈大笔赔偿10,000美元,恢复公立学校区的记录到17,000美元,在医院恢复病人记录(参见参考资料[15])。联邦调查局估计勒索软件在2015年的成本美国总共2400万美元,成本在2016年前三个月大约2.09亿美元(参见参考资料[8])。随着网络犯罪分子明显抓住勒索软件的盈利能力,他们似乎开始将ICS网络视为下一个潜在的受害者。在Fortinet(参见参考资料[12])今年发布的一份报告中,有证据表明,攻击者似乎改造了他们的标准加密勒索,并特别针对他们在制造设施。 Booz Allen Hamilton的另一份报告(参见参考资料[5])将这一概念推进了一步,推测勒索软件不仅转移到制造业,而且转向攻击PLC本身而不是个人计算机。作为这些预测的真实性的进一步证据,世界正在看到著名的勒索软件攻击越来越接近控制系统。在2016年11月,旧金山的Muni交通系统的售票机被感染了勒索软件,花费几天时间来恢复,并允许乘客在繁忙的感恩节假期周末自由乘坐(参见参考资料[9])。然后,在2017年1月下旬,据报告,勒索软件感染了一个豪华的奥地利酒店,阻止了给客人制作新的房间钥匙卡,基本上锁定他们的房间。由于每个酒店房间每晚花费高达几百美元,受害者决定支付大约1600美元的攻击者来恢复系统并继续正常的业务操作(参见参考资料[7])。虽然还没有任何已知的勒索软件攻击PLC,但还是用其他方式攻击了控制系统。以PLC作为目标的第一个已知恶意软件是Stuxnet,它在2010年被发现重新编程控制伊朗离心机的PLC,并通过篡改旋转速度来销毁它们(参见参考资料[11])。其他概念证明的攻击已经在黑帽会议上展示,将PLC变成具有自传播蠕虫功能的端口扫描器(参见参考资料[10])。

3、威胁模型

本文为勒索软件建议的威胁模型是有组织的网络犯罪,而不是国家支持的攻击者或不熟练的脚本小子。这种区别在攻击的可能性,攻击的动机和目标以及攻击者的技能水平方面是重要的。作为网络安全的普遍规则,攻击者的复杂程度与攻击的频率成反比,其中不熟练的攻击者简单地复用流行的漏洞攻击代码构成了大多数攻击,其次是专业网络犯罪,然后是罕见的国家发起的攻击。在本文中,攻击者被假定为具有在网络通信应用层上操控PLC的足够技能的网络犯罪分子,但缺乏在固件级别为他们想要攻击的每个模型PLC开发利用的技能,资源或动机。通过保持对应用层的攻击,他们能够针对更广泛的受害设备,从而提高他们的预期收益。 网络犯罪攻击者的高级目标是使受害者从系统停机时间中获得足够的收入,并对人员和昂贵的设备造成足够的损害,使得支付赎金比恢复设施运行的其他手段更具吸引力。他通过窃取原有的PLC程序,使用第六节C部分中描述的方法锁定PLC,加密原始程序,以及在PLC代码中添加如果不在指定的时间支付赎金就开启危险的输出量的逻辑炸弹,。此外,最终目标是采取上述两种形式,这取决于攻击者的知识水平。在第一种情况下,攻击者很少或根本不知道控制系统背后的基本物理过程,并且将不稳定地操作所有输出量,以期造成物理损坏。在第二种情况下,对物理过程执行侦察的更有见识的攻击者将精确地知道操作哪些输出量,并且可以在触发逻辑炸弹之前智能地尝试将系统移动到更脆弱的状态。

4、勒索软件的经济学

勒索软件攻击对医院如此成功的一个主要原因是,医院需要患者的数据进行正常运营和为患者提供护理。 工业控制系统遭受类似的需求,绝对需要控制其PLC以继续操作他们的系统,从而为人们的家庭提供电力或制造其产品。

