工业控制系统中恶意软件的量化

为了对实际发生在野外的网络安全攻击有一个更实证的理解,德拉戈斯筛选并分析了大量的公共数据。虽然攻击很常见,但没有必要恐慌。

aw117629 Dragos Icskillchain

在工业和公用事业领域,网络安全是一个重要的问题,但它在关注方面有一个走向极端的趋势——太多时候,它要么被极度夸大,要么被当作一个微不足道的风险而被忽视。确实,对工业安全的真正威胁位于这一范围的中间,但一直没有一个可量化的指标。

工业网络安全软件和服务提供商Dragos最近开始从大量基本可公开获取的数据中进行筛选,以形成一幅更具实证意义的图景。研究人员发现,非针对性的IT感染非常普遍,保守估计每年约有3000个独特的工业场所受到影响。他们还发现——尽管他们确实倾向于过度炒作——针对工业控制系统(ics)的入侵并不像你想象的那么罕见。

不过,在这两种情况下,解决方案都是:保持冷静,监视您的网络安全。

德拉戈斯首席执行官罗伯特•李在一份报告中写道:“ICS的安全对安全性和可靠性非常重要,但电网不会因为随机感染或非民族国家行为者决定将其作为目标而倒塌,天然气管道不会开始爆炸。博客解释研究结果,“MIMICS(现代ICS中的恶意软件)。”他继续说,即使是有针对性的袭击也不是惊天动地的,“这些威胁是真实存在的,但不会改变生活,应该认真对待工业环境的优先事项,采取健全的方法。”

目标与一道

尽管围绕伊朗核工业、乌克兰电力公用事业或其他能源部门的高调报道往往会吸引点击量和读者的注意,但它们并没有产生必要的行为变化,从而保证工业运营的安全。这很大程度上是因为这些故事似乎与一个典型工厂的日常运行没有关系。

“很多炒作和人们实际看到的情况之间存在脱节。人们听说过震网病毒(Stuxnet)、黑能源(BlackEnergy)或Havex病毒,但没有人真正在他们的环境中看到过这些病毒,”德拉戈斯威胁行动主管本·米勒(Ben Miller)说。他负责从数据中识别、分析和提取经验教训的项目。“一名工程师读了关于震网病毒的报告,就会把它当作炒作而不予理会,因为他没有看到这一点。”

米勒提到的三次电脑攻击都是为了攻击工业控制系统。Stuxnet病毒被用来破坏伊朗的铀浓缩设施;黑能源最著名的做法是切断乌克兰部分地区的变电站与电网的连接,从而切断电力供应;而最初以能源行业为目标的Havex,则转而专注于攻击ICS/SCADA用户。

对于那些认为自己不太可能成为攻击目标而无需担心这些攻击的工业制造商来说,这在很大程度上是正确的。但这并不意味着他们完全不必担心网络安全问题。危险仍然潜伏着,但不太为人所知,更常见的恶意软件攻击。

米勒说:“这些环境中的是传统的机会主义病毒,它们正在向自动化人员传播,而自动化人员对此一无所知。”“这才是他们应该担心的。事实上,用良好的做法和网络卫生很容易为它辩护。”

米勒和李上周在SANS ICS安全峰会在奥兰多首次讨论MIMICS研究的一些关键发现。该报告基于公开数据VirusTotal,并被用于理解与ICS相关的恶意软件。

米勒说:“我们想量化野外的生物。”在短短90天的时间里,该研究在许多ICS供应商程序中发现了数千例由机会性病毒和可移动介质引起的真实感染。

米勒解释说:“我们看到的很多情况都是机会主义的,可能不会产生影响。”“但你只需要改变一个变量就能产生行业影响。”

米勒说,像“黑能源”或“震网”这样的攻击仍有可能发生,但更多的是有针对性的攻击,而不是经常发生的机会主义攻击。

VirusTotal搜索

谷歌旗下的VirusTotal是一个免费的在线服务,允许任何人上传一个文件,以扫描病毒,蠕虫,木马和其他恶意软件。“就其本身而言,它是一项很好的服务,但它也充当了一个恶意软件库,”米勒解释道。“作为一名研究人员,我可以搜索一个文件,看看它是何时首次上传或最后一次上传的。”

