工业控制系统网络杀伤链 (The ICS Cyber Kill Chain)

工业控制系统网络杀伤链

（The Industrial Control System Cyber Kill Chain）

工业控制系统网络杀伤链是由SANS研究所的Michael J. Assante和Robert M. Lee撰写并于2015的发布的一个报告，该报告介绍了攻击者攻击ICS的具体过程，并将这些过程进行抽象，形成ICS网络杀伤链，报告介绍了ICS杀伤链的两个阶段，并通过Havex和Stuxnet的案例分析来演示ICS网络杀伤链的实际应用。本文对报告的主要内容进行简单的翻译整理和介绍，将其中的主要思想进行推广，仅供交流之用，版权仍归原版权方所有，如有侵权行为可以删除。

介绍

对工业控制系统（ICS）的网络攻击受到许多因素影响，包括攻击者的意图、攻击复杂性、攻击能力以及攻击者对ICS和自动化流程的熟悉程度等。攻击者并不是简单的利用单一的攻击行为破坏系统，而是通过一系列努力逐步获取访问权限和足够的信息达成攻击效果。攻击活动是针对整个防护活动和防护系统进行的。了解攻击者的攻击活动的具体步骤，有助于防御者做出更明智的安全和风险管理决策。此外，对攻击者活动的了解，可以帮助防御者鉴别和评估可能的攻击意图、攻击复杂程度、攻击能力和对ICS的熟悉程度，这些信息有利于评估攻击活动对组织的潜在影响。作者认为ICS网络比企业信息技术（IT）系统更具防御能力。通过了解良好网络架构的ICS具有的固有优势，并了解针对ICS的攻击活动，安全人员可以找到切实可行的防御方式。本文介绍了ICS杀伤链的概念，以帮助防御者了解攻击者的网络攻击活动。

2011年，洛克希德•马丁公司的分析师Eric M. Hutchins，Michael J. Cloppert和Rohan M. Amin创建了网络杀伤链的概念（Cyber Kill Chain™），以帮助决策者更好地检测和应对网络入侵。此模型是通过军事领域的杀伤链概念改编的，对于IT和企业网络中的防御者来说，是一个非常成功和广泛流行的模型。该模型不直接适用于ICS网络攻击的特殊性质，但它提供了很好的基础和概念。

针对ICS的网络攻击能够对生产过程或设备产生重大影响，要求攻击者密切了解自动化过程以及ICS和安全系统的设计和决策机制。获得这样的知识需要攻击者能够充分地研究系统，从而绕开或影响安全机制，对系统造成可预测的影响，从而实现真正的网络物理攻击，而不是简单的网络间谍、ICS破坏或知识产权窃取为特征的攻击。要达成此类目标，攻击者需要对ICS发起两阶段攻击。多个阶段，或更复杂的杀伤链将增加攻击成本，为防御者提供了更多的发现并破坏攻击的机会。为了帮助大家直观可视化地理解ICS攻击活动，本文分三个部分进行介绍。本文的前两部分介绍了ICS网络杀伤链的两个阶段。本文的第三部分通过两个典型的案例分析，演示ICS网络杀伤链的实际应用。

2. ICS网络杀伤链：第一阶段

ICS网络攻击的第一阶段与传统上间谍或情报行动的活动类型类似。它本质上与洛克希德·马丁公司的“网络杀伤链”的攻击非常相似，以获取ICS的相关信息为目的，研究该系统，寻找内部边界保护的突破方法，从而获得生产环境的访问权限。第一阶段的流程如下图所示。

2.1规划阶段（Planning）

规划（Planning）是第一阶段的第1步，主要是对目标进行侦察（Reconnaissance）。侦察（Reconnaissance）是通过观察或其他检测方法获取有关信息的活动。网络攻击规划和侦察通常包括对目标系统进行研究，可以使用Google和Shodan等开源信息收集工具，以及搜索公开可用的数据，如公告和社交媒体资料。

规划阶段的目标是寻找目标系统的脆弱点，为后续的目标定位、攻击载荷投递和缓冲区溢出寻找相关的信息。可能对攻击者有用的信息包括人员、网络、主机、帐户和协议信息，以及相关的策略、进程和过程等相关信息。

ICS攻击的规划和侦察还可以包括研究ICS漏洞和技术特征，以及了解如何攻击生产过程和操作模型等活动。被动侦察技术（通常称为“踩点”、“ footprinting”）可以利用大量的互联网公开信息对目标系统进行侦查而不被发现。主动侦察通常包括主动连接目标的公开或私有的可访问的攻击面从而了解其运行模式，以及通过常规查询确定其操作系统或软件的版本。

