工控系统入侵流程研究报告

RSA报告人背景

该报告的作者是Tom VanNorman和Dan Gunter。Tom VanNorman曾在GRIMM的工业控制系统运营、工程以及安全的项目中承担重要职位,在工业控制领域有着深厚的背景。服役于美国空军长达24年,其中12年服役于美国国家任务团队的网络运营中队。此外,Tom还是ICS village 的联合创始人和SANAS网络区域架构与运营的咨询顾问(ICS village是非盈利的教育性组织,行业决策者们从中借助认知实验、教育、训练来更好的保护工业设备);Dan Gunter是Insane Forensics公司的创始人兼CEO,该公司总部位于美国德州,专注于提供数字取证平台服务,包括居家取证、整合取证。Dan曾就职于Dragos,任职原油、电力、矿产和其他基础设施环境的工业互联网安全首席分析师。在这之前,Dan也曾服役于美国空军,负责跨DOD部门的攻击性武器和防御性武器管理。

一、概述

该报告针对工业控制系统的黑客入侵过程研究进行了详细阐释,包括攻击手段的演化及对应的解决措施。

二、常见工业设备与事件可视化

图1 常见的工业热交换设备

常见的工业热交换设备需依赖s7comm、ENIP、modbus等常见工业协议进行气压、温度、时间、开关等的控制。在发生安全事件时,各个协议所支持的IP地址流量会发生显著变化,即安全事件的可视化。IP地址包括图4中常见的HMI、PLC等。例如在图2中,通过分析Modbus和EthernetIP流量的显示图,可得知在发生安全事件时,IP地址的流量会显著减少。从图3也可得知,三个IP地址的Modbus和ENIP的流量在大幅下降前会发生突增。这种流量的变化也对应着不同的攻击方式。

图2  安全事件发生时Modbus和EthernetIP流量骤减
图3 Modbus和EthernetIP流量骤减前的突增
图4 三种工业设备的IP地址

三、常规攻击流程

随着工业互联网安全技术的更新,新的攻击方式也层出不穷。黑客可通过钓鱼邮件部署远程访问软件,建立远程桌面协议以登入用户计算机,从而操纵控制流程。攻击所用到的技术来自MITRE建立的ATT&CK技术库。具体攻击流程如下:

1、T1566.002网络钓鱼及T1113-屏幕获取

攻击手段:

  • 向用户发送钓鱼邮件,诱导用户点击钓鱼链接。
  • 尝试截屏电能桌面以获取操纵信息。屏幕获取的功能特点与远程访问工具类似。截屏工具可以为CopyFromScreen、 xwd和screencapture。

利用该攻击手段的组织如下:

APT1、APT28、 APT29、 APT32、 APT33、 APT39、 Dragonfly 2.0、 Leviathan/APT40、OilRig。

2、T1219– 远程访问软件

攻击手段:

  • 利用合规桌面支持远程访问软件(如Team Viewer、 Go2Assist、 LogMein、AmmyyAdmin等)与目标系统在网络中建立交互指令与控制渠道。这些服务一般用于合规技术支持软件,可以实现在目标环境中的应用控制。远程访问工具也经常被黑客所使用,如VNC、 Ammyy和Teamviewer。
  • 远程访问工具可用于冗余访问的另类通讯渠道,或作为与目标系统的交互性远程桌面使用,也可用作恶意软件的组成部分,来与被黑客控制的系统建立反转连接或后门连接。

利用该攻击手段的组织如下:

  • Sandworm Team/Electrum

– Ukraine 2015

  • Kimsuky

– Korea Hydro & Nuclear Power

  •  Carbanak

在此步攻击中,可以的域名登录时,HTTP/TLS的流量会发生突增。流量突增的可视化可作为该攻击的检测手段。部分商业软件可显示远程访问记录。

图5 可疑域名HTTP/TLS 流量可视化
图6 远程访问记录截屏
图7 所用到的ATT&CK技术

3、T1021.001–远程服务:远程桌面协议

攻击手段:

