FireEye警告：针对工控系统的黑客工具过于泛滥

2020年3月23日，知名安全厂商火眼公司的研究人员Jeffrey Ashcraft、Daniel Kapellmann Zafra、Nathan Brubaker在其官网上发布了题为《监视ICS网络行动工具和软件利用模块以预测未来的威胁》博文。文章指出，专用于ICS的入侵和攻击工具的普遍可用性正在扩大，使得针对运营技术（OT）网络和工业控制系统（ICS）的攻击者群体更加方便行动。之前人们对OT威胁和攻击的认识，还停留在“对这些系统的成功入侵和攻击通常需要专门的知识，成功攻击OT/ICS系统是有很高门槛的”这种层面。现在看来，对于经验不那么老道的威胁行为者，由于入侵和攻击工具通常是由具有专业知识的人开发的，因此这些工具的易得性可以帮助其绕开获取某些专业知识的障碍，或者可以帮助他们更快地获取必要的知识。而对于经验丰富的威胁行为者，他们可能会倾向于使用已知的工具和漏洞来掩饰和隐藏自己的身份，也使其TTP甚至攻击轨迹“大隐于市”不易暴露。这也再次警示众多OT/ICS供应商和运营者，相关攻击技术的低门槛、攻击工具易获得，将加剧工业企业网络安全的威胁态势，而且高能力的攻击对手将变更加难以发现和追踪。

在过去的数十年中，针对运营技术（OT）/工业控制系统（ICS）的网络攻击仅有很少量的被记录在案。虽然攻击数量少是一件好事，但缺乏足够的样本量来确定风险阈值可能会使防御者难以理解威胁环境，确定网络安全工作的优先级并证明资源分配的合理性。

为了解决这个问题，FireEye Mandiant威胁情报部门发布一系列报告，专注于不同指标来预测未来的威胁。来自暗网论坛上的活动的洞察力、现场轶事、ICS漏洞研究以及概念验证等等研究，使得即使在事件数据有限的情况下，也可以说明威胁的情况。此篇博客文章重点介绍了其中一种来源，面向ICS的入侵和攻击工具，在本文中将其统称为网络行动工具。

面向ICS的网络行动工具是指具有利用ICS弱点或与设备进行交互的能力的硬件和软件，威胁者可以利用这种方式来支持入侵或攻击行动。在此博客文章中，研究人员将漏洞利用模块与其他网络行动工具分离开来，这些漏洞利用模块被开发为可在Metasploit、Core Impact或Immunity Canvas之类的框架上运行，因为这些框架的的数量很多。

网络行动工具降低了攻击者所需ICS专业知识的门槛

由于ICS是信息和计算机技术的一个独特子域，因此，针对这些系统的成功入侵和攻击通常需要专门的知识，从而为成功攻击树立了更高的门槛。由于入侵和攻击工具通常是由具有专业知识的人开发的，因此这些工具可以帮助威胁行为者绕过自己获取某些专业知识的需求，或者可以帮助他们更快地获取必要的知识。另外，经验丰富的行为者可能会诉诸使用已知的工具和漏洞来掩饰自己的身份或最大化其预算。

图1：ICS攻击者知识曲线

标准化网络行动工具的开发和随后采用，通常表明其对抗能力不断增强。无论这些工具是由研究人员开发的概念验证工具，还是在过去的事件中使用的工具，对它们的访问都可以降低各种参与者学习和发展未来技能或自定义攻击框架的障碍。在此前提下，对于那些使用各种已知攻击工具就能达到攻击意图的设备，就成了攻击者唾手可得的目标。

ICS网络行动工具分类

Mandiant Intelligence跟踪了大量公开可用的ICS专用网络行动工具。使用的术语“特定于ICS”没有硬性规定。尽管跟踪的绝大多数网络行动工具都是明确的案例，但在某些情况下，已经考虑了工具创建者的意图以及该工具对ICS软件和设备的合理可预见的影响。同时，也排除了基于IT的工具，但这些工具可能会影响OT系统，例如商用恶意软件或已知的网络实用程序。仅包含少数例外，其中识别了使工具能够与ICS进行交互的特殊修改或功能，例如nmap脚本。

表1：特定于ICS的入侵和攻击工具的类别

根据功能，研究人员将每个工具分配给十个不同类别或类中的至少一个。这十个类别分别是软件漏洞利用、网络发现、无线电、Fuzzer、恶意软件、硬件、在线侦察、红外、知识库、勒索软件。

