警惕!两款工控系统新勒索软件

在对关键基础设施和SCADA/ICS的网络威胁中,一类针对工控系统的勒索软件验证模型,最近正变的流行起来。

2017年2月份佐治亚理工学院电气和计算机工程学院的科学家们在有限的范围内模拟了一个概念勒索软件[1](LogicLocker),主要目的是使用勒索软件的攻击手法来攻击关键基础设施、SCADA和工业控制系统。

背景摘要

今天我们要说的是此类勒索软件最新的两款:

  1. ClearEnergy。2017年4月初,CRITIFENCE发布了勒索软件验证模型:ClearEnergy(中文译名:能源清除)
  2. Scythe。4月27日,安全周(Security Week )发布了一篇文章[6],讲解了一个锁住ICS固件来勒索的软件 “Scythe”。

ClearEnergy

CRITIFENCE的关键基础设施和SCADA/ICS网络威胁研究小组的科研人员发表声明称,发现两个PLC漏洞[3]:CVE-2017-6032和漏洞CVE-2017-6034。

CRITIFENCE安全研究员公布了供应商施耐德电气公司的UMAS协议中的一个潜在安全漏洞。 UMAS协议似乎存在一个关键漏洞,该漏洞是由于协议会话密钥设计不良,从而会导致身份验证失效。“UMAS是2.6系列中的Unity系列PLC和Unity OS中使用在管理控制层的内核级协议。 它依赖于Modicon Modbus协议,关键基础设施,SCADA和工业控制系统中的通用协议,用于访问从PLC到SCADA系统的未分配和分配的内存”。 令研究人员担心的是,它可能在未来几年内没有办法完全得到修复,因为它涉及到众多的硬件和供应商。

据了解,施耐德电气已经证实,Modicon系列PLC产品容易受到CRITIFENCE发现的漏洞所攻击,并发布了重要的网络安全通知[4]。 国土安全部(ICS-CERT)今天早些时候也发布了一项重要的通知表示: 施耐德电气确认的基本缺陷允许攻击者轻松猜测一个弱(1字节长度)的会话密钥(256种可能性),甚至可以嗅探。 使用会话密钥,攻击者能够完全控制控制器,读取控制器的程序并用恶意代码重写。

在2017年4月初,CRITIFENCE发布了勒索软件验证模型,基于清除PLC的梯形逻辑图的勒索软件攻击的原型[5]。又名能源清除(ClearEnergy)。

ClearEnergy以强大的加密算法感染计算机并加密其内容,然后要求赎金来解密该数据。旨在破坏关键基础设施,SCADA和工业控制系统中的过程自动化逻辑。如核电厂和设备厂,水和废物设施,运输基础设施等。一旦在受害机器上执行ClearEnergy,它将搜索易受攻击的可编程逻辑控制器(PLC),以便从PLC抓取梯形图逻辑图,并尝试将其上传到远程服务器。最后,ClearEnergy将启动一个定时器,它将触发一个进程,在一小时后从所有PLC中擦除逻辑图,除非受害者愿意支付赎金来停止攻击。

ClearEnergy影响了世界上最大的SCADA和工业控制系统制造商的大量PLC型号。施耐德电气,AB,通用电气(GE)以及更多厂商都容易受到ClearEnergy的伤害。

影响范围:包括Schneider Electric Unity系列PLC和2.6版以及更高版本的Unity OS,其他领先供应商的PLC型号包括GE和Allen-Bradley(MicroLogix系列),这些产品也被发现易受ClearEnergy攻击的破坏。

值得注意的是ClearEnergy的关键部分(虽然不是完整部分)在GitHub上开源。任何人都可以下载获得并修改。

ClearEnergy概念模型的运行界面如下:

ULKG的运行界面:

MRCT的运行界面:

Scythe

2017年4月27日,安全周(Security Week)发布了一篇题为“New SCADA Flaws Allow Ransomware, Other Attacks”的文章[6],该文章源于ICS安全公司Applied Risk 于2017年新加坡ICS网络安全会议的演讲。该演讲和文章强调了ICS ransomware,该公司称之为“Scythe”,其目标是“SCADA设备”。Applied Risk指出,攻击可以利用固件验证绕过漏洞,并锁住升级更新固件的功能。

