主页

针对机器的勒索软件:攻击者如何通过瞄准 IT 和 OT 来学习破坏工业生产

至少自 2017 年以来,对影响工业生产和关键基础设施组织的勒索软件事件的公开披露显着增加。 WannaCry、LockerGoga、MegaCortex、Ryuk、Maze 和现在的 SNAKEHOSE(又名 Snake / Ekans)等知名勒索软件家族已经使各种垂直行业的受害者付出了数百万美元的赎金和抵押费用。这些事件还导致了使组织能够生产和交付商品和服务的物理过程的重大中断和延迟。虽然已经分享了许多有关工业部门勒索软件分发操作的受害者和直接影响的信息,但公共话语继续错过大局。随着金融犯罪行为者的策略从投机取巧发展到妥协后勒索软件部署,我们观察到攻击者的内部侦察有所增加,这使他们能够瞄准对支持生产链至关重要的系统。因此,勒索软件感染——无论是影响企业网络中的关键资产还是感染 OT 网络中的计算机——通常都会导致相同的结果:最终产品或服务供应不足或延迟。真正了解工业部门勒索软件分发操作的独特细微差别需要将技能组合和跨 IT 和 OT 系统的可见性相结合。使用从我们的咨询业务和威胁研究中得出的例子,我们将解释向妥协后勒索软件操作的转变如何助长对手破坏工业运营的能力。随着参与者转向入侵后部署,工业部门勒索软件分发带来越来越大的风险 勒索软件攻击的传统方法主要依赖于“散弹枪”方法,该方法包括不分青红皂白地传播恶意软件以加密来自各种受害者的文件和数据。遵循这种模式的演员将勒索受害者平均 500 到 1,000 美元,并希望从尽可能多的人那里获得付款。虽然采用这种方法的早期勒索软件活动通常被认为超出了 OT 安全的范围,但最近针对整个工业和关键基础设施组织的活动已转向采用更复杂的操作后妥协方法。在妥协后的勒索软件事件中,威胁行为者可能仍然经常依赖广泛分布的恶意软件来获取对受害者环境的初始访问权限,但是一旦进入网络,他们将专注于获得特权访问权限,以便他们可以探索目标网络并识别关键部署勒索软件之前的系统。这种方法还使攻击者可以禁用通常足以检测已知勒索软件指标或行为的安全进程。参与者撒下可能影响关键系统的更广泛的网络,通过对受害者造成最大痛苦来扩大其末期行动的规模和有效性。因此,他们更有能力进行谈判,并且通常可以要求更高的赎金——这通常与受害者感知的支付能力和被赎金资产本身的价值相称。有关类似活动的更多信息(包括技术细节),请参阅我们最近关于 FIN6 和 TEMP.MixMaster 的博客文章。涉及随机部署勒索软件的历史事件通常仅限于影响个人计算机,其中偶尔包括可访问互联网、分段不当或暴露于受感染的便携式媒体的 OT 中介系统。 2017 年,我们还观察到了 NotPetya 和 BadRabbit 等活动,其中发布了具有蠕虫功能的擦除器恶意软件,伪装成勒索软件来破坏组织。虽然这些类型的活动对工业生产构成威胁,但采用后妥协部署在情节中呈现出三个主要转折。随着威胁行为者针对特定行业或组织定制攻击,具有高可用性要求(例如,公用事业、医院和工业制造)和感知支付赎金能力的公司(例如,收入较高的公司)成为主要目标。这代表了金融犯罪行为者将目标扩大到处理直接销售信息(例如信用卡号或客户数据)的行业,以包括生产环境的货币化。由于威胁行为者在部署勒索软件之前执行内部侦察并在目标网络中横向移动,因此他们现在可以更好地部署影响目标最关键资产的广泛网络,并从特权位置进行谈判。最重要的是,金融参与者过去经常使用的许多策略、技术和程序 (TTP) 类似于高技能参与者在过去 OT 安全事件的攻击生命周期的初始和中期阶段所采用的策略、技术和程序。因此,金融犯罪行为者可能会转向并在 OT 中介系统中部署勒索软件,以进一步破坏运营。有组织的金融犯罪行为者已表现出破坏 OT 资产的能力 行为者从入侵后勒索软件部署中获得经济利益的能力取决于许多因素,其中之一是破坏与 OT 核心任务最相关的系统的能力。