虽然列表中包含的某些工具早在2004年就已创建，但大多数开发都发生在过去10年中。大多数工具也与供应商无关，或针对某些最大的ICS原始设备制造商（OEM）的产品而开发。西门子在这一领域脱颖而出，其中有60％的特定于供应商的工具可能针对其产品。其他工具也针对施耐德电气、GE、ABB、Digi International、罗克韦尔自动化和Wind River Systems的产品而开发。

图2按类型描述了工具数量。值得注意的是，网络发现工具占工具的四分之一以上。强调指出，在某些情况下，软件开发工具可以托管扩展的模块存储库，以定位特定的产品或漏洞。

图2：按类别统计的特定于ICS的入侵和攻击工具

软件利用模块

考虑到软件漏洞利用模块的整体简单性和可访问性，它们是网络行动工具中数量最多的子组件。开发漏洞利用模块的最常见方式是利用特定漏洞并自动执行漏洞利用过程。然后将该模块添加到漏洞利用框架。该框架用作存储库，其中可能包含数百个针对各种漏洞、网络和设备的模块。最受欢迎的框架包括Metasploit、Core Impact和Immunity Canvas。此外，自2017年以来，研究人员已经确定了较年轻的ICS专用漏洞利用框架的开发，例如自动部署、工业漏洞利用框架（ICSSPLOIT）和工业安全漏洞利用框架。

鉴于漏洞利用模块的简单性和可访问性，它们对具有各种技能水平的威胁行为者有吸引力。即使是不太熟练的威胁行为是也可能会利用漏洞利用模块，而无需完全了解漏洞的工作原理或不知道利用漏洞所需的每个命令。尽管跟踪的大多数利用模块可能是为研究和渗透测试开发的，但它们也可以在整个攻击生命周期中使用。

利用模块统计

自2010年以来，Mandiant Intelligence跟踪了三个主要利用框架的利用模块：Metasploit、Core Impact和Immunity Canvas。研究人员目前跟踪与超过500个漏洞相关的数百个ICS专用漏洞利用模块，其中71％是潜在的零日漏洞。如图3所示。目前，Immunity Canvas的利用最多，主要是由于俄罗斯安全研究公司 GLEG的努力。

图3：按框架区分的ICS利用模块

Metasploit框架漏洞利用模块值得特别关注。尽管模块数量最少，但Metasploit是免费提供的，并且广泛用于IT渗透测试，而Core Impact和Immunity Canvas都是商业工具。这使得Metasploit在这三个框架中最为方便利用。但是，这意味着模块开发和维护由社区提供，这很可能导致模块数量减少。

同样值得由ICS产品供应商检查漏洞利用模块的数量。分析结果如图4所示，其中显示了利用模块数量最多（超过10个）的供应商。

图4：具有10个或更多漏洞利用模块的供应商

图4不是针对某个供应商，而是哪些产品受到漏洞利用作者的最多关注。造成这种情况的因素有很多，其中包括可供测试的软件的可用性，针对特定漏洞编写漏洞利用程序的总体难度，或者漏洞如何与漏洞利用者的专业知识相匹配。

图中包括的一些供应商已被其他公司收购，但是由于在收购之前已发现漏洞，因此分别进行了跟踪。施耐德电气就是一个例子，该公司于2011年收购了7-Technologies，并更改了其产品组合的名称。特别强调，该图仅计算漏洞利用模块，而不考虑漏洞利用的程度。来自不同框架的模块可以针对同一漏洞，并且每个模块都应单独计数。

ICS网络行动工具和软件开发框架弥补了知识和专业技能的空白

研究人员和安全从业人员经常发布的ICS专用网络行动工具是有用的资产，可帮助组织了解持续存在的威胁和产品漏洞。但是，由于是公开可用的内容，它们也可以降低对以OT网络为目标的威胁参与者的门槛。尽管成功地对OT环境进行攻击通常需要威胁参与者具备高水平的技能和专业知识，但本文中讨论的工具和漏洞利用模块使得弥合这种知识差距变得更加容易。

意识到ICS网络行动工具的泛滥，应该成为不断演变的威胁格局的重要风险指标。这些工具为防御者提供了在测试环境中进行风险评估并利用汇总数据进行沟通并从公司高管获得支持的机会。那些不关注可用的ICS网络行动工具的组织，对于寻求新功能的老练攻击者和缺乏经验的威胁参与者而言，都有可能成为容易得手的目标。

天地和兴工控安全研究院编译

参考资源

1.https://www.fireeye.com/blog/threat-research/2020/03/monitoring-ics-cyber-operation-tools-and-software-exploit-modules.html

2.https://www.helpnetsecurity.com/2020/03/24/ics-attack-tools/

声明：本文来自天地和兴，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。