今日頭條
官方微信
官方抖音
資訊頻道2020年3月23日,知名安全廠商火眼公司的研究人員Jeffrey Ashcraft、Daniel Kapellmann Zafra、Nathan Brubaker在其官網(wǎng)上發(fā)布了題為《監(jiān)視ICS網(wǎng)絡(luò)行動工具和軟件利用模塊以預(yù)測未來的威脅》博文。文章指出,專用于ICS的入侵和攻擊工具的普遍可用性正在擴大,使得針對運營技術(shù)(OT)網(wǎng)絡(luò)和工業(yè)控制系統(tǒng)(ICS)的攻擊者群體更加方便行動。之前人們對OT威脅和攻擊的認識,還停留在“對這些系統(tǒng)的成功入侵和攻擊通常需要專門的知識,成功攻擊OT/ICS系統(tǒng)是有很高門檻的”這種層面。現(xiàn)在看來,對于經(jīng)驗不那么老道的威脅行為者,由于入侵和攻擊工具通常是由具有專業(yè)知識的人開發(fā)的,因此這些工具的易得性可以幫助其繞開獲取某些專業(yè)知識的障礙,或者可以幫助他們更快地獲取必要的知識。而對于經(jīng)驗豐富的威脅行為者,他們可能會傾向于使用已知的工具和漏洞來掩飾和隱藏自己的身份,也使其TTP甚至攻擊軌跡“大隱于市”不易暴露。這也再次警示眾多OT/ICS供應(yīng)商和運營者,相關(guān)攻擊技術(shù)的低門檻、攻擊工具易獲得,將加劇工業(yè)企業(yè)網(wǎng)絡(luò)安全的威脅態(tài)勢,而且高能力的攻擊對手將變更加難以發(fā)現(xiàn)和追蹤。
在過去的數(shù)十年中,針對運營技術(shù)(OT)/工業(yè)控制系統(tǒng)(ICS)的網(wǎng)絡(luò)攻擊僅有很少量的被記錄在案。雖然攻擊數(shù)量少是一件好事,但缺乏足夠的樣本量來確定風(fēng)險閾值可能會使防御者難以理解威脅環(huán)境,確定網(wǎng)絡(luò)安全工作的優(yōu)先級并證明資源分配的合理性。
為了解決這個問題,F(xiàn)ireEye Mandiant威脅情報部門發(fā)布一系列報告,專注于不同指標(biāo)來預(yù)測未來的威脅。來自暗網(wǎng)論壇上的活動的洞察力、現(xiàn)場軼事、ICS漏洞研究以及概念驗證等等研究,使得即使在事件數(shù)據(jù)有限的情況下,也可以說明威脅的情況。此篇博客文章重點介紹了其中一種來源,面向ICS的入侵和攻擊工具,在本文中將其統(tǒng)稱為網(wǎng)絡(luò)行動工具。
面向ICS的網(wǎng)絡(luò)行動工具是指具有利用ICS弱點或與設(shè)備進行交互的能力的硬件和軟件,威脅者可以利用這種方式來支持入侵或攻擊行動。在此博客文章中,研究人員將漏洞利用模塊與其他網(wǎng)絡(luò)行動工具分離開來,這些漏洞利用模塊被開發(fā)為可在Metasploit、Core Impact或Immunity Canvas之類的框架上運行,因為這些框架的的數(shù)量很多。
網(wǎng)絡(luò)行動工具降低了攻擊者所需ICS專業(yè)知識的門檻
由于ICS是信息和計算機技術(shù)的一個獨特子域,因此,針對這些系統(tǒng)的成功入侵和攻擊通常需要專門的知識,從而為成功攻擊樹立了更高的門檻。由于入侵和攻擊工具通常是由具有專業(yè)知識的人開發(fā)的,因此這些工具可以幫助威脅行為者繞過自己獲取某些專業(yè)知識的需求,或者可以幫助他們更快地獲取必要的知識。另外,經(jīng)驗豐富的行為者可能會訴諸使用已知的工具和漏洞來掩飾自己的身份或最大化其預(yù)算。
標(biāo)準(zhǔn)化網(wǎng)絡(luò)行動工具的開發(fā)和隨后采用,通常表明其對抗能力不斷增強。無論這些工具是由研究人員開發(fā)的概念驗證工具,還是在過去的事件中使用的工具,對它們的訪問都可以降低各種參與者學(xué)習(xí)和發(fā)展未來技能或自定義攻擊框架的障礙。在此前提下,對于那些使用各種已知攻擊工具就能達到攻擊意圖的設(shè)備,就成了攻擊者唾手可得的目標(biāo)。
ICS網(wǎng)絡(luò)行動工具分類
Mandiant Intelligence跟蹤了大量公開可用的ICS專用網(wǎng)絡(luò)行動工具。使用的術(shù)語“特定于ICS”沒有硬性規(guī)定。盡管跟蹤的絕大多數(shù)網(wǎng)絡(luò)行動工具都是明確的案例,但在某些情況下,已經(jīng)考慮了工具創(chuàng)建者的意圖以及該工具對ICS軟件和設(shè)備的合理可預(yù)見的影響。同時,也排除了基于IT的工具,但這些工具可能會影響OT系統(tǒng),例如商用惡意軟件或已知的網(wǎng)絡(luò)實用程序。僅包含少數(shù)例外,其中識別了使工具能夠與ICS進行交互的特殊修改或功能,例如nmap腳本。
根據(jù)功能,研究人員將每個工具分配給十個不同類別或類中的至少一個。這十個類別分別是軟件漏洞利用、網(wǎng)絡(luò)發(fā)現(xiàn)、無線電、Fuzzer、惡意軟件、硬件、在線偵察、紅外、知識庫、勒索軟件。
