作者 | 天地和兴工业网络安全研究院

编者按:勒索软件是一种最常见、最特殊的恶意软件,又被人们归类为“阻断访问式攻击”(denial-of-access attack),被安全业界称为“最头疼”的软件。在勒索软件家族中,NotPetya是源自类似Petya的全新形式勒索病毒,可以将硬盘整个加密和锁死,从内存或者本地文件系统里提取密码。就是这款勒索软件在2017年6月让乌克兰乃至全球的众多商业银行以及部分私人公司、零售企业和政府系统都遭到了攻击并造成严重经济损失。NotPetya勒索攻击三年之后,新的勒索软件层出不穷,勒索手法不断演进,但不能否认的是,NotPetya仍然是历史上最昂贵、最具破坏力的勒索软件。当前勒索软件攻击在技术手段、对抗溯源、目标选择、勒索策略等方面显示出越来越强的针对性,勒索软件攻击将是网络安全的“新常态”。特别是一些专门针对工业控制系统的勒索软件不断被曝光,这种动向应该引起网络安全行业和关键基础设施运营者的的高度关注。

勒索软件NotPetya又称Petya、Petrwrap或GoldenEye,最先于2017年6月在乌克兰被发现,当地政府部门、医院、银行、机场等系统均被攻击,连切尔诺贝尔核电厂灾区电脑系统也受影响,要改由人工监测辐射水平。俄罗斯最大油公司Rosneft、位于英国的全球最大广告公司WPP、在丹麦的全球最大货柜船公司Maersk及美国第二大药厂Merck亦被攻击。新的勒索软件针对Windows XP至Windows 10,NotPetya攻击手法与WannaCry一样,但NotPetya透过钓鱼邮件散播病毒,入侵系统后将档案加密,更会重写系统主开机纪录,令用家连微软的界面亦进入不到。NotPetya入侵电脑后,会在局域网内如企业内联网散播,寻找下个目标;若受感染电脑用家具行政权限,如公司IT部门主管,病毒会透过其电脑在其他电脑安装勒索软件。受感染系统会于1小时后重新启动,令用家未能察觉及即时停止病毒散播。被加密的档案无法还原,用户会被勒索约300美元(约2,300港元)比特币才可解锁。

NotPetya勒索软件攻击事件过去整整三年了,它被网络安全界认为是历史上最昂贵、最具破坏性的勒索攻击。在同样臭名昭著的WannaCry勒索软件攻击发生仅一个月之后,该勒索软件就导致了全球崩溃,影响了各个行业的IT和运营技术(OT)环境。

三年后的今天,很明显,NotPetya对网络威胁行为体和网络安全从业者的行为产生了深远的影响。NotPetya是利用永恒之蓝漏洞(EternalBlue)进行传播,而2017年5月12日爆发的WannaCry也是用永恒之蓝进行传播的。当与蛮力感染可访问的IP地址的方法结合使用时,永恒之蓝漏洞给声名狼藉的NotPetya创造了理想的传播条件。如果从OT安全角度出发,我们需要关注的重点在?

一、勒索软件攻击日益增强的针对性

在NotPetya之后,勒索软件仍在内部非托管网络中肆意攻击,这些网络无法打补丁或无法识别易受攻击的计算机。但是,与此同时,许多组织已成功地将其网络的攻击面最小化,从而使跨网络感染变得更加困难,因为无法利用任何服务。为了应对这种变化,在过去三年里,攻击者的勒索软件策略变得越来越有针对性。

一是手段趋于APT化。与其通过自我传播随意感染受害者,威胁行为体对勒索软件采用高级持续威胁(APT)方法已经变得越来越普遍。在这个APT勒索软件策略下,威胁行为体通过漏洞利用、社会工程或各种其他手段获得对目标网络的未授权访问,然后释放勒索软件。

