1 工业行业面临的勒索威胁态势
2020年来,各种勒索病毒不断涌现,新型黑客组织加入,导致勒索病毒攻击越来越频繁,企业及个人用户都成为了勒索病毒的攻击目标。据《腾讯安全2020上半年勒索病毒报告》显示,传统企业(42%)、教育(18%)、医疗(15%)、政府机构(15%)遭受勒索病毒攻击最为严重,同时互联网(5%)、金融(2%)、能源(1%)也遭受勒索病毒攻击不同程度影响。
1.1 勒索软件变种增多
今年以来,最常见的几款勒索病毒十分活跃,仍是值得关注的安全风险。
WannaRen勒索病毒家族于2020年4月被发现,为WannaCry勒索病毒新变种,主要靠TXT文本和图片两种形式进行传播。三年前,WannaCry勒索病毒肆虐全球150个国家,30多万家机构的文件遭黑客加密攻陷,诸多行业运转几近停摆,直接经济损失高达80多亿美元。
Globelmposter勒索病毒家族占比22.85%,于2017年首次被发现,之后演化出多个知名变种。2020年上半年该勒索病毒携C4H强势来袭,利用RDP/SMB暴力破解方式进行攻击。2月23日湖南某医院系统被植入该病毒,导致文件被加密,所有医院信息系统无法正常使用,黑客要求支付价值30万元人民币的比特币才能恢复正常。
Sodinokibi勒索病毒占比26.7%,于2019年5月在意大利被发现,已在全球大范围传播。主要通过Oracle WebLogic漏洞、Flash UAF漏洞、网络钓鱼邮件、RDP端口等方式发起攻击,已非法获利数百万美元。
Phobos勒索病毒占比19.65%,于2019年8月被发现。其传播方式主要为RDP暴力破解和钓鱼邮件。Phobos使用RSA+AES算法加密文件,攻击者成功入侵后通常会关闭系统的安全软件防护功能并运行勒索病毒,不仅加密文档文件还会加密可执行文件,并在加密后创建勒索信件。
Ryuk勒索病毒占比19.6%,于2018年8月首次发现。其前身是Hermes勒索软件家族,由黑客团伙GRIM SPIDER运营。Ryuk的传播和TrickBot僵尸网络有着密切联系。2020年来,工业企业遭受数十起勒索软件攻击,Ryuk感染了钢铁制造商EVRAZ、EMCOR集团等多家工业企业,加密企业关键数据信息,导致企业停工停产,造成重大经济损失。
1.2 勒索攻击造成损失巨大
勒索病毒攻击会给企业带来严重危害。例如AMD的GPU源代码被盗,攻击者勒索1亿美元赎金;GPS厂商Garmin遭勒索病毒勒索千万美元赎金。2019年仅美国医疗机构就因勒索病毒损失约40亿美元。
据COVEWARE公司报告,2020年一季度企业平均赎金支付额为11,1605美元,比2019年第四季度增长了33%,赎金中位数为44,021美元。据亚信安全预计,2021年全球因勒索病毒攻击造成的损失将达到200亿美元,是2015年的61倍。勒索病毒攻击已经越来越严重,是一种发展最快、流行最广、威胁最大、最常见的一款病毒,也是黑客组织牟取暴利的绝佳手段,被称为“安全业界最头疼的软件”。
1.3 勒索方法呈现新特点
勒索病毒主要攻击方式仍以RDP和网钓邮件为主,能源、制造业、运输、医疗机构等关键基础设施为重点攻击对象。针对性、复杂化和高伤害成本是勒索病毒加速进化的主要特征。攻击者以投递钓鱼邮件展开攻击,在前期对目标用户进行深入调研,选取与目标用户所属领域相关内容来构造邮件和恶意文档。随后将精心编写的主题如“采购订单”等文档添加在邮件附件中发送给目标用户,诱使其下载附件。一旦打开恶意文档,恶意代码会在后台静默下载和执行恶意软件,从而窃取目标用户的敏感信息并对其主机进行控制。受害者遍布于美国、加拿大、德国、中国、英国、法国、西班牙等国家。
2 针对工业行业的勒索攻击路径分析
