官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
在网络空间世界中,勒索病毒并不陌生。
勒索病毒,是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。
这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。勒索病毒攻击范围不仅局限于个人用户,也针对于企业用户。随着破坏工业设施的Stuxnet、加密用户数据进行勒索的WannaCry等恶意软件曝光,来自恶意软件的威胁已经触及工控系统,作为工控系统的运营管理方,有必要了解恶意软件,了解工控系统正面临的由勒索病毒带来的安全风险。
勒索病毒如何进入工控系统
勒索病毒和其他恶意软件的主要区别在于目的不同,恶意软件Stuxnet的主要目的是发送恶意指令损坏设备,勒索病毒WannaCry的主要目的则是加密受害者设备上的数据,向用户索要解密赎金。
工控系统在设计之初通常并未考虑到暴露在互联网中或与互联网存在间接连接,其安全性主要来自于隔离。但随着计算机和网络技术的发展,工控系统的封闭特性正在逐渐被打破,因此存在一些安全隐患。1.利用设备漏洞远程入侵
由于配置错误或者管理上的问题,可能存在一小部分工控系统设备直接暴露于互联网中,如果设备上存在漏洞,恶意软件可能通过远程利用漏洞的方式感染工控系统设备,实施勒索或其他恶意行为。
2.绕过工控系统外部防火墙
在一般情况下工控系统与外部网络之间设有防火墙等安全设施保护,但恶意软件可能会绕过工控系统外部防火墙进入工控网络,如通过工控系统运营人员携带的外部设备进入内网。
3.通过供应链攻击进入工控网络
将设备带入工控系统的除了运营管理人员还有相应软硬件供应商,勒索病毒也可能存在于供应商设备中,在工控系统中安装新设备时将勒索病毒带入,再利用勒索蠕虫病毒中内置的漏洞利用代码在工控系统内网中横向渗透,从而攻击工控系统设备。
勒索病毒对工控系统的危害
1.入侵加密文件
在目前已经曝光的案例中,勒索病毒主要感染Windows设备,入侵设备用户重要文件,进行加密、覆盖或破坏,绝大多数勒索病毒都具备蠕虫病毒的特性,会主动对被感染设备与网络中的其他设备进行扫描,通过内网和感染设备发现存在漏洞的设备并传播扩散。
2.窃取核心机密
在利用漏洞或其他入侵手段进入工控系统后,恶意软件可以根据其需要搭载不同的攻击载荷,获取密码、控制列表、PLC程序等机密信息并加密、尝试传回恶意软件,达到勒索或其他恶意目的。
3.锁定工控设备
勒索病毒可以利用工控系统设备的漏洞或弱口令等问题,控制PLC等工控系统设备,修改认证口令或利用固件验证绕过漏洞植入恶意固件并禁用设备固件更新功能,获取设备的控制权。
4.造成物理世界威胁
在某些特殊场景下,勒索病毒可以控制PLC,执行某些会对物理世界造成威胁的动作,例如锁定阀门或修改上报的参数,欺骗操作人员。研究人员已经在模拟环境中实现勒索病毒控制水处理厂,关闭城市供水或增加氯浓度污染城市用水等攻击行为。
万幸的是,目前已公开的案例中勒索病毒对工控系统的威胁还停留在加密文件勒索阶段,尚未造成人员伤亡或无法挽救的重大财产损失。据报道全球最大的芯片制造商台积电曾因勒索病毒WannaCry攻击生产线上的自动物料搬运系统(AMHS)造成停工,预测将对当年第三季营收造成3%的影响,随后台积电对受影响的设备进行断网处置,并表示因停工造成的产能影响可以弥补。
总结
当勒索事件发生后,冷静迅速处理,判明情况。
首先将被攻击的异常设备进行断网断电隔离,中断内网通信避免勒索病毒出现扩散,随后联系安全厂商及有关机构对设备中的病毒样本进行取样分析,尽量了解恶意软件意图和已经造成的影响,并着手修复工控系统尽早恢复正常工作,查明勒索病毒入侵情况后,应尽快将内网中染毒的设备进行离线修复,避免安装补丁等修复过程中勒索病毒借机入侵。
在工控系统行业环境中,对运营管理人员的要求普遍高于普通IT网络人员,一旦发生勒索病毒需尽快启动应急响应,排查安全隐患,当工控系统设备在勒索病毒攻击下出现异常或停摆时,可能在业务逻辑中的上下游产生扩散影响,这需要工控系统的运营管理人员在预防之外对可能发生的勒索病毒爆发事件做好充分准备,并建立与安全厂商及有关机构更加高效的沟通渠道,在需要时以生命财产安全为第一要务,合理处置工控系统中的勒索病毒事件。