二是针对性对抗溯源。通过将最初进入受害者网络的行为与随后的勒索软件加密行为脱钩,这种新方法可以使网络犯罪分子的勒索行为与被利用的漏洞去关联,通过追踪勒索软件更难回溯到被利用的漏洞,以此来延长可利用漏洞的保质期限。相反,自传播勒索软件(例如NotPetya)的感染介质相对容易跟踪。这种有针对性的方法还使攻击者能够集中精力于他们认为愿意并能够满足赎金要求的受害者。此外,这种战略转变可以看作是对许多安全从业人员在NotPetya之后,最大程度地减少其网络的攻击面所做的努力的一种适应,这需要采取一种更加谨慎的感染方法。

三是双重勒索。攻击者会首先窃取大量的敏感商业信息,然后对受害者的数据进行加密,并威胁受害者如果不支付赎金就会公开这些数据,这种勒索策略被称为“双重勒索”。双重勒索应该是勒索软件自然演进的结果。传统的勒索软件基本信守支付赎金即提供解密密钥的策略,但逐渐演变到从用户攻击到有针对性的商业攻击,现在又增加了数据勒索的双重危险。这无疑让受害者承受更大的数据泄露压力,同时使得受害者被迫支付赎金的可能性大幅提高。受害者同时承受着支付赎金后的是否仍被公开数据的不确定性,以及监管机构对其数据泄露进行处罚的双重压力。这可能会成为勒索软件攻击的“新常态”。

四是专门针对OT/ICS网络。EKANS是一种用Go编程语言编写的混淆勒索软件变体,于2019年12月下旬首次在商业恶意软件存储库中观察到。EKANS勒索软件家族是一种被用于定向ICS活动的病毒。EKANS的设计是有意选择受害者的,该恶意软件将通过解析受害者公司的域名,并将这些信息与IP列表进行比较,来确认目标。一旦目标被捕获,勒索软件就会扫描域控制器以进行攻击。攻击本田汽车和ENEL能源的两起典型攻击事件,可以看到在未部署适当的网络安全措施的情况下是相当危险的,不仅会大大增加对IT的威胁,而且还会打开对OT网络攻击的方便之门。与其他勒索软件一样,EKANS会加密数据并向受害者显示一个便条,要求受害者付款以解密数据;该名称来自它作为受害者计算机上的文件标记植入的字符串,以标识其文件已被加密。但是EKANS还使用另一种技巧来加剧这种痛苦:它旨在终止受害计算机上的64种不同软件进程,包括许多特定于工业控制系统的软件进程。这样一来,它就可以加密那些与控制系统程序交互的数据。与针对工业破坏而专门设计的其他恶意软件相比,这种恶意软件虽然粗糙,但针对性仍然很强,可以破坏用于监控基础设施的软件,例如石油公司的管道等。这可能会带来潜在的危险后果,例如阻止员工远程监视或控制设备的运行。目前对EKANS勒索软件的传播机制尚不清楚,但是EKANS的攻击目标已经覆盖了能源(巴林石油、ENEL能源)、汽车制造(本田汽车)、医疗设备经销等多个工业行业,打击工业控制系统已成为其重要目的。

二、OT/ICS防勒索的关键点

尽管勒索软件的策略已经从NotPetya、WannaCry和其他自传播的勒索软件转移了,但是安全从业人员会天真地假设我们永远不会看到这种形式的另一种广泛的勒索软件攻击。很有可能,将来只有在适当的条件下,我们就会看到类似的情况。

如果由NSA开发的“蠕虫化”EternalBlue漏洞在2017年4月之前没有泄漏,NotPetya的深远影响是不可能的。虽然无法预测网络罪犯是否以及何时会利用类似的通用漏洞,安全团队仍然有两种可以主动解决问题的方法,从而避免NotPetya感染大量OT环境的后果。换个角度,这也是两个深刻的教训。

一是漏洞管理。由于EternalBlue补丁于2017年4月14日发布,比NotPetya早两个多月,如果所有组织都应用了该补丁,则本可以避免整个灾难。在攻击者有机会大规模利用漏洞之前修补漏洞对于防止将来类似于NotPetya的攻击至关重要,但是管理安全修补程序具有破坏性且代价高昂,尤其是在OT环境中。因此,为了管理和修补最重要的漏洞,安全团队必须具有识别OT资产中存在哪些安全漏洞,以及准确评估每个漏洞带来的风险级别的能力。