勒索病毒和其他恶意软件的最大区别在于,恶意软件主要目的是通过发送恶意指令来损坏设备,造成工厂停产甚至事故;但勒索病毒的主要目的是对受害者的设备数据进行加密,然后向用户索要解密赎金。虽然目的不同,但是针对工控系统,勒索病毒与恶意软件的传播方式是相似的。勒索软件在工业网络的攻击行为主要以邮件、程序木马、网页挂马的形式进行传播,该病毒性质恶劣,危害大,一旦感染将给用户带来无法估量的损失。
2.1 利用设备漏洞
勒索病毒与其他恶意软件一样,会利用工控环境的脆弱性实施恶意行为。工控系统在最初设计时并没有考虑到互联网环境,因此主要通过隔离实现其安全性。但随着互联网迅速发展及效率的提高,IT/OT一体化迅速发展,工控系统中越来越多设备与互联网互连,开放性与日俱增,系统暴露、系统漏洞、远程维护成为导致勒索病毒入侵的主要因素。例如FPGA芯片中的高危漏洞Starbleed可导致多个关键基础设施遭受攻击。Starbleed可被用来完全入侵控制芯片,使用恶意代码对芯片进行重新编程,影响多达数十亿台设备。
据CNVD统计,截至2019年12月收录的工控系统相关的漏洞高达2306个,2019年新增的漏洞数量达到413个,且大多为中高危漏洞。据Claroty8月发布的《2020上半年度ICS风险和漏洞报告》显示,2020年上半年披露的工业控制系统(ICS)漏洞中,可以远程利用的超过60%。在ICS-CERT发布的2020年上半年139条ICS公告中,包括385个常见漏洞和披露(CVE)。能源、关键制造以及水和废水基础设施领域,是ICS-CERT公告中发布的漏洞影响最大的领域,其中能源占236个,关键制造业有197个,水务和废水处理行业有171个。美国国家漏洞库NVD在2020年上半年发布了365个ICS漏洞,与2019年上半年发布的331个相比,增长了10.3%。其中超过75%的漏洞被指定为CVSS严重等级或严重等级,这些漏洞涉及到53个厂商。安全形势可谓十分严峻。
2.2 操控远程入侵
配置错误或者管理问题可能会导致一些工控系统设备直接暴露在互联网中,恶意软件就可以通过远程操作利用漏洞来感染工控系统设备,达到其恶意目的。尤其是当前大力推进借助互联网基础构建物联网,企业可因此远程监控自身生产数据,甚至执行远程操作,这同时也给黑客远程攻击、操控生产网络提供了理论上的可能。
2020年3月,网络设备制造商DrayTek的企业路由器存在严重远程命令注入漏洞CVE-2020-8515,允许黑客将脚本下载到受影响的设备中获取用户网络信息,收集数据上传至服务器。
2.3 绕过外部防火墙
管理员通常会在工控系统与外部网络之间安装防火墙等安全设施进行防护,恶意软件不能直接攻击,则会利用邮件、U盘等存储设备通过运营人员所携带的设备进入工控网络,以绕过工控系统的外部防火墙,给病毒传播带来了机会。企业内部人员有意或无意的行为皆可能破坏工业环境、传播恶意软件、忽略工作异常等。特别是针对人的社会工程学、钓鱼攻击、邮件扫描攻击等大量攻击,都利用了员工无意泄露信息的行为。
例如2018年2月国内各大医院爆发的Globelmposter勒索病毒变种2.0版本,可能是通过RDP爆破、社会工程等方式进行传播,采用RSA2048加密算法,导致加密文件无法解密。
2.4 实施供应链攻击
除了运营管理人员,可将设备带入工控系统的还有软硬件供应商。勒索病毒可通过预先感染供应商设备,在工控系统安装新设备时将勒索病毒融入到工控系统中,再利用勒索蠕虫病毒内置漏洞在内网中进行横向渗透,一旦发现存在漏洞,对设备进行感染。根据ESG和Crowstrike的2019年供应链安全报告,16%的公司购买的IT设备被做过手脚,90%的公司没有做好应对供应链攻击的准备。
3月初,美国精密零件制造商Visser遭受勒索软件DoppelPayment攻击,对其文件进行加密,并要求支付赎金。由于没有收到勒索款项,DoppelPaymer在网上公开了有关SpaceX、Lockheed-Martin、Tesla、Boeing等公司的机密信息。
3 工业行业勒索攻击的影响与后果