A. 传统勒索软件与工业控制系统勒索软件对比

传统的勒索软件攻击者根据其窃取的数据的价值以及他们瞄准的受害者的人数,仔细考虑了所需的付款,仔细平衡公式“利润=受害人数*价值 – 成本“,以确保保持盈利。一方面,典型的互联网用户,他的照片和个人文档加密,将被要求支付数百美元。考虑到攻击者发起攻击所需的成本或努力,发送大量钓鱼电子邮件,欺骗许多受害者下载勒索软件有效载荷相对便宜。数据的重要性通常不会危及生命,因此只有大约一半的受害者最终支付赎金[6]。即使如此,这种已知的攻击对攻击者仍是有利可图的。因此,当攻击更小的更具体的目标时,只有攻击者所拥有的价值足以弥补了较小的受害人数,该活动才会成功。 另一方面,公司的数据是必须继续正常经营的企业。攻击者妥协的目标较少,但是利益较高,为了平衡权衡,他可以要求数千美元的赎金,仍然导致利润。根据目标,攻击者危害受害者的成本范围从高,对于具有强安全措施的业务,或对于无准备业务的低。通过针对具有传统薄弱的安全实践的网络(例如医院,学校和ICS网络),攻击者将其成本保持在较低水平,并且利润率很高。工业控制系统是一个相对较小的目标集合,所以无论攻击者为赎金持有的资产都必须足够有价值,以便在他有利的情况下仍然平衡权衡方程。 ICS网络通常没有有价值的数据,而是将宕机,设备健康和人员安全的最高价值。因此,勒索软件的作者可以威胁所有三个人提高权衡方程的价值侧,使ICS勒索软件获利。 停机时间。根据受害者的行业,停机时间可能对利润造成轻微或灾难性影响。如前所述,汽车制造商估计每小时停机损失数百万美元的收入,大规模停电可能攀升到几十亿美元的成本。在ICS网络上成功的勒索软件攻击将通过停止操作以及通过窃取PLC上的程序并锁定用户而阻止恢复工作,从而以不可接受的停机时间威胁受害者。此外,如果诸如易腐食品制造的某些过程被勒索软件中断,由于必须冲洗出系统,重新安排设备并在恢复PLC之后重新启动整个过程,受害设备会遭受额外的停机时间。 重要的是要注意,许多设施,特别是小型企业,不对自己的PLC进行编程,而是向第三方原始设备制造商(OEM)或系统集成商支付费用。因此,一旦PLC被感染,恢复不是从头重新刷新固件并重新加载旧程序的简单事情。在某些情况下,第三方编写的程序是他们希望保密的专有软件,这意味着受害设施将不会有程序的备份副本。然后受害者必须联系他们的OEM或集成商并安排维护以修复PLC,可能在过程中增加几天的停机时间。此外,恢复努力的可能性还假定执行编程的各方仍然在业务中并且保持对所有节目的准确备份。最后,攻击者可以妥协的PLC越多,他可以延长恢复过程,导致更多的停机时间,增加他提供的立即恢复的吸引力。 设备健康。 ICS网络的独特特征之一是攻击者还可以与网络的物理世界进行交互,例如加速离心机或打开阀门以泄漏危险化学品。 ICS设备中的损坏设备不仅昂贵,更换或维修,使系统恢复在线所需的停机时间由于生产损失而增加了更多的成本。 成功的勒索软件攻击将包括PLC代码中的逻辑炸弹,其开始操作所连接的机械,目的是造成对设备的物理损坏。 通过执行网络侦察以尝试理解底层物理过程,将系统移动到脆弱状态,以及智能地操作输出以造成最大损害,可以提高这种逻辑炸弹的有效性。 人类安全。 其中一个攻击者从医院学习勒索软件攻击是,当人类在线时,公司愿意支付更高的价格,以确保他们的安全和健康。 因此,威胁设备健康的逻辑炸弹也通过威胁任何附近人员的安全,为攻击增加了更多的价值。 表I总结并比较了最近流行的加密勒索品系和提议的ICS勒索软件之间的类似方面。 同样,我们要强调的事实是,当前的加密勒索已部分有利可图,因为大多数受害者不定期备份他们的数据,因此不能简单地擦除他们的计算机和恢复数据。 类似地,不清楚PLC程序是如何备份的,并且如果备份可用的恢复程序可能涉及更昂贵的停机时间和可能的设备修理。

