針對機器的勒索軟件:攻擊者如何通過瞄準 IT 和 OT 來學習破壞工業生產
至少自 2017 年以來,對影響工業生產和關鍵基礎設施組織的勒索軟件事件的公開披露顯著增加。 WannaCry、LockerGoga、MegaCortex、Ryuk、Maze 和現在的 SNAKEHOSE(又名 Snake / Ekans)等知名勒索軟件家族已經使各種垂直行業的受害者付出了數百萬美元的贖金和抵押費用。這些事件還導致了使組織能夠生產和交付商品和服務的物理過程的重大中斷和延遲。雖然已經分享了許多有關工業部門勒索軟件分發操作的受害者和直接影響的信息,但公共話語繼續錯過大局。隨著金融犯罪行為者的策略從投機取巧發展到妥協後勒索軟件部署,我們觀察到攻擊者的內部偵察有所增加,這使他們能夠瞄準對支持生產鏈至關重要的系統。因此,勒索軟件感染——無論是影響企業網絡中的關鍵資產還是感染 OT 網絡中的計算機——通常都會導致相同的結果:最終產品或服務供應不足或延遲。真正了解工業部門勒索軟件分發操作的獨特細微差別需要將技能組合和跨 IT 和 OT 系統的可見性相結合。使用從我們的諮詢業務和威脅研究中得出的例子,我們將解釋向妥協後勒索軟件操作的轉變如何助長對手破壞工業運營的能力。隨著參與者轉向入侵後部署,工業部門勒索軟件分髮帶來越來越大的風險 勒索軟件攻擊的傳統方法主要依賴於“散彈槍”方法,該方法包括不分青紅皂白地傳播惡意軟件以加密來自各種受害者的文件和數據。遵循這種模式的演員將勒索受害者平均 500 到 1,000 美元,並希望從盡可能多的人那裡獲得付款。雖然採用這種方法的早期勒索軟件活動通常被認為超出了 OT 安全的範圍,但最近針對整個工業和關鍵基礎設施組織的活動已轉向採用更複雜的操作後妥協方法。在妥協後的勒索軟件事件中,威脅行為者可能仍然經常依賴廣泛分佈的惡意軟件來獲取對受害者環境的初始訪問權限,但是一旦進入網絡,他們將專注於獲得特權訪問權限,以便他們可以探索目標網絡並識別關鍵部署勒索軟件之前的系統。這種方法還使攻擊者可以禁用通常足以檢測已知勒索軟件指標或行為的安全進程。參與者撒下可能影響關鍵系統的更廣泛的網絡,通過對受害者造成最大痛苦來擴大其末期行動的規模和有效性。因此,他們更有能力進行談判,並且通常可以要求更高的贖金——這通常與受害者感知的支付能力和被贖金資產本身的價值相稱。有關類似活動的更多信息(包括技術細節),請參閱我們最近關於 FIN6 和 TEMP.MixMaster 的博客文章。涉及隨機部署勒索軟件的歷史事件通常僅限於影響個人計算機,其中偶爾包括可訪問互聯網、分段不當或暴露於受感染的便攜式媒體的 OT 中介系統。 2017 年,我們還觀察到了 NotPetya 和 BadRabbit 等活動,其中發布了具有蠕蟲功能的擦除器惡意軟件,偽裝成勒索軟件來破壞組織。雖然這些類型的活動對工業生產構成威脅,但採用後妥協部署在情節中呈現出三個主要轉折。隨著威脅行為者針對特定行業或組織定制攻擊,具有高可用性要求(例如,公用事業、醫院和工業製造)和感知支付贖金能力的公司(例如,收入較高的公司)成為主要目標。這代表了金融犯罪行為者將目標擴大到處理直接銷售信息(例如信用卡號或客戶數據)的行業,以包括生產環境的貨幣化。由於威脅行為者在部署勒索軟件之前執行內部偵察並在目標網絡中橫向移動,因此他們現在可以更好地部署影響目標最關鍵資產的廣泛網絡,並從特權位置進行談判。最重要的是,金融參與者過去經常使用的許多策略、技術和程序 (TTP) 類似於高技能參與者在過去 OT 安全事件的攻擊生命週期的初始和中期階段所採用的策略、技術和程序。因此,金融犯罪行為者可能會轉向並在 OT 中介系統中部署勒索軟件,以進一步破壞運營。有組織的金融犯罪行為者已表現出破壞 OT 資產的能力 行為者從入侵後勒索軟件部署中獲得經濟利益的能力取決於許多因素,其中之一是破壞與 OT 核心任務最相關的系統的能力。