如今勒索病毒攻击目标多元化、攻击手段复杂化、解密数据难度大、危害影响难估量。勒索病毒数量增幅快,特别是针对关键基础设施和重要信息系统的勒索攻击,影响更为广泛。被勒索组织既要承受巨额经济损失,其数据也有可能无法恢复。勒索攻击的危害远不止赎金造成的经济损失,更严重的是会给组织带来额外的复杂性,造成数据损毁或遗失、生产力破坏、正常业务中断、企业声誉损害,甚至会影响到国计民生大计。工业领域作为近年来地缘政治增多和网络空间对抗的主战场,一旦被攻击可能会造成灾难性后果。因此,工控系统安全事关经济发展、社会稳定和国家安全。
加密文件。勒索病毒一般通过Windows设备对用户的文件进行加密、覆盖或破坏掉原始文件,且大部分勒索病毒都具备了蠕虫病毒的特性,会主动扫描其他被感染的设备,然后寻找有漏洞和脆弱性的设备进行扩散。
窃取机密。恶意软件在攻克并进入工控系统后,根据需求去搭不同的攻击载荷。可将硬盘整个加密或锁死,从内存或者本地文件系统里提取密码、控制列表等机密信息,并进行加密,以便将信息传回恶意软件的作者用于勒索或其他恶意目的。
锁定设备。工控系统的漏洞或弱口令等脆弱性问题,一直都让人头疼。勒索病毒可以轻易的利用这些问题控制PLC等工控系统设备,然后修改认证口令或者利用固件验证直接绕过漏洞,刷入恶意固件并禁用设备固件更新功能,达到获取设备控制权目的。
物理攻击。在某特殊场景下,勒索病毒控制PLC后可以执行对物理世界造成威胁的操作,如锁定阀门或修改上报的参数,来“欺骗”操作人员。研究人员已经在模拟环境中实现勒索病毒控制水处理厂,关闭城市供水或增加氯浓度污染城市用水等攻击行为。
双重勒索。攻击者首先窃取大量敏感商业信息,然后对受害者的数据进行加密,并威胁受害者如果不支付赎金就会公开这些数据,这种勒索策略被称为“双重勒索”。传统的勒索软件基本信守支付赎金即提供解密密钥的策略,逐渐演变到从用户攻击到有针对性的商业攻击,现在又增加了数据勒索的双重危险。这使受害者被迫支付赎金的可能性大幅提高,同时受害者承受着支付赎金后仍被公开数据的风险,以及监管机构对其数据泄露进行处罚的双重压力。
4 勒索攻击的发展趋势
当前,勒索病毒在攻击手段、对抗溯源、目标选择、勒索策略等方面显示出越来越强的针对性。勒索病毒攻击越来越频繁,不仅是企业,个人用户也已经成为勒索病毒黑客组织攻击的目标,有些病毒目前都无法解密。在很长一段时间内,勒索病毒仍是工业行业安全的头号敌人,勒索病毒攻击的趋势是如下:
(1)新勒索病毒不断涌现,旧勒索病毒不断演变进化
未来可能会有更多的勒索病毒家族出现或成熟的新的黑客组织加入,同时国外一些主流勒索病毒运营团队已在国内寻找勒索病毒运营商,通过暗网与国内运营商进行合作传播。云服务将是新的攻击目标,针对Windows服务器和Linux平台的勒索病毒攻击可能会更多。
(2)攻击精准,针对性更强
勒索病毒团伙越来越多地将高价值大型政企机构作为重点打击对象。为了追求利益最大化,多数情况下,攻击者在攻陷企业一台网络资产后,会利用该资产持续渗透更多资产,从而迫使受害者在业务系统大面积瘫痪的情况下,强迫受害者交付赎金,不付赎金就在暗网“耻辱墙”页面公开企业机密,进一步勒索。
(3)攻击手段多变,勒索病毒技术升级
经过长期演变,勒索病毒技术越发成熟,攻击者也在加密流程的细节上进行优化,从早期的单线程文件加密到针对每个磁盘分区进行多线程加密;从单一的X86可执行病毒版本到增加X64可执行版本等,受害者更加难以察觉。
(4)多病毒投放,实行“联合”攻击
攻击者为避免病毒单一导致加密失败,开始与多个勒索病毒家族合作。同时更多的勒索病毒开始针对国内市场做优化,如增加中文版的勒索信件等。国内依然是勒索病毒团伙关注最为密切的市场之一。
(5)僵尸网络成勒索病毒传播中间力量
为了对目标进行精准打击,更多勒索病毒会利用僵尸网络庞大的感染基数进行迅速扩张。新型软件为了快速切入市场,也会选择与僵尸网络进行合作,以获得市场知名度。
(6)企业数据安全是最重要的关注方向