Alt text

5、目标的脆弱性

除了勒索赎金的数据的关键性质,医院是勒索软件的首要目标的另一个原因是他的安全状态较弱。 同样,在供应商级别和设施级别的ICS网络遭受类似的有缺陷的理念,即不将恶意软件视为现实的威胁,因此他们的网络是更加脆弱。

A. 基于Shodan搜索引擎的设备调查

卡巴斯基安全智能公司在2016年7月对Shodan发现的设备进行了一项调查,重点关注他们发现的惊人数量的已知漏洞[4]。为了补充这项研究,我们对我们自己的简短调查我们目前知道将容易受到这里描述的勒索软件攻击的类型。在我们的实验室测试了来自流行厂商的两个设备,第三个设备在黑帽[14]的演示中被证明是易受影响的。表II总结了研究结果,显示当前攻击面对于希望在联网PLC上开始勒索软件活动的任何攻击者有多大。这只表示总潜在攻击面积的一小部分,因为在受害企业网络上的第一损害设备之后,有成千上万的PLC攻击者可以攻击目标。请注意,这里介绍的三个设备来自三个最受欢迎的PLC供应商。关于供应商如何实现密码认证的文档很难找到,但是这里的调查表明,这是所有供应商的一个常见的不良做法。

Alt text

B. 实验设置

图1所示的用于此概念验证版本的勒索软件的PLC包括Schneider Modicon M221,Allen Bradley MicroLogix 1400和Schneider Modicon M241。 Allen Bradley和Modicon代表了世界上一些最受欢迎的PLC品牌,但是我们要强调的是,多年来大多数PLC都没有正确验证编程登录的公开知识。 对于其他主要供应商,例如西门子,类似的攻击可以很容易地构建,如Black Hat演示文稿[14]所示。

Alt text

例如,MicroLogix 1400 PLC提供的一些安全特性是密码保护(来自编程软件)和一个OEM锁机制,要求用户(从编程软件)已经有一个具有匹配16位的PLC程序,在登录和读取它之前进行位校验和,以保护专有PLC程序免于好奇的用户修改。其他值得注意的功能包括向操作员发送通知的电子邮件客户端和使用非标准ICS协议进行通信的通用套接字接口。最后,为了解决这种选择的网络犯罪经济方面,目前在Shodan可以发现这种模型设备有1400多种。如果攻击者使用勒索软件破坏所有1,400设备,并要求赎金的数量级与学校和医院赎金在15,000美元相同的数量级,攻击者将从这个攻击单独赚取高达2100万美元。通过微小的修改,他可能重复使用相同的代码来瞄准同一PLC系列中的其他模型,以增加他的收入。同样,请注意,此计数仅考虑直接连接到互联网的MicroLogix 1400 PLC。单个大型制造设施可以在其控制网络上具有数百个PLC,攻击者可以通过首先破坏公司网络而纵向移动,从而总计达到成千上万的潜在目标。 为了说明勒索软件攻击如何发生,建立了一个小规模的测试平台,如图2所示,用于模拟城市水处理设施的消毒阶段和存储阶段。 在消毒阶段,输入水的精确比率与氯混合。 在存储阶段,模拟设备保留最小量的预留水,以确保始终满足需求。