“Scythe”的ransomware攻击也可以针对不显眼的SCADA设备,并且可能被认为风险较小。

应用风险开发和演示的攻击场景将从攻击者扫描Web的潜在目标开始。据Ariciu介绍,许多设备可以使用Shodan搜索引擎进行识别,但通过简单的Google搜索可以找到更多的目标。

作者Ariciu已经对来自不同供应商的四台设备进行了测试,发现可以直接从互联网访问近10,000个系统。研究人员表示,这些系统中的大多数都缺少任何身份验证机制,方便访问。

该攻击依赖于固件验证绕过漏洞,可以利用该漏洞将恶意软件替换为合法固件。在Applied Risk描述的ransomware场景中,攻击者连接到目标设备的接口,为目标设备的配置创建一个备份,并安装可以破坏常规进程的固件。

受害者看到受感染的设备已经断开连接,当他们访问它进行分析时,他们会收到ransomware消息。Scythe勒索软件的勒索界面如下:

为了防止受害者恢复固件,攻击者可以“禁用”固件和配置更新功能。在大多数情况下,“恢复出厂设置”功能不会减轻攻击,因为进程不会恢复原始固件。不过,黑客也可以禁用此功能。

虽然Ariciu描述的攻击防止受害者恢复固件,但如果受害者支付赎金,攻击者仍然可以恢复设备及其配置。这是因为固件更新功能实际上没有被禁用。用户需要知道固件文件的名称才能启动更新。如果攻击者分配了32个字符或更多的随机文件名,那么受害者将无法确定它来进行固件更新。

研究人员已经警告说,一旦确定特定设备如何被入侵,攻击者就可能通过利用供应商提供的固件更新实用程序来发起大规模攻击。

受到警告的用户表示,他们从未考虑进行配置备份,特别是因为这些设备在部署后很少被重新配置。但是,考虑到花费大量时间配置设备,丢失配置可能会产生严重的后果。

受影响的四家公司表示。这些设备的价格介于€300至€1,000之间,也就是说设备的价格很贵。

其中有两家厂商承认固件验证绕过漏洞的严重性。但他们表示,修复安全漏洞并不是一件容易的事情,他们仍然在寻求解决问题的最佳方法。

启示

在两个月的时间里:从LogicLocker到ClearEnergy的功能已经比较完善了,再到Scythe的出现。

在2017年1月下旬,据报告,勒索软件感染了一个豪华的奥地利酒店,阻止了给客人制作新的房间钥匙卡,基本上锁定他们的房间。由于每个酒店房间每晚花费高达几百美元,受害者决定支付大约1600美元的攻击者来恢复系统并继续正常的业务操作[7]。虽没有用已知的勒索软件攻击PLC,但还是用其他方式攻击了控制系统。

虽然ICS网络到目前为止没有受到恶意勒索软件的攻击。不是因为他们更安全,而是犯罪份子在之前的很长一段时间里没有找到一个合适的商业模式。随着网络犯罪分子明显抓住勒索软件的盈利能力,他们似乎开始将ICS网络视为下一个潜在的受害者,因为这些系统很少受到特别的保护。

针对工控系统里的勒索软件发展速度如此的快,这是值得引起我们警示的。我们(包括设备商、用户、安全厂商等)要提前做好防御措施,才能在未来打好这场硬仗。

参考链接:

  1. http://www.cap.gatech.edu/plcransomware.pdf
  2. https://github.com/0xICF/ClearEnergy
  3. ClearEnergy中利用的漏洞

CVE-2017-6032 http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=2017-6032

CVE-2017-6034 http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=2017-6034

SVE-82003203 http://www.critifence.com/sve/sve.php?id=82003203

SVE-82003204 http://www.critifence.com/sve/sve.php?id=82003204

  1. http://www.schneider-electric.com/en/download/document/SEVD-2017-065-01/
  2. http://securityaffairs.co/wordpress/57731/malware/clearenergy-ransomware-scada.html
  3. http://www.securityweek.com/new-scada-flaws-allow-ransomware-other-attacks
  4. http://www.wired.co.uk/article/austria-hotel-ransomware-true-doors-lock-hackers

声 明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

关于绿盟科技

北京神州绿盟信息安全科技股份有限公司(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。

基于多年的安全攻防研究,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。

北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市交易,股票简称:绿盟科技,股票代码:300369。

如果您需要了解更多内容,可以
加入QQ群:570982169
直接询问:010-68438880

发表评论