今后针对企业的勒索病毒可能会更多,新型窃密木马会随着勒索病毒一起发放,窃取企业数据。通过“勒索+窃取”的方式对企业数据进行攻击。全球数据泄露的安全事件中大部分是通过恶意软件进行网络攻击造成的。
(7)各个不同的勒索病毒组织之间竞争越来越激烈
这将促使勒索病毒黑客组织不断更新,开发更多新型勒索病毒,同时也会加大勒索病毒方面的运营手段。
随着制造强国战略全面推进,我国工业领域的数字化、网络化、智能化水平加快提升,遭受勒索病毒攻击的形势也会愈发严峻,因此构建有效的勒索病毒防御体系迫在眉睫。
5 勒索病毒防御建议
攻击和防御在信息安全领域一直是一个不变的话题。工业企业不仅面临民间黑客攻击,一些基础设施也成为有组织犯罪甚至国家级网络攻击的重点目标。勒索病毒攻击已成为工业企业面临的最大安全问题之一,在今后一段时间内仍是政府、企业、个人共同面对的主要安全威胁。勒索病毒的攻击方式,随着技术的应用发展不断变化,有针对性的勒索病毒事件给不同行业和地区的企业带来了破坏性攻击威胁。勒索攻击产业化、场景多样化、平台多元化的特征会更加突出。在工业场景中,勒索病毒惯用的攻击向量主要是弱口令、被盗凭据、 RDP服务、USB设备、钓鱼邮件等,面对被勒索病毒攻击的棘手问题,有效防范措施仍是有针对性地做好基础防御工作,构建和扩张深度防御,从而保障企业数据安全,促进企业良性发展。针对勒索病毒的攻击防护建议如下:
(1)强化端点防护。
及时加固终端、服务器,所有服务器、终端应强行实施复杂口令策略,杜绝弱口令;安装杀毒软件、终端安全管理软件并及时更新病毒库;及时安装漏洞补丁;服务器开启关键日志收集功能,为安全事件的追溯提供基础。
(2)关闭不需要的端口和服务。
严格控制端口管理,尽量关闭不必要的文件共享权限以及不必要的端口(RDP服务的3389端口),同时使用适用的防恶意代码软件进行安全防护,采取适当隔离和其他最佳实践,是限制勒索病毒和其他恶意程序横向扩散的最有效方法之一,一旦发现中毒机器立即断网。
(3)采用多因素认证。
利用被盗员工凭据来进入网络并分发勒索软件是一种常见的攻击方式。这些凭据通常是通过网络钓鱼收集的,或者是从过去的入侵活动中获取的。为了减少攻击的可能性,需在所有技术解决方案中采用多因素身份验证(MFA)。
(4)全面强化资产细粒度访问。
重点关注工业主机资产,做好工业主机防护。增强资产可见性,细化资产访问控制。员工、合作伙伴和客户均以身份和访问管理为中心。合理划分安全域,采取必要的微隔离,落实好最小权限原则。
(5)深入掌控威胁态势。
持续加强威胁监测和检测能力,依托资产可见能力、威胁情报共享和态势感知能力,具有识别OT资产中存在哪些安全漏洞以及准确评价每个漏洞带来的风险级别的能力,形成有效的威胁早发现、早隔离、早处置机制。
(6)制定业务连续性计划。
强化业务数据备份,对业务系统及数据进行及时备份,并验证备份系统及备份数据的可用性。建立安全灾备预案。同时做好备份系统与主系统的安全隔离,避免主系统和备份系统同时被攻击,影响业务连续性。
(7)加强安全意识培训和教育。
员工安全意识淡漠是一个重要问题。必须经常开展网络安全培训,以确保员工严格使用U盘、移动硬盘等可执行攻击设备,发现并避免潜在的勒索攻击网络钓鱼电子邮件。将该培训与网络钓鱼演练相结合来掌握员工的薄弱点,并且为最薄弱的员工提供更多支持或安全保障以降低风险。
(8)持续检测生产风险。
每三到六个月对网络卫生习惯、威胁状况、业务连续性计划以及关键资产访问日志进行一次审核,并不断改善安全计划,及时了解风险,主动防御勒索软件攻击并减轻其影响。
(9)建立低位、中位、高位能力“三位一体”的工业互联网信息安全产品体系。
传统的安全防御产品已逐渐无法应对越来越严重的安全威胁。构建防护监测层、安全运营层、态势感知层分别实现不同安全功能,融合联动发展的互联网安全产品体系将成为未来发展的重要趋势。
参考文献:
摘自《工业控制系统信息安全专刊(第七辑)》