Alt text

6、攻击原理的分析

提出的ICS勒索软件攻击的基本步骤包括感染,渗透,锁定,加密,最后勒索。 整个过程的时间线在图3中示出,其中表III到VII列出了攻击者在每个步骤处可用的选项。

Alt text

A、感染

如第五节所示,目前有数千个PLC直接连接到互联网,并且很容易在Shodan上发现。在最简单的情况下,攻击者可以直接锁定一个连接互联网的PLC。在更复杂的情况下,攻击者可以使用标准恶意软件,首先感染受害者的公司网络上的工作站,然后,如果没有适当的网络分区,则可使用该机器作为控制网络中的跳板。虽然这可能需要更多的努力,但可以使用IT网络中的标准攻击方法,攻击脆弱的设备,同时在网络内部的周旋。众所周知,许多PLC在加载程序时不提供强身份认证,在最好的情况下,仅禁止来自网络的远程编程。在这种情况下,攻击者必须投入更多的时间和精力来寻找一个漏洞,利用它来为他提供编程访问。然而,鉴于ICS设备的性质和Shodan调查结果,设备经常带着已知漏洞运行了很长时间。此外,向ICSCERT报告的漏洞数量并没有减少,这表明仍有大量漏洞可以挖掘。网络犯罪分子可以找到相应的漏洞用于制造ICS勒索软件来实现它们的勒索攻击。表III总结了使用ICS勒索软件感染PLC的不同方法。

Alt text

B、渗透

通过在横向,纵向或参考模型(图4 )的整个受害者的网络中感染更多的PLC,攻击者可以增加他的预期利润。横向,攻击者可以通过感染受害者设施中的尽可能多的PLC来最大化他的利润,扩展到参考模型的第1级,如图5所示。他可以感染的PLC越多,他对“皇冠珠宝”的受害者的行动和更高的赎金,他可以要求。然而,如果他只感染一个PLC,他冒险的机会仍然可以运行在一些有限的能力与手动劳动或他们有一个备份PLC,他们可以快速交换。事实上,这种水平攻击将是最有利可图且容易实现的,因为存在相同型号的多个PLC(如在Stuxnet中)和来自具有共享漏洞的相同供应商的其它PLC的高概率。为了进一步加强对受害者的控制,他可以尝试在网络中纵向渗透,攻击具有标准恶意软件的人机界面(HMI)或工程工作站,以期加强勒索软件的持久性或窃取备份副本PLC程序。 纵向渗透可以从PLC或公司网络开始实现。 如果初始感染是通过面向互联网的PLC,并且PLC支持像MicroLogix 1400这样的通用插座,则他可以使用PLC作为网络其余部分的后门。 如果最初的感染是通过企业网络像大多数真正的感染一样,他可以首先执行侦察,窃取任何有价值的数据,并等待关闭操作,直到他可以一次损害多个PLC,如图6所示。

Alt text

Alt text

表四总结了在受害者网络中渗透的两种方法的优点和缺点。为了最大化有效性,攻击者也可以选择使用这两种方法。

Alt text

C、锁定

由于ICS勒索软件攻击的大部分成功依赖于拥有基础设施操作的攻击者,他必须确保对PLC的访问被锁定以防止快速恢复。根据PLC上可用的功能,他可以采用几种方法的组合。 最简单的方法是将PLC上的密码更改为攻击者选择的强随机密码。如前所述,许多PLC提供的密码认证实际上只在编程环境中检查,而不是PLC。因此,设计用于保护受害者的PLC的机制可能会阻止他用合法软件恢复它,而不采取任何措施来阻止攻击者。受害者当然可以编写他自己的定制软件以重新获得对PLC的访问,但是可能拒绝合法的软件供应商。根据同样的逻辑,攻击者然后可以尝试使用PLC的所有其他安全功能对其合法所有者尽可能地阻碍恢复。其他安全功能可能包括IP地址的访问控制列表,并启用OEM锁以保护专有PLC程序。 如果PLC提供了在PLC端密码保护检测,由于PLC的低性能,导致即使是弱密码,通过网络暴力破解仍然需要花费很长时间。例如,本研究中使用的MicroLogix 1400在小于1m长的以太网电缆上具有大约1ms的往返延时时间(RTT),意味着大多数RTT正在处理ICMP回显请求。 假设密码检查与回应答复一样快的最佳情况下,强制恢复6位数字字母数字密码(通常被认为是弱密码)所需的时间大约为657天。 防止恢复的其它方式不那么强,可以包括读取PLC中的状态寄存器,例如, 当前活动TCP连接,监视恢复尝试并且如果检测到则决定损害附接的设备。 或者,攻击者可以通过利用有限的资源环境来尝试锁定PLC。 许多PLC具有可以处理的最大活动TCP连接数,因此攻击者可以远程使用所有活动连接,或者潜在地使用通用套接字接口创建到本地主机地址的多个TCP连接。最后,为了增加更多的混乱和停机时间,勒索软件可以更改PLC的IP地址和它正在侦听的端口号。