受害者組織。因此,我們可以期待成熟的參與者逐漸擴大他們的選擇範圍,從 IT 和業務流程,到 OT 資產監控和控制物理流程。這在勒索軟件系列中很明顯,例如 SNAKEHOSE,它旨在僅在停止一系列進程(包括來自通用電氣和霍尼韋爾等供應商的一些工業軟件)後才執行其有效負載。乍一看,由於使用自動化工具進行初始分類識別的進程數量相對較少(但與 OT 相關的進程數量較多),SNAKEHOSE 終止列表似乎是專門針對 OT 環境量身定制的。但是,在從終止進程的函數中手動提取列表後,我們確定 SNAKEHOSE 使用的終止列表實際上針對 1,000 多個進程。事實上,我們觀察到非常相似的進程終止列表與來自其他勒索軟件系列的樣本一起部署,包括 LockerGoga、MegaCortex 和 Maze。毫不奇怪,在過去兩年中,所有這些代碼系列都與影響工業組織的重大事件有關。我們發現的最早包含 OT 進程的殺死列表是 2019 年 1 月與 LockerGoga 一起部署的批處理腳本。該列表與後來在 MegaCortex 事件中使用的列表非常相似,儘管有明顯的例外,例如與 OT 相關的進程中的明顯錯字在我們的 SNAKEHOSE 或 MegaCortex 樣本中不存在:“proficyclient.exe4”。 SNAKEHOSE 和 MegaCortex 樣本中沒有此錯字可能表明其中一位惡意軟件作者在最初從 LockerGoga 列表複製 OT 進程時識別並糾正了錯誤,或者 LockerGoga 作者未能正確合併來自某些理論的進程常見的來源,例如暗網帖子。無論哪個勒索軟件家族首先在殺死列表中使用與 OT 相關的進程,或者惡意軟件作者從何處獲取該列表,該列表在惡意軟件家族中似乎無處不在表明該列表本身比任何已實施的單個惡意軟件家族更值得注意它。雖然這些列表中確定的 OT 流程可能只是代表從目標環境收集的自動化流程的巧合輸出,而不是影響 OT 的有針對性的努力,但此列表的存在為金融犯罪行為者提供了破壞 OT 系統的機會。此外,我們預計,隨著出於經濟動機的威脅行為者繼續影響工業部門組織,更加熟悉 OT,並確定 IT 和 OT 系統之間的依賴關係,他們將開發能力(並可能意圖)破壞運行工業軟件的其他系統和環境產品和技術。 IT 和 OT 系統中的勒索軟件部署影響了工業生產 由於攻擊者的後妥協戰略和對工業部門目標認識的提高,勒索軟件事件已經有效地影響了工業生產,無論惡意軟件是部署在 IT 還是 OT 中。加密來自企業網絡中服務器和計算機數據的勒索軟件事件已導致由 OT 網絡監督的物理生產流程直接或間接中斷。這導致最終產品或服務的供應不足或延遲,以錯失商機、事件響應成本、監管罰款、聲譽損害,有時甚至支付贖金的形式造成長期經濟損失。在公用事業和公共服務等某些部門,高可用性對社會福祉也至關重要。由於 IT 網絡感染而影響工業生產的勒索軟件最著名的例子是 Norsk Hydro 於 2019 年 3 月發生的事件,其中業務流程管理系統 (BPMS) 的中斷迫使多個站點關閉自動化操作。在其他附帶損害中,勒索軟件中斷了 IT 系統之間的通信,這些 IT 系統通常用於管理整個生產鏈中的資源。這些包含產品庫存等信息流的中斷迫使員工確定手動替代方案來處理 6,500 多個庫存單位和 4,000 個貨架。 FireEye Mandiant 至少對一個類似案例做出了回應,其中 TrickBot 被用於在石油鑽井平台製造商部署 Ryuk 勒索軟件。雖然感染僅發生在公司網絡上,但最大的業務影響是 Oracle ERP 軟件中斷導致公司暫時離線並對生產產生負面影響。