受害者组织。因此,我们可以期待成熟的参与者逐渐扩大他们的选择范围,从 IT 和业务流程,到 OT 资产监控和控制物理流程。这在勒索软件系列中很明显,例如 SNAKEHOSE,它旨在仅在停止一系列进程(包括来自通用电气和霍尼韦尔等供应商的一些工业软件)后才执行其有效负载。乍一看,由于使用自动化工具进行初始分类识别的进程数量相对较少(但与 OT 相关的进程数量较多),SNAKEHOSE 终止列表似乎是专门针对 OT 环境量身定制的。但是,在从终止进程的函数中手动提取列表后,我们确定 SNAKEHOSE 使用的终止列表实际上针对 1,000 多个进程。事实上,我们观察到非常相似的进程终止列表与来自其他勒索软件系列的样本一起部署,包括 LockerGoga、MegaCortex 和 Maze。毫不奇怪,在过去两年中,所有这些代码系列都与影响工业组织的重大事件有关。我们发现的最早包含 OT 进程的杀死列表是 2019 年 1 月与 LockerGoga 一起部署的批处理脚本。该列表与后来在 MegaCortex 事件中使用的列表非常相似,尽管有明显的例外,例如与 OT 相关的进程中的明显错字在我们的 SNAKEHOSE 或 MegaCortex 样本中不存在:“proficyclient.exe4”。 SNAKEHOSE 和 MegaCortex 样本中没有此错字可能表明其中一位恶意软件作者在最初从 LockerGoga 列表复制 OT 进程时识别并纠正了错误,或者 LockerGoga 作者未能正确合并来自某些理论的进程常见的来源,例如暗网帖子。无论哪个勒索软件家族首先在杀死列表中使用与 OT 相关的进程,或者恶意软件作者从何处获取该列表,该列表在恶意软件家族中似乎无处不在表明该列表本身比任何已实施的单个恶意软件家族更值得注意它。虽然这些列表中确定的 OT 流程可能只是代表从目标环境收集的自动化流程的巧合输出,而不是影响 OT 的有针对性的努力,但此列表的存在为金融犯罪行为者提供了破坏 OT 系统的机会。此外,我们预计,随着出于经济动机的威胁行为者继续影响工业部门组织,更加熟悉 OT,并确定 IT 和 OT 系统之间的依赖关系,他们将开发能力(并可能意图)破坏运行工业软件的其他系统和环境产品和技术。 IT 和 OT 系统中的勒索软件部署都影响了工业生产 由于攻击者的后妥协战略和对工业部门目标意识的提高,勒索软件事件已经有效地影响了工业生产,无论该恶意软件是部署在 IT 还是 OT 中。加密来自企业网络中服务器和计算机数据的勒索软件事件已导致由 OT 网络监督的物理生产流程直接或间接中断。这导致最终产品或服务的供应不足或延迟,以错失商机、事件响应成本、监管罚款、声誉损害,有时甚至支付赎金的形式造成长期经济损失。在公用事业和公共服务等某些部门,高可用性对社会福祉也至关重要。由于 IT 网络感染而影响工业生产的勒索软件最著名的例子是 Norsk Hydro 于 2019 年 3 月发生的事件,其中业务流程管理系统 (BPMS) 的中断迫使多个站点关闭自动化操作。在其他附带损害中,勒索软件中断了 IT 系统之间的通信,这些 IT 系统通常用于管理整个生产链中的资源。这些包含产品库存等信息流的中断迫使员工确定手动替代方案来处理 6,500 多个库存单位和 4,000 个货架。 FireEye Mandiant 至少对一个类似案例做出了回应,其中 TrickBot 被用于在石油钻井平台制造商部署 Ryuk 勒索软件。虽然感染仅发生在公司网络上,但最大的业务影响是 Oracle ERP 软件中断导致公司暂时离线并对生产产生负面影响。当勒索软件到达 OT 网络中基于 IT 的资产时,它可能会导致类似的结果,例如人机界面 (HMI)、监控和数据采集 (SCADA) 软件以及工程工作站。