D、加密

即使受害者通过成功绕过前一节中的锁定机制或重新刷新PLC来重新获得对PLC的编程访问权限,攻击者也已从PLC中删除了原始程序。 如果攻击者想要遵循加密勒索的传统步骤,他将在PLC上留下加密程序的副本。 然而,无论他写给PLC的什么程序仍然是可执行的,而不会在支付后崩溃或恢复。 因此,攻击者可以采取三种方法之一。 最简单的方法是在攻击者的机器上对程序的原始二进制使用标准加密方案,并将其与赎金注释一起通过电子邮件发送给受害者。然后,当受害者付款时,向他们发送一个工具来解密二进制文件,并使用攻击者用来加载自己程序的相同技术将程序加载到PLC上。虽然这是最简单的方法,并且假设攻击者已经建立了与PLC的命令和控制连接,但是受害者可能很难相信攻击者将恢复PLC的程序。为了更具说服力,攻击者可以采取第二种方法,并且创造性地如何以加密的形式在PLC上离开程序。实现这种方法的最简单的方法是再次使用标准加密方案对程序的原始二进制进行加密,但将其作为原始字符串存储在PLC的存储器的数据部分中。然而,根据PLC的能力,它可能没有足够的数据存储器来存储整个PLC程序和攻击者的逻辑炸弹程序。所以攻击者可以采取第三和更复杂的方法加密程序,同时仍然确保它是可执行的。 该第三种方法将涉及使用秘密密钥来随机地改变内容和控制程序的流程,以导致危险的不可预测的操作和原始程序的不可行的恢复。首先,为了改变程序的内容,攻击者的目标将是随机地改变对于控制系统的正确操作关键的变量,诸如定时器和计数器配置。这可以通过加密原始值并将其截断到必要的长度,例如16位计数器来容易地实现。第二,攻击者可以用它们的句法等同替换指令(例如与OR的AND,带有减法的加法),以确保程序仍然可执行。虽然这可能不是最安全或最有效的方法,但是一种容易理解的实现方法是首先将PLC的机器语言中的所有指令字节码分离成可以在语法上彼此替换的组,并将每个组置于循环队列。然后,攻击者选择强的随机种子值,并使用伪随机数生成器为程序中的每个指令生成随机队列旋转,并且用随机旋转之后的循环队列的头部处的任何等效指令替换每个指令。这实现了语法上等同的“加密”的行为。注意,用于保存用于赎金的程序的加密甚至不必在行业标准下被认为是安全的,它只需要减慢足够的恢复以使得支付赎金比恢复尝试更有吸引力。为了将这样的程序“解密”为原始,攻击者简单地重新生成随机数序列并且针对随机旋转以相反的方向旋转每个指令组队列。为了使恢复更难以实现,攻击者可以采用类似的可逆技术来将任意代码添加到PLC并且洗牌指令的顺序。

E、勒索

使用PLC上的有限资源通知受害者受害者也是非常重要的。 在最简单的情况下,攻击者可以单独发送电子邮件,通知受害者该危害并要求付款。 然而,为了更强力地展示力量,攻击者也可以利用PLC提供赎金票据。 某些PLC,如在用于勒索软件的MicroLogix型号中,具有嵌入式电子邮件客户端,通常用于向操作员自动发送警报。 攻击者可以重新编程PLC,直接从受害者自己的PLC发送赎金票据给受害者。 其他通知受害者的方法可包括更改PLC的Web界面。

