今日頭條
官方微信
官方抖音
資訊頻道1 引言
隨著信息技術的發展,計算機技術越來越多地應用于社會生產生活中,與此同時惡意軟件也在不斷發展進化。早期的惡意軟件僅僅出于個人炫耀或技術探索,互聯網時代“用戶流量”的巨大價值吸引惡意軟件利用劫持虛擬資產、流量、互聯網推廣作弊等手段謀取間接利益,隨著區塊鏈加密貨幣的流行,惡意軟件再一次進化直接向受害者伸手要錢。
隨著破壞工業設施的Stuxnet、加密用戶數據進行勒索的WannaCry等惡意軟件曝光,來自惡意軟件的威脅已經觸及工控系統,對于工控系統的運營管理者,有必要了解惡意軟件,了解工控系統正面臨的信息安全風險。
2 惡意軟件從炫技到勒索病毒的演進
推動惡意軟件進化的背后是賽博世界中利益輸送方式的進化。在計算技術發展的早期,各種應用普及程度有限,潛在的惡意軟件作者難以通過傳播病毒廣泛牟利,不妨假設有人試圖制造病毒擴散,隨后在市場上出售針對性的殺毒工具,這種操作證據直接明顯,作者可能都猜不到發財和被捕哪件事會先發生,所以這個時代的病毒才會顯得相對“純粹”。
到了流量時代,用戶在互聯網上的活動、消費對應著廣告和貿易等現實世界中有價值的資源,為了獲得更多收益,服務商開始為“流量”出價。例如經營電子商務的公司,為了獲取更多的客戶開始鼓勵推廣者,每拉來一位網絡訪客給予一定的流量分成,很快惡意軟件開始劫持網絡中的流量,通過植入病毒木馬、劫持HTTP、劫持DNS等方式,綁架流量從服務商處騙取收益。這種方式具備一定的隱蔽性、難以察覺并且普通人即便了解相關技術,也只能追蹤到一個推廣者ID,追查這個ID是誰已經不是普通人的能力范圍了。萬變不離其宗,流量時代的利益輸送仍然從服務商處以現金方式結算,通過追查相關資金和信息還是可以找出惡意軟件作者,在公安機關、安全廠商等多方努力和相關法律法規逐漸健全的情況下流量劫持惡意軟件已經得到控制。
如今勒索病毒已經成為互聯網上逐利惡意軟件的代表,勒索病毒并不是近年來的發明,早在1989年,就有勒索病毒在運行后將計算機C盤加密,顯示信息聲稱用戶的軟件許可過期,要求用戶向“PCCyborg”公司位于巴拿馬的郵箱寄一筆錢以解鎖系統。勒索病毒流行依托的其實是區塊鏈技術衍生出來的加密貨幣。在2008年金融危機后,美國實行量化寬松,全球各大央行放水,一種基于P2P網絡的加密貨幣開始流行,也就是比特幣。比特幣具備不依靠特定貨幣機構發行的特性,數據從客戶端到客戶端傳輸,沒有所謂的清算中心,也就是說比特幣的傳送不受任何一個機構的監管,具備一定的匿名特性。只要建立網絡連接加密貨幣可以從世界上任何兩個地方之間傳送。具備這一特性的加密貨幣不止比特幣一種,但這一特性,極為適合勒索病毒使用。勒索病毒感染成功后迅速加密用戶數據,隱藏解密數據所必須的密鑰,然后向用戶發出通知,要求支付加密貨幣贖金。拒絕支付贖金則密鑰可能被銷毀,所有資料可能無法解密。而惡意軟件作者躲在加密貨幣后,追蹤難度可想而知,正因如此惡意軟件作者才敢對工控系統伸手。
3 勒索病毒如何進入工控系統
勒索病毒和其他目的的惡意軟件的主要區別是目的不同,惡意軟件Stuxnet的主要目的是發送惡意指令損壞設備,勒索病毒WannaCry的主要目的則是加密受害者設備上的數據,向用戶索要解密贖金,但針對工控系統的惡意軟件在傳播方式上是相似的。
工控系統在設計之初通常并未考慮到暴露在互聯網上或與互聯網存在間接連接,其安全性主要來自于隔離。但隨著計算機和網絡技術的發展和提高效率的需求,工控系統的封閉特性正在逐漸被打破,因此存在一些安全隱患。
3.1 利用設備漏洞遠程入侵