  • 可以通过远程桌面协议(RDP),利用有效账户登入计算机。
  • 远程桌面是操作系统中的常见应用,即利用系统桌面图形化的用户界面从远程系统登录。而微软会把这一行为看作远程桌面服务(RDS)。
  • 通过RDP/RDS连接远程系统,在该服务给予访问许可时进行进一步访问。利用认证访问技术获取RDP权限,并与访问性特征技术同时使用,以实现持久访问。

利用该攻击的组织如下:

APT1、APT3、APT39、AP41、APT40/Leviathan、Lazarus Group、Oil Rig

在这一步的攻击中,黑客的登录可以在远程访问解决方案日志中显示。

图8 远程访问解决方案日志显示新的登录者

4、T8031 操纵控制流程

攻击的手段:

  • 操纵工业环境中的物理流程控制。
  • 控制流程的操纵包括篡改基准值、标签、参数等。
  • 操纵控制系统设备与指令物理控制流程进行通讯。
  • 根据运行人员的检测,设置临时或长期的操纵时间。

利用该攻击的组织如下:

Sandworm/Electrum – Ukraine 2015 & Ukraine 2016

Equation – Stuxnet

图9-11对三种安全事件在windows事件日志中的可视化进行了展现,包括HMI端的流量变化、IP地址端的流量变化,以及异常IP地址。

图9  HMI流量, 包括TLS和端口3389 的流量突增
图10 安全事件发生之前192.168.100.23 IP地址登录导致流量大幅波动
图11  安全事件中黑客的192.168.100.23IP 地址登录主机

四、造成的影响与相应对策

1、安全事件造成的影响

  • 利用TTP总线协议对网络造成危害。
  • 通过远程桌面发现HMI,通过HMI访问工业控制系统。
  • 通过HMI篡改工控系统中的关键阈值。

2、安全事件可能造成的进阶影响

  • 部署勒索软件。
  • 损毁文件或造成服务拒绝状态。
  • 通过篡改HMI的设定值威胁人员健康、寿命、安全或造成产品质量问题。

3、预防措施

  • 基于工业实践设计工业流程。优秀工业实践的方法和流程可提供高相关性、低成本的解决方案,以符合合规标准和使用规范。
  • 优秀的工业实践可参考PSM Standard, 29 CFR 1910.119。

4、攻击的检测与防御

攻击技术造成的影响如何防御如何检测
T8031-操纵控制流程ICS设备损毁ICS协议网络HMI和PLC之间流量的突增和突减限制关键区域的流量定时进行审计,加强关键系统防御提高工业协议监测深度审查数据销毁的策略
T1021.001-远程桌面协议黑客利用RDP从入侵点转移到HMI审计远程桌面用户组限制关键区域的RDP流量监测Windows事件4624记录分析用户在网络和主机日志的访问行为
T1219-远程访问软件黑客利用远程访问软件进行初始访问限制并监控远程访问的范围2FA认证审计访问软件网络和主机日志警惕异常行为
T1566.002-钓鱼链接利用钓鱼邮件进行初始入侵对钓鱼邮件提高警惕性监控OT出站和入站邮件的流量DNS/HTT的新旧流量监控监控用户账户的不正当使用行为
T1113-屏幕获取对远程访问证书进行截屏用以访问网络由于截屏是系统内置的功能,因此较难防御监控剪切板在OT网络中寻找拥有截屏功能的二进制文件

五、现阶段可采取的措施

1、现阶段可采取的安全措施

–理解现有的防御措施集合以及分析范围;

–利用现有人员、流程、技术的力量;

–理解现有工作流程和所需的安全措施;

–与运营和工程部门建立良好关系;

–对所有人员进行安全培训。

2、未来3个月可采取的安全措施

–收集分析一个或多个攻击场景;

–在运营人员、安全流程、安全技术等方面投入更多的资金和精力,以提高企业的安全防护能力。

版权声明

本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。

Spread the word. Share this post!

Meet The Author

Leave Comment