从第四节中提出的论点来看,成功的勒索软件攻击不仅应该阻止用户访问PLC,而且还会威胁对昂贵的机器和人员的损害。 攻击者通过向受害者解释如果在某一截止日期之前没有收到付款,则会将该程序视为赎金谈判,该程序将被删除,PLC中的逻辑炸弹将开始销毁设备。 为了使这个逻辑炸弹更加有效,攻击者可以进行侦察,以获得对控制系统后面的物理设备的基本了解,这样他就可以知道造成伤害的最佳方式。 这可以通过研究在大多数PLC上可用的用户可定制的web界面或通过窃取来自网络上的工程工作站的数据来实现。 一旦受害者支付赎金,攻击者或者远程重新编程PLC到原来的功能,或者发送受害者一个工具这样做。

7、勒索软件(LogicLocker)

在这里为图2所示的测试平台开发的概念验证攻击采用了更简单的勒索软件循环中的步骤。首先,假设攻击者在互联网上使用Modicon M241强制弱密码或盗取合法凭证,并将其加载到勒索软件。然后,勒索软件扫描内部网络以查找易受攻击的PLC,以进一步感染。当易受攻击的PLC(Modicon M221和MicroLogix 1400)用新密码重新编程,将合法用户从官方编程软件中锁定时,可实现勒索软件的主要锁定方面。对于加密阶段,攻击者使用标准加密和为该受害者生成的密钥在自己的机器上手动加密被盗程序。在勒索阶段,使用勒索软件的攻击者从他自己的计算机向受害者发送电子邮件,通知他们妥协。如果赎金最后通过is支付,攻击者给受害者一个程序,将重新加载原始的程序,但如果没有支付,他威胁要把有害量的氯排入供水。为了最大化成功的机会,在通知受害者妥协之前,勒索软件首先允许储罐中的水位降低,同时向操作员发送错误读数。因此,考虑到支付和尝试恢复之间的选择,受害者还必须考虑等待太长时间并完全运行干净的水的影响。未来版本的勒索软件将使用PLC自己的电子邮件客户端发送此赎金记录。最后,一旦受害者支付,攻击者向受害者发送解密原始PLC程序并将其重新加载到受害PLC的工具。表VIII总结了勒索软件的各个部分,描述了ICS勒索软件攻击中的每个通用步骤。也可以在线找到解释设置[2]和攻击[1]的视频演示。

8、防御

大多数ICS设备供应商拒绝在其所有设备上提供通用安全特性,而是建议他们依赖于安全隔离设备或附加设备,将安全负担转嫁给最终用户身上。 然而,遵循标准的最佳措施可以大大降低这里描述的网络犯罪威胁模型的受害者的风险。 由于很少存在真实的隔离,因此应始终执行纵深防御战略。 终端安全。 终端级别的纵深防御策略将包括更改所有默认密码,禁用对操作不重要的所有协议,尽可能使用访问控制列表,禁用远程编程,保持设备固件更新以及备份所有程序 文件。 当购买新设备时,请仔细考虑产品的安全特性,记住所有认证用户在编程环境下的PLC的密码保护信息,确保攻击者无法获取此信息。 网络安全。 在网络层面,体系结构应该是分段的,IT网络和控制网络都应当监视可疑的活动,并且协议白名单应该在防火墙中实现。 控制网络拓扑结构通常是静态的,控制设备为了减小系统停机时间,没有特别计划是不会重新编程。 通过这种分析,当不同的IP地址开始通信或与计划维护不匹配的重新编程事件时就可以当作异常事件被检测到。 此外,PLC程序的自动备份可以帮助加快受害设施的恢复,而无需支付攻击者赎金。 本研究下一步工作,将调研远程软件认证技术,用于限止PLC程序的恶意更改。 政策。 在最终用户层面,所有员工都应接受培训,以识别钓鱼电子邮件,并禁止使用自己的个人USB驱动器来降低被感染的风险。 此外,基础设施应该有一个事故应急响应计划,以便在发生安全事故时采取行动,并在安全的环境中进行应急演练。 这个响应计划可以包括保持关键程序的备份,并且需要有人员接受过如何快速重新刷新和恢复PLC程序的培训。 如果知识产权问题阻止设施拥有该计划的副本,与OEM厂商建立关系,以提供应急响应服务来恢复PLC。