二是网络隔离。NotPetya能够像野火一样在组织的IT和OT环境中传播的主要原因是缺乏有效隔离。确保组织的OT资产按照Purdue模型进行适当隔离的举措和其他最佳实践,是限制勒索软件和其他恶意程序横向扩散的最有效方法之一。目前勒索软件已经可以通过局域网传播,为了防止勒索软件的扩散,应该采取有效的网络隔离措施,将关键的业务服务程序、数据和设备隔离到独立的网络中,防止来自网络的感染。企业需要从被动变为主动,实现如多因素身份验证等一系列策略,以减少物理访问控制风险。安全需要深入到OT基础设施中,分割系统和设备,积极监控流量,并隔离被破坏的设备都是可行的措施。

三、OT/ICS安全已成为工业行业的首要任务

重新审视IT与OT安全威胁的重叠。NotPetya并未专门针对工业环境。但是由于其自我扩展功能以及对许多OT环境中存在的SMB漏洞的使用,它在工业现场造成了广泛的破坏。NotPetya是许多CISO的一剂良药,也是一种新范式的预兆,在该范式中,IT和OT安全威胁之间的重叠得到了更广泛的认识和优先考虑。

IT安全威胁渗透到OT环境。在见证或经历了受感染的OT环境中NotPetya的破坏之后,网络安全管理者对IT安全威胁溢出到OT环境中的能力有了新发现,并且随着工业环境的发展,IT与OT隔离的重要性也得到了认可。

IT与OT的整合一体化进程,使IT领域也在不断向OT领域渗透,利用其自身掌握的先进技术及广阔的市场阵地,紧盯OT领域的“互联、互通、互享”需求,推出带有明显牲的产品和技术,进一步将网络攻击引发的社会危害性放大开来。因为以前的OT系统专有、封闭、安全攻击有较高的门槛,而现在的OT系统逐渐演变为开放的硬件体系和开放的协议体系,显然降低了攻击的成本和门槛。由于缺乏主动阻止外部恶意攻击和发现与阻挡高级可持续性攻击的能力,易造成OT网络瞬间瘫痪。不仅是出于传统原因,如工业破坏、关键基础设施攻击等,而且因为IT或OT的渗透可能会导致威胁隐患横向转移到其他的企业资产。对工控系统的攻击,可能导致企业数据泄露,并且企业IT网络可能因为一次ICS攻击全盘崩溃,这是相当可怕的。

OT安全威胁亦可渗透到IT环境。由于OT很难单独于IT存在,OT的环境往往伴随着IT系统与设备。如今的环境中,攻击者的目标已经逐渐从IT环境转移到OT环境,安全也转向IT和OT协同防护。OT环境不仅影响到企业自身的生产与安全,很多关键基础设施更是与国家和社会安全息息相关。由于OT设备传统上是封闭的,因此无法通过回撤和简单地添加安全软件来降低风险,他们甚至根本没有运行安全软件的能力。这使得对复杂网络的实时可见性和控制变得更加重要。OT安全管理不到位,OT领域无效,缺乏OT资产和漏洞的可见性,工业主机几乎全暴露,IT和OT网络混杂缺防护等安全威胁,都具有被远程利用攻击的可能。由于IT看重业务流程合理,OT看重业务执行稳定。OT与IT的区别主要是体现在设备的边缘端,恰恰是在IT和OT交界的地方,也是安全威胁最大的地方。因此,OT环境的保护不应该成为孤立的保护,需要各个环节联动协同。

参考资源

1.https://blog.trendmicro.com/how-the-industry-4-0-era-will-change-the-cybersecurity-landscape/

2.https://internetofthingsagenda.techtarget.com/blog/IoT-Agenda/When-worlds-collide-Understanding-emerging-IT-OT-convergence

3.https://www.darktrace.com/en/blog/what-the-ekans-ransomware-attack-reveals-about-the-future-of-ot-cyber-attacks/

4.天地和兴,IT与OT融合背景下网络安全的思考,2020.05

声明:本文来自网络安全应急技术国家工程实验室,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。