當勒索軟件到達 OT 網絡中基於 IT 的資產時,它可能會導致類似的結果,例如人機界面 (HMI)、監控和數據採集 (SCADA) 軟件以及工程工作站。大多數此類設備依賴於容易受到各種 IT 威脅的商品軟件和標準操作系統。根據敏感來源,Mandiant Intelligence 至少獲悉一起工業設施因大規模勒索軟件攻擊而導致工廠關閉的事件。該設施的網絡劃分不當,這使得惡意軟件可以從公司網絡傳播到 OT 網絡,在那裡加密服務器、HMI、工作站和備份。該設施不得不聯繫多個供應商來檢索備份,其中許多備份已有幾十年的歷史,這延遲了生產的完全恢復。就在 2020 年 2 月,網絡安全基礎設施和安全局 (CISA) 發布了警報 AA20-049A,描述了入侵後勒索軟件事件如何影響天然氣壓縮設施 OT 網絡上的控制和通信資產。對 HMI、數據歷史記錄器和輪詢服務器的影響導致操作員失去可用性和視野。這促使故意關閉持續兩天的操作。減輕勒索軟件的影響需要跨 IT 和 OT 進行防禦部署勒索軟件的威脅行為者在有效性和犯罪業務模型方面都取得了快速進步,這給受害者帶來了高昂的運營成本。我們鼓勵所有組織評估與勒索軟件攻擊相關的安全和行業風險。請注意,這些建議還將有助於在面臨其他業務運營威脅(例如,加密惡意軟件感染)時建立彈性。雖然每種情況都會有所不同,但我們強調以下建議。如需 IT 和 OT 中的定制服務和可操作情報,請聯繫 FireEye Mandiant 諮詢、託管防禦和威脅情報。進行桌面和/或受控紅隊演習,以評估您的組織當前的安全態勢和應對勒索軟件威脅的能力。模擬攻擊場景(主要在非生產環境中)以了解事件響應團隊如何能夠(或不能)檢測、分析此類攻擊並從中恢復。根據演習結果重新審視恢復要求。一般而言,反复練習各種威脅場景將提高意識和響應真實事件的能力。審查運營、業務流程和工作流程,以確定對維持持續工業運營至關重要的資產。只要有可能,就為對停機時間容忍度低的關鍵資產引入冗餘。每個組織的適當數量和類型的冗餘是獨一無二的,可以通過風險評估和成本效益分析來確定。請注意,如果沒有業務流程所有者的參與以及跨 IT 和 OT 的協作,就無法進行此類分析。通過基於網絡或基於主機的防火牆在邏輯上隔離主要資產和冗餘資產,然後進行資產強化(例如,禁用勒索軟件通常用於傳播的服務,如 SMB、RDP 和 WMI)。除了創建策略來禁用不必要的對等和遠程連接之外,我們還建議對可能託管這些服務和協議的所有系統進行例行審核。請注意,此類架構通常對安全事件更具彈性。在建立嚴格的備份方案時,要特別注意保證備份的安全性(完整性)。關鍵備份必須保持離線狀態,或者至少保持在隔離網絡上。根據恢復時間目標優化恢復計劃。在恢復期間引入所需的替代工作流程(包括手動)。這對於關鍵資產冗餘有限或沒有冗餘的組織尤其重要。從備份中恢復時,強化恢復的資產和整個組織的基礎架構,以防止勒索軟件反复感染和傳播。建立明確的 OT 周邊保護設備的所有權和管理,以確保緊急情況下的企業範圍內的變化成為可能。在遏制和主動入侵期間必須保持有效的網絡分段。在中間系統中尋找攻擊者的入侵活動,我們將其定義為使用標準操作系統和協議的聯網工作站和服務器。雖然系統遠離對物理過程的直接控制,但攻擊者存在的可能性要高得多。請注意,每個組織都是不同的,具有獨特的內部架構和流程、利益相關者的需求和客戶的期望。因此,應在各個基礎設施的背景下仔細考慮所有建議。例如,適當的網絡分段對於減輕勒索軟件的傳播是非常可取的。然而,預算有限的組織可能會決定利用冗餘資產多樣化、基於主機的防火牆和強化作為與硬件防火牆隔離的替代方案。
AmerAsia Company - Beijing AmerAsia China IT Consulting – Data Drill – CaliCoin.io – AmerAsia Report – Reciprocity Project