Alt text

9、总结

ICS网络到目前为止仍然基本上没有受到恶意软件的攻击,而不是因为它们比传统网络更安全,而是因为网络犯罪分子还没有找到一个有利可图的商业模式,值得他们的花费时间制造这种攻击。最近针对医院的攻击表明,通过操作具有人类伤害的关键资产时,勒索软件可以带来丰厚的利润,报告表明攻击者开始将注意力转移到ICS网络。为了在可能的ICS网络攻击来临之前有所准备,该研究开发了第一个已知的针对PLC的勒索软件,以便研究攻击和防御ICS网络的困难点。讽刺的是,我们发现许多最流行的供应商在其PLC上提供的弱安全机制,实际上在勒索软件上对合法用户造成的伤害远远大于防止攻击。在未来的工作中,为了提升防御技术,我们将继续调查更先进的锁定PLC的方法,以及开发远程检测技术,用于检测PLC程序何时被更改。

10、参考资料

[1] Plc ransomware worm demo. https://youtu.be/t4u3nJDXwes.

[2] Water treatment testbed. https://youtu.be/KTKRjvTgTQI.

[3] The economic impacts of the august 2003 blackout. Technical report, Electricity Consumers Resource Council, 02 2004.

[4] The evolution of ransomware. Technical report, Kaspersky Security Intelligence, 07 2016.

[5] Industrial cybersecurity threat briefing. Technical report, Booz Allen Hamilton, 06 2016.

[6] D. Bisson. Half of american ransomware victims have paid the ransom, reveals study. http://www.tripwire.com/state-of-security/latest-nnsecurity-news/half-of-american-ransomware-victims-have-nnpaid-the-ransom-reveals-study/.

[7] M. Burgess. Could hackers really take over a hotel? wired explains. http://www.wired.co.uk/article/austria-hotel-ransomware-true-doors-lock-hackers.

[8] D. Fitzpatrick and D. Griffin. Cyber-extortion losses skyrocket, says fbi. http://money.cnn.com/2016/04/15/technology/ransomware-cyber-security/.

[9] T. Fox-Brewster. Ransomware crooks demand \$70,000 after hacking san francisco transport system – updated. https://www.forbes.com/sites/thomasbrewster/2016/11/28/san-francisco-muni-hacked-ransomware/n#53cc57247061.

[10] J. Klick, S. Lau, D. Marzin, J.-O. Malchow, and V. Roth. Internet-facing plcs – a new back orifice, 2015.

[11] R. Langner. To kill a centrifuge. Technical report, The Langner Group, 11 2013.

[12] B. McGee. Move over healthcare, ransomware has manufacturing in its sights. https://blog.fortinet.com/2016/06/06/move-over-nnhealthcare-ransomware-has-manufacturing-in-its-sights.

[13] K. Savage, P. Coogan, and H. Lau. The evolution of ransomware. Technical report, Symantec, 08 2015.

[14] R. Spenneberg, M. Brggemann, and H. Schwartke. Plc-blaster: A worm living solely in the plc, 2016.

[15] H. Taylor. Ransomware: Lucrative, fast growing, hard to stop. http://www.cnbc.com/2016/04/11/ransomware-lucrative-fast-growing-hard-to-stop.html.

[16] E. Vadala. Downtime costs auto industry $22k/minute- survey. http://news.thomasnet.com/companystory/downtime-costs-auto-industry-22k-minute-survey-481017.

[17] T. J. Williams. The purdue enterprise reference architecture: a technical guide for cim planning and implementation. 1992.

原创作者:W3H,本文属于 工匠安全实验室 原创奖励计划文章,未经许可禁止转载

发表评论

电子邮件地址不会被公开。 必填项已用*标注

联系我们

18620368203

在线咨询:点击这里给我发消息

邮件:[email protected]

QR code