今日頭條
官方微信
官方抖音
資訊頻道2020年3月23日,知名安全廠商火眼公司的研究人員Jeffrey Ashcraft、Daniel Kapellmann Zafra、Nathan Brubaker在其官網上發布了題為《監視ICS網絡行動工具和軟件利用模塊以預測未來的威脅》博文。文章指出,專用于ICS的入侵和攻擊工具的普遍可用性正在擴大,使得針對運營技術(OT)網絡和工業控制系統(ICS)的攻擊者群體更加方便行動。之前人們對OT威脅和攻擊的認識,還停留在“對這些系統的成功入侵和攻擊通常需要專門的知識,成功攻擊OT/ICS系統是有很高門檻的”這種層面。現在看來,對于經驗不那么老道的威脅行為者,由于入侵和攻擊工具通常是由具有專業知識的人開發的,因此這些工具的易得性可以幫助其繞開獲取某些專業知識的障礙,或者可以幫助他們更快地獲取必要的知識。而對于經驗豐富的威脅行為者,他們可能會傾向于使用已知的工具和漏洞來掩飾和隱藏自己的身份,也使其TTP甚至攻擊軌跡“大隱于市”不易暴露。這也再次警示眾多OT/ICS供應商和運營者,相關攻擊技術的低門檻、攻擊工具易獲得,將加劇工業企業網絡安全的威脅態勢,而且高能力的攻擊對手將變更加難以發現和追蹤。
在過去的數十年中,針對運營技術(OT)/工業控制系統(ICS)的網絡攻擊僅有很少量的被記錄在案。雖然攻擊數量少是一件好事,但缺乏足夠的樣本量來確定風險閾值可能會使防御者難以理解威脅環境,確定網絡安全工作的優先級并證明資源分配的合理性。
為了解決這個問題,FireEye Mandiant威脅情報部門發布一系列報告,專注于不同指標來預測未來的威脅。來自暗網論壇上的活動的洞察力、現場軼事、ICS漏洞研究以及概念驗證等等研究,使得即使在事件數據有限的情況下,也可以說明威脅的情況。此篇博客文章重點介紹了其中一種來源,面向ICS的入侵和攻擊工具,在本文中將其統稱為網絡行動工具。
面向ICS的網絡行動工具是指具有利用ICS弱點或與設備進行交互的能力的硬件和軟件,威脅者可以利用這種方式來支持入侵或攻擊行動。在此博客文章中,研究人員將漏洞利用模塊與其他網絡行動工具分離開來,這些漏洞利用模塊被開發為可在Metasploit、Core Impact或Immunity Canvas之類的框架上運行,因為這些框架的的數量很多。
網絡行動工具降低了攻擊者所需ICS專業知識的門檻
由于ICS是信息和計算機技術的一個獨特子域,因此,針對這些系統的成功入侵和攻擊通常需要專門的知識,從而為成功攻擊樹立了更高的門檻。由于入侵和攻擊工具通常是由具有專業知識的人開發的,因此這些工具可以幫助威脅行為者繞過自己獲取某些專業知識的需求,或者可以幫助他們更快地獲取必要的知識。另外,經驗豐富的行為者可能會訴諸使用已知的工具和漏洞來掩飾自己的身份或最大化其預算。
標準化網絡行動工具的開發和隨后采用,通常表明其對抗能力不斷增強。無論這些工具是由研究人員開發的概念驗證工具,還是在過去的事件中使用的工具,對它們的訪問都可以降低各種參與者學習和發展未來技能或自定義攻擊框架的障礙。在此前提下,對于那些使用各種已知攻擊工具就能達到攻擊意圖的設備,就成了攻擊者唾手可得的目標。
ICS網絡行動工具分類
Mandiant Intelligence跟蹤了大量公開可用的ICS專用網絡行動工具。使用的術語“特定于ICS”沒有硬性規定。盡管跟蹤的絕大多數網絡行動工具都是明確的案例,但在某些情況下,已經考慮了工具創建者的意圖以及該工具對ICS軟件和設備的合理可預見的影響。同時,也排除了基于IT的工具,但這些工具可能會影響OT系統,例如商用惡意軟件或已知的網絡實用程序。僅包含少數例外,其中識別了使工具能夠與ICS進行交互的特殊修改或功能,例如nmap腳本。
根據功能,研究人員將每個工具分配給十個不同類別或類中的至少一個。這十個類別分別是軟件漏洞利用、網絡發現、無線電、Fuzzer、惡意軟件、硬件、在線偵察、紅外、知識庫、勒索軟件。