雖然列表中包含的某些工具早在2004年就已創(chuàng)建,但大多數(shù)開發(fā)都發(fā)生在過去10年中。大多數(shù)工具也與供應(yīng)商無關(guān),或針對某些最大的ICS原始設(shè)備制造商(OEM)的產(chǎn)品而開發(fā)。西門子在這一領(lǐng)域脫穎而出,其中有60%的特定于供應(yīng)商的工具可能針對其產(chǎn)品。其他工具也針對施耐德電氣、GE、ABB、Digi International、羅克韋爾自動化和Wind River Systems的產(chǎn)品而開發(fā)。
圖2按類型描述了工具數(shù)量。值得注意的是,網(wǎng)絡(luò)發(fā)現(xiàn)工具占工具的四分之一以上。強調(diào)指出,在某些情況下,軟件開發(fā)工具可以托管擴展的模塊存儲庫,以定位特定的產(chǎn)品或漏洞。
軟件利用模塊
考慮到軟件漏洞利用模塊的整體簡單性和可訪問性,它們是網(wǎng)絡(luò)行動工具中數(shù)量最多的子組件。開發(fā)漏洞利用模塊的最常見方式是利用特定漏洞并自動執(zhí)行漏洞利用過程。然后將該模塊添加到漏洞利用框架。該框架用作存儲庫,其中可能包含數(shù)百個針對各種漏洞、網(wǎng)絡(luò)和設(shè)備的模塊。最受歡迎的框架包括Metasploit、Core Impact和Immunity Canvas。此外,自2017年以來,研究人員已經(jīng)確定了較年輕的ICS專用漏洞利用框架的開發(fā),例如自動部署、工業(yè)漏洞利用框架(ICSSPLOIT)和工業(yè)安全漏洞利用框架。
鑒于漏洞利用模塊的簡單性和可訪問性,它們對具有各種技能水平的威脅行為者有吸引力。即使是不太熟練的威脅行為是也可能會利用漏洞利用模塊,而無需完全了解漏洞的工作原理或不知道利用漏洞所需的每個命令。盡管跟蹤的大多數(shù)利用模塊可能是為研究和滲透測試開發(fā)的,但它們也可以在整個攻擊生命周期中使用。
利用模塊統(tǒng)計
自2010年以來,Mandiant Intelligence跟蹤了三個主要利用框架的利用模塊:Metasploit、Core Impact和Immunity Canvas。研究人員目前跟蹤與超過500個漏洞相關(guān)的數(shù)百個ICS專用漏洞利用模塊,其中71%是潛在的零日漏洞。如圖3所示。目前,Immunity Canvas的利用最多,主要是由于俄羅斯安全研究公司 GLEG的努力。
Metasploit框架漏洞利用模塊值得特別關(guān)注。盡管模塊數(shù)量最少,但Metasploit是免費提供的,并且廣泛用于IT滲透測試,而Core Impact和Immunity Canvas都是商業(yè)工具。這使得Metasploit在這三個框架中最為方便利用。但是,這意味著模塊開發(fā)和維護由社區(qū)提供,這很可能導(dǎo)致模塊數(shù)量減少。
同樣值得由ICS產(chǎn)品供應(yīng)商檢查漏洞利用模塊的數(shù)量。分析結(jié)果如圖4所示,其中顯示了利用模塊數(shù)量最多(超過10個)的供應(yīng)商。
圖4不是針對某個供應(yīng)商,而是哪些產(chǎn)品受到漏洞利用作者的最多關(guān)注。造成這種情況的因素有很多,其中包括可供測試的軟件的可用性,針對特定漏洞編寫漏洞利用程序的總體難度,或者漏洞如何與漏洞利用者的專業(yè)知識相匹配。
圖中包括的一些供應(yīng)商已被其他公司收購,但是由于在收購之前已發(fā)現(xiàn)漏洞,因此分別進行了跟蹤。施耐德電氣就是一個例子,該公司于2011年收購了7-Technologies,并更改了其產(chǎn)品組合的名稱。特別強調(diào),該圖僅計算漏洞利用模塊,而不考慮漏洞利用的程度。來自不同框架的模塊可以針對同一漏洞,并且每個模塊都應(yīng)單獨計數(shù)。
ICS網(wǎng)絡(luò)行動工具和軟件開發(fā)框架彌補了知識和專業(yè)技能的空白
研究人員和安全從業(yè)人員經(jīng)常發(fā)布的ICS專用網(wǎng)絡(luò)行動工具是有用的資產(chǎn),可幫助組織了解持續(xù)存在的威脅和產(chǎn)品漏洞。但是,由于是公開可用的內(nèi)容,它們也可以降低對以O(shè)T網(wǎng)絡(luò)為目標(biāo)的威脅參與者的門檻。盡管成功地對OT環(huán)境進行攻擊通常需要威脅參與者具備高水平的技能和專業(yè)知識,但本文中討論的工具和漏洞利用模塊使得彌合這種知識差距變得更加容易。
意識到ICS網(wǎng)絡(luò)行動工具的泛濫,應(yīng)該成為不斷演變的威脅格局的重要風(fēng)險指標(biāo)。這些工具為防御者提供了在測試環(huán)境中進行風(fēng)險評估并利用匯總數(shù)據(jù)進行溝通并從公司高管獲得支持的機會。那些不關(guān)注可用的ICS網(wǎng)絡(luò)行動工具的組織,對于尋求新功能的老練攻擊者和缺乏經(jīng)驗的威脅參與者而言,都有可能成為容易得手的目標(biāo)。
北京市公安局海淀分局備案號:11010802023656號