大多数此类设备依赖于容易受到各种 IT 威胁的商品软件和标准操作系统。根据敏感来源,Mandiant Intelligence 至少获悉一起工业设施因大规模勒索软件攻击而导致工厂关闭的事件。该设施的网络划分不当,这使得恶意软件可以从公司网络传播到 OT 网络,在那里加密服务器、HMI、工作站和备份。该设施不得不联系多个供应商来检索备份,其中许多备份已有几十年的历史,这延迟了生产的完全恢复。就在 2020 年 2 月,网络安全基础设施和安全局 (CISA) 发布了警报 AA20-049A,描述了入侵后勒索软件事件如何影响天然气压缩设施 OT 网络上的控制和通信资产。对 HMI、数据历史记录器和轮询服务器的影响导致操作员失去可用性和视野。这促使故意关闭持续两天的操作。减轻勒索软件的影响需要跨 IT 和 OT 进行防御部署勒索软件的威胁行为者在有效性和犯罪业务模型方面都取得了快速进步,这给受害者带来了高昂的运营成本。我们鼓励所有组织评估与勒索软件攻击相关的安全和行业风险。请注意,这些建议还将有助于在面临其他业务运营威胁(例如,加密恶意软件感染)时建立弹性。虽然每种情况都会有所不同,但我们强调以下建议。如需 IT 和 OT 中的定制服务和可操作情报,请联系 FireEye Mandiant 咨询、托管防御和威胁情报。进行桌面和/或受控红队演习,以评估您的组织当前的安全态势和应对勒索软件威胁的能力。模拟攻击场景(主要在非生产环境中)以了解事件响应团队如何能够(或不能)检测、分析此类攻击并从中恢复。根据演习结果重新审视恢复要求。一般而言,反复练习各种威胁场景将提高意识和响应真实事件的能力。审查运营、业务流程和工作流程,以确定对维持持续工业运营至关重要的资产。只要有可能,就为对停机时间容忍度低的关键资产引入冗余。每个组织的适当数量和类型的冗余是独一无二的,可以通过风险评估和成本效益分析来确定。请注意,如果没有业务流程所有者的参与以及跨 IT 和 OT 的协作,就无法进行此类分析。通过基于网络或基于主机的防火墙在逻辑上隔离主要资产和冗余资产,然后进行资产强化(例如,禁用勒索软件通常用于传播的服务,如 SMB、RDP 和 WMI)。除了创建策略来禁用不必要的对等和远程连接之外,我们还建议对可能托管这些服务和协议的所有系统进行例行审核。请注意,此类架构通常对安全事件更具弹性。在建立严格的备份方案时,要特别注意保证备份的安全性(完整性)。关键备份必须保持离线状态,或者至少保持在隔离网络上。根据恢复时间目标优化恢复计划。在恢复期间引入所需的替代工作流程(包括手动)。这对于关键资产冗余有限或没有冗余的组织尤其重要。从备份中恢复时,强化恢复的资产和整个组织的基础架构,以防止勒索软件反复感染和传播。建立明确的 OT 周边保护设备的所有权和管理权,以确保紧急情况下的企业范围内的变化成为可能。在遏制和主动入侵期间必须保持有效的网络分段。在中间系统中寻找攻击者的入侵活动,我们将其定义为使用标准操作系统和协议的联网工作站和服务器。虽然系统远离对物理过程的直接控制,但攻击者存在的可能性要高得多。请注意,每个组织都是不同的,具有独特的内部架构和流程、利益相关者的需求和客户的期望。因此,应在各个基础设施的背景下仔细考虑所有建议。例如,适当的网络分段对于减轻勒索软件的传播是非常可取的。然而,预算有限的组织可能会决定利用冗余资产多样化、基于主机的防火墙和强化作为与硬件防火墙隔离的替代方案。

进入文章页面

 

 

AmerAsia Company - Beijing AmerAsia China IT ConsultingData DrillCaliCoin.ioAmerAsia ReportReciprocity Project