雖然列表中包含的某些工具早在2004年就已創建,但大多數開發都發生在過去10年中。大多數工具也與供應商無關,或針對某些最大的ICS原始設備制造商(OEM)的產品而開發。西門子在這一領域脫穎而出,其中有60%的特定于供應商的工具可能針對其產品。其他工具也針對施耐德電氣、GE、ABB、Digi International、羅克韋爾自動化和Wind River Systems的產品而開發。
圖2按類型描述了工具數量。值得注意的是,網絡發現工具占工具的四分之一以上。強調指出,在某些情況下,軟件開發工具可以托管擴展的模塊存儲庫,以定位特定的產品或漏洞。
軟件利用模塊
考慮到軟件漏洞利用模塊的整體簡單性和可訪問性,它們是網絡行動工具中數量最多的子組件。開發漏洞利用模塊的最常見方式是利用特定漏洞并自動執行漏洞利用過程。然后將該模塊添加到漏洞利用框架。該框架用作存儲庫,其中可能包含數百個針對各種漏洞、網絡和設備的模塊。最受歡迎的框架包括Metasploit、Core Impact和Immunity Canvas。此外,自2017年以來,研究人員已經確定了較年輕的ICS專用漏洞利用框架的開發,例如自動部署、工業漏洞利用框架(ICSSPLOIT)和工業安全漏洞利用框架。
鑒于漏洞利用模塊的簡單性和可訪問性,它們對具有各種技能水平的威脅行為者有吸引力。即使是不太熟練的威脅行為是也可能會利用漏洞利用模塊,而無需完全了解漏洞的工作原理或不知道利用漏洞所需的每個命令。盡管跟蹤的大多數利用模塊可能是為研究和滲透測試開發的,但它們也可以在整個攻擊生命周期中使用。
利用模塊統計
自2010年以來,Mandiant Intelligence跟蹤了三個主要利用框架的利用模塊:Metasploit、Core Impact和Immunity Canvas。研究人員目前跟蹤與超過500個漏洞相關的數百個ICS專用漏洞利用模塊,其中71%是潛在的零日漏洞。如圖3所示。目前,Immunity Canvas的利用最多,主要是由于俄羅斯安全研究公司 GLEG的努力。
Metasploit框架漏洞利用模塊值得特別關注。盡管模塊數量最少,但Metasploit是免費提供的,并且廣泛用于IT滲透測試,而Core Impact和Immunity Canvas都是商業工具。這使得Metasploit在這三個框架中最為方便利用。但是,這意味著模塊開發和維護由社區提供,這很可能導致模塊數量減少。
同樣值得由ICS產品供應商檢查漏洞利用模塊的數量。分析結果如圖4所示,其中顯示了利用模塊數量最多(超過10個)的供應商。
圖4不是針對某個供應商,而是哪些產品受到漏洞利用作者的最多關注。造成這種情況的因素有很多,其中包括可供測試的軟件的可用性,針對特定漏洞編寫漏洞利用程序的總體難度,或者漏洞如何與漏洞利用者的專業知識相匹配。
圖中包括的一些供應商已被其他公司收購,但是由于在收購之前已發現漏洞,因此分別進行了跟蹤。施耐德電氣就是一個例子,該公司于2011年收購了7-Technologies,并更改了其產品組合的名稱。特別強調,該圖僅計算漏洞利用模塊,而不考慮漏洞利用的程度。來自不同框架的模塊可以針對同一漏洞,并且每個模塊都應單獨計數。
ICS網絡行動工具和軟件開發框架彌補了知識和專業技能的空白
研究人員和安全從業人員經常發布的ICS專用網絡行動工具是有用的資產,可幫助組織了解持續存在的威脅和產品漏洞。但是,由于是公開可用的內容,它們也可以降低對以OT網絡為目標的威脅參與者的門檻。盡管成功地對OT環境進行攻擊通常需要威脅參與者具備高水平的技能和專業知識,但本文中討論的工具和漏洞利用模塊使得彌合這種知識差距變得更加容易。
意識到ICS網絡行動工具的泛濫,應該成為不斷演變的威脅格局的重要風險指標。這些工具為防御者提供了在測試環境中進行風險評估并利用匯總數據進行溝通并從公司高管獲得支持的機會。那些不關注可用的ICS網絡行動工具的組織,對于尋求新功能的老練攻擊者和缺乏經驗的威脅參與者而言,都有可能成為容易得手的目標。
來源:網信防務
北京市公安局海淀分局備案號:11010802023656號