由于配置錯誤或者管理上的問題,可能存在一小部分工控系統設備直接暴露于互聯網中,如果設備上存在漏洞,惡意軟件可能通過遠程利用漏洞的方式感染工控系統設備,實施勒索或其他惡意行為。
3.2 繞過工控系統外部防火墻
在一般情況下工控系統與外部網絡至少存在防火墻等安全設施保護,惡意軟件可能通過郵件、U盤等渠道,通過工控系統運營人員攜帶的設備帶入內網,以繞過工控系統外部防火墻進入工控網絡。
3.3 通過供應鏈攻擊進入工控網絡
將設備帶入工控系統的除了運營管理人員還有相應軟硬件供應商,勒索病毒也可能通過預先感染供應商設備在工控系統中安裝新設備時將勒索病毒帶入工控系統,再利用勒索蠕蟲病毒中內置的漏洞利用代碼在工控系統內網中進行橫向滲透,發現并感染存在漏洞和脆弱性問題的工控系統設備。
4 勒索病毒對工控系統的破壞
4.1 加密文件
在目前已經曝光的案例中,勒索病毒主要感染Windows設備,將設備用戶文件進行加密,覆蓋或破壞原始文件,并且絕大多數勒索病毒都具備蠕蟲病毒的特性,會主動對被感染設備同網絡中的其他設備進行掃描,通過內網和感染設備發現存在漏洞和脆弱性的設備進行擴散。
4.2 竊取機密
在利用漏洞或其他入侵手段進入工控系統后,惡意軟件可以根據其需要搭載不同的攻擊載荷,獲取密碼、控制列表、PLC程序等機密信息并加密,嘗試傳回惡意軟件作者達到勒索或其他惡意目的。
4.3 鎖定設備
勒索病毒可以利用工控系統設備的漏洞或弱口令等脆弱性問題,控制PLC等工控系統設備,修改認證口令或利用固件驗證繞過漏洞刷入惡意固件并禁用設備固件更新功能,獲取設備的控制權。
4.4 物理攻擊[6]
在某些特殊場景下,勒索病毒可以控制PLC,執行某些會對物理世界造成威脅的動作,例如鎖定閥門或修改上報的參數,欺騙操作人員。研究人員已經在模擬環境中實現勒索病毒控制水處理廠,關閉城市供水或增加氯濃度污染城市用水等攻擊行為。
萬幸的是,目前已公開的案例中勒索病毒對工控系統的威脅還停留在加密文件勒索階段,尚未造成人員傷亡或無法挽救的重大財產損失。據報道全球最大的芯片制造商臺積電曾因勒索病毒WannaCry攻擊生產線上的自動物料搬運系統(AMHS)造成停工,預測將對當年第三季營收造成3%的影響,隨后臺積電對受影響的設備進行斷網處置,并表示因停工造成的產能影響可以彌補[7]。
5 工控系統防御勒索病毒的解決方案
勒索病毒與其他工控環境下的惡意軟件一樣,利用工控環境中的脆弱性問題及設備漏洞實施惡意行為,在預防上與其他工控惡意軟件一致,主要體現在以下幾點:
5.1 資產識別與維護
對工控系統網絡中的設備進行識別,發現存在安全隱患或者存在已知漏洞的設備,及時修復,對于不便停機升級的設備進行必要的隔離保護,關閉工控系統網絡中所有非必要的通訊端口。
5.2 準入控制
準入控制指對網絡的邊界進行保護,對接入網絡的終端和使用進行合規檢查,杜絕不安全的電腦、U盤等設備未經充分檢查接入工控系統。
5.3 制訂備份與恢復計劃
對于生產資料和系統進行備份,將備份文件用單獨的設備離線儲存或保存到安全的環境中,并準備恢復計劃。
5.4 事后追查能力
作為以防萬一的保障,確保在發生攻擊事件后有能力追查攻擊來源、造成的影響和所有設備是否已經被完全恢復。
5.5 安全培訓
完全依賴安全設備或管理制度均不可取。加強工控系統安全需兩者結合,工控系統操作人員的安全意識非常重要,應加強安全培訓,相關操作人員杜絕下載不明文件、點擊不明鏈接或使用未經充分安全檢查的設備接入工控系統等高危操作。
6 基于損失控制的勒索病毒處置探討