这正是米勒所做的,他分析了2003年以来约3万份受感染的ICS文件和安装程序样本。他说,虽然德拉戈斯在VirusTotal有一个高级账户,可以访问米勒分析的一些数据,但很多信息都被公开了。

米勒看到的一些恶意软件包括自动病毒,它们正在传播到合法的ICS文件中。米勒解释说,这为任何ICS供应商创建了一个程序路径,合法文件在这里被恶意软件感染。“这导致在过去128天里发现了15000个文件被感染。”

Dragos记录的另一个有趣的开发是恶意软件,它不是为ics特定的系统量身定制的,而是围绕它展开的。从2013年到上个月,德拉戈斯分析了一系列被称为“下载器”的文件,这些文件本身不一定是恶意的,但打开了一个后门来下载额外的恶意软件,这些恶意软件看起来像西门子控制软件。

文件中的数据看起来就像西门子可编程逻辑控制器(PLC)。“如果你在Windows电脑上,将鼠标悬停在这个图标上,它会显示信息——在这种情况下,它会显示‘西门子自动化,西门子PLC。’这就是我所描述的主题,”米勒解释道。“看起来就像什么都没发生。但实际发生的是,它进入了一个网站,获得了一个加密文件,并被设置下载另一组恶意软件到电脑上。”

李解释说,换句话说,一个坏人一直试图通过将其恶意软件主题化,使其看起来像西门子控制软件来破坏工业环境。但他也重申,没有理由惊慌,而是一种合理的网络安全方法。他写道:“举个例子,简单的软件供应链意识将消除这种攻击向量。”“从供应商确定软件的数字散列,下载软件,并在将其安装到工业环境之前根据已知产品检查散列。”

上传问题

实际上,更令人担忧的可能是将文件上传到像VirusTotal这样的公共数据库。

米勒能够在VirusTotal上分析的一些信息可能提供了更多关于上传组织的信息,而不是他们希望公众看到的。他发现了一些pdf文件,比如,核管理委员会发现的报告似乎是非公开信息。米勒说,其中一份文件中有设施名称、设备名称和调查结果。

“另一个是变电站维护报告的压缩文件,”米勒说。“有AutoCAD绘图、带有检查、签名、姓名等内容的电子表格。”

Miller继续说道:“我对工业安全人员使用VirusTotal的程度感到有点惊讶。也许还有更安全的方法来使用VirusTotal。”

Miller建议使用VirusTotal作为执行搜索的数据源,但不要上传可能被损坏的文件。“搜索文件是非常安全的。你可以看看以前有没有人提交过,报告是怎么说的。你不是说你有那份文件;你只是在寻找它,”米勒解释道。“当你开始上传时,事情就会变得更有趣。有一些注意事项还没有被告知。”

但我认为,如果每个人都采纳了这个建议,那么VirusTotal中就没有任何可搜索的东西了,网站也会变得毫无用处。“这确实加大了一般安全研究员的工作难度,”米勒评论道,“但它加强了实际资产所有者的力量。”

电子防御

米勒在网络安全方面有近20年的经验,他在电力行业有特别的专长,曾担任美国电力公司的副主任电力信息共享分析中心(E-ISAC),由北美电气可靠性公司(NERC)运营。

乌克兰电力袭击事件引起了电力行业网络安全方面的广泛关注。但事实上,几年来,这个行业一直高度活跃,米勒说,一群电力公司的首席执行官(ceo)电力分行业协调委员会他每季度都会与美国能源部(DOE)和白宫官员会面,讨论网络安全问题。

有助于沟通的是,这些ceo通常不是竞争对手,他们习惯于在需要时相互提供帮助。“这有助于网络安全方面的事情如何处理,”米勒说。例如,这与石油巨头形成了对比,后者处于更具竞争力的地位。“在这方面,电力行业有优势。他们更公开地来到谈判桌前,因为他们没有那种笼罩在他们头上的竞争包袱。”

下一阶段

现在Dragos有更好的关于恶意软件感染工业环境的经验数据,它将继续筛选结果并向工业界报告。

“这是一个研究项目,所以我们不确定我们会发现什么,”米勒说。“我们对我们发现的很多结果很满意,还有其他的发现我们正在研究中。”

米勒补充说,德拉戈斯计划将这项研究付诸实践,使其定期向客户提供自动化报告。

米勒说:“我们正试图为讨论添加更多的细微差别,以更好地理解在野外所看到的问题——以及背后的数据。”

更好地控制