在對于勒索病毒的處置中,工控系統與普通辦公設備不同。工控系統冗余量小,即便是部分設備感染勒索病毒也可能造成整個生產線停工甚至工控系統中的設備物理安全受到威脅。這種情況下時間就是金錢甚至生命,從減少損失的角度來看,確定恢復系統正常運轉的代價遠高于支付贖金,工控系統的運營管理者很難有其他選擇。
當勒索事件發生后,冷靜迅速處理,判明情況。首先將被攻擊的異常設備進行斷網斷電隔離,中斷內網通信避免勒索病毒出現擴散,隨后聯系安全廠商及有關機構對設備中的病毒樣本進行取樣分析,盡量了解惡意軟件意圖和已經造成的影響,并著手修復工控系統及早恢復正常工作,查明勒索病毒入侵情況后,應將染毒內網中的設備進行離線修復,避免因安裝補丁等修復過程中勒索病毒借機入侵。
勒索病毒的解密也存在多種可能性,首先勒索病毒的加密方式多種多樣,攻擊者可能掌握難以破解的密鑰,這種情況下支付贖金尚有可能取回解密密鑰。也存在另一種可能性,病毒已經對文件造成了不可逆的破壞,即便支付贖金也只能是增加損失。
亦有可能感染的病毒只是采用了一些在本地對文件簡單加密的方法,例如對文件中的部分內容進行可逆加密,通過對勒索病毒的逆向分析可能找出文件恢復的解決方法,制作出對應的解密工具[8]。
在分析檢出的勒索病毒加密原理后,可能有找回文件的方法,在一些情況下原始文件并未被直接加密,勒索病毒可能先創建了加密后的副本再刪除了原始文件,在這種情況下采用數據恢復技術有可能恢復部分原始文件,挽回損失,切記盡可能避免對已經被勒索病毒加密的設備做不必要的操作,以免原始文件被二次覆蓋無法恢復。
在工控系統這一特殊環境下,對運營管理人員的要求更高于普通IT網絡中的勒索病毒應急響應,當工控系統設備在勒索病毒攻擊下出現異常或停擺時,其影響可能在業務邏輯中的上下游產生擴散影響,這需要工控系統的運營管理人員在預防之外對可能發生的勒索病毒爆發事件做好充分準備,并且與安全廠商及有關機構建立通暢的溝通渠道,在需要時以生命財產安全為第一要務,合理處置工控系統中的勒索病毒事件。
作者簡介
周 晟(1984-),男,上海人,高級工程師,本科,現就職于長揚科技(北京)有限公司,從事工業安全研究研究8年,參與過大量工業安全及網絡安全項目(航天八院網絡安全項目、長安汽車工控安全項目、上海水務局工控安全項目、武漢經信委工控安全檢查等),有深厚的工業安全和網絡安全功底,編寫過多本關于工業安全和網絡安全的培訓教材(武漢經信委工控安全培訓教材、內蒙經信委工控安全宣講教材、航天八院網絡安全管理及培訓教材等)。
參考文獻:
[1] Georgia Tech. Out of Control: Ransomware for Industrial Control Systems[DB/OL].
http://www.rh.gatech.edu/news/587359/simulated-ransomware-attack-shows-vulnerability-industrial-controls, 2017 - 02 - 13.
[2] 臺灣積體電路制造股份有限公司. 臺積公司公布電腦病毒感染事件影響[EB/OL]. http://www.tsmc.com/tsmcdotcom/PRListingNewsAction.do?action=det ail&newsid=THHIANTHTH&language=C, 2018 - 08 - 05.
[3] Benjamin Delpy.Github項目wanakiwi [DB/OL]. https://github.com/gentilkiwi/wanakiwi, 2017 - 06 - 12.
摘自《工業控制系統信息安全專刊(第五輯)》
北京市公安局海淀分局備案號:11010802023656號