攻击者还可以尝试利用正常的互联网流量和活动噪音隐藏自己。公开可获得的关于组织的信息有助于攻击者确定目标，而防御者无法选择的一件事，是他们的组织是否值得成为攻击目标。

2.2 准备阶段（Preparation）

准备是第一阶段的第2步，可以包括武器化或目标定位。武器化（Weaponization）包括修改某个无害的文件，比如一个文档文件，以便在攻击下一步中使用。许多时候武器化后的文件依然是一个文档文件，例如PDF格式的文件，但其中包含漏洞利用工具。武器化文档文件也可能只是以恶意方式利用某个软件的已有功能，例如，利用Word文档中的宏就可以完成部分攻击活动。

目标定位（Targeting）也可以在第2步进行，是指攻击者或其代理（例如脚本或工具）识别潜在的受害者过程。用现代军事术语来说，目标定位（Targeting）是分析并确定目标的优先次序，并将适当的致命和非致命攻击行动与这些目标相匹配，以达到特定的攻击效果。网络攻击者根据攻击的时间和工作量、技术成功的可能性和被检测到的风险进行权衡，决定他们将针对目标使用什么攻击工具或方法。例如，在侦察之后，攻击者可以确定通过虚拟专用网络（VPN）进入目标网络是最优策略，因为这样可以用最少的资源消耗达最佳的攻击效果。

武器化和目标定位都可以进行，但两者都不是必需的步骤。在VPN示例中，攻击者可以直接通过获取的凭据进入目标网络，从而不再需要武器化的过程。同样，攻击者可以将武器化文件发送到多个目标，则攻击前无需进行专门的目标定位，在获得初始访问权限后再进行目标选择。

2.3网络入侵阶段（Cyber Intrusion）

要获得初始访问权限，需要第一阶段的第3步，称为网络入侵。网络入侵（Cyber Intrusion），是攻击者为了获得对目标网络或系统的访问控制权，而进行的成功或不成功的任何尝试行为。这包括攻击载荷投递（Delivery）过程，这要求攻击者使用某种方法与目标网络进行交互。例如，网络钓鱼电子邮件可以成为攻击者武器化PDF的载荷投递机制，或者VPN会将攻击载荷投递到目标网络。下一步为漏洞利用（Exploit），是攻击者用来执行恶意操作的手段。这种手段可能是在PDF或其他文件打开时引发漏洞溢出获取权限，或者直接获取对网络的访问权限，例如获取VPN的访问凭证。当漏洞利用成功后，攻击者将安装远程访问工具或者特洛伊木马等功能组件（Install）。攻击者还可以替换或者修改系统现有功能（Modify）。例如，在较新的Windows环境中，PowerShell工具为攻击者提供了足够的功能，使得他们无需依赖恶意软件即可完成入侵过程。由此可见，防御者应该专注于发现和理解威胁，而不应该总是认为威胁来自于恶意软件。

2.4 管理和控制阶段(Management and Enablement)

网络入侵成功后，攻击者将进入下一阶段：管理与控制。攻击者可以使用先前安装的功能组件或者盗用注入VPN这样的可信通信信道实现对目标网络的管理与控制功能（C2, Command and Control）。有经验的攻击者经常建立多个C2通道，以确保在某个C2工具被检测到或移除后不会丢失管理控制权，维持对目标网络的长期管理和控制。值得注意的是，C2方法不一定需要支持高频率双向通信的直接连接。例如，对受保护网络的某些访问可能依赖于单向通信路径，也可能需要更多时间来向外传递信息以及向内部发送命令或代码。攻击者通常通过劫持现有通信的方法隐藏正常的C2出站和入站流量。在某些情况下，攻击者也可以通过向目标网络接入特殊设备建立自己的通信桥来建立C2。通过对目标网络的管理和控制，攻击者可以实现其攻击目的。

为了达到最终的目标，攻击过程还有可能包括以下步骤：维持控制权(Sustainment)，防止被发现(Entrenchment)，定制开发(Development)和攻击执行(Execution)。在这个阶段，攻击者行动起来，完整的攻击活动列表会很长; 但是，常见的活动包括发现新的系统或数据(Discovery)、在网络中横向移动(Movement)、安装和执行附加功能(Install/Execute)、启动附加功能(Launch)、捕获传输的通信（例如获取用户凭证）(Capture)，收集数据（Collect），向攻击者传输数据(Exfiltrate)以及消除活动痕迹和防止被发现的反取证技术(Clean/Defend)，例如清除攻击活动的痕迹或者在遇到网络防御者事件响应之类的活动时保护自己的立足点。

这可能是ICS网络杀伤链第二阶段规划和执行的关键步骤。大量关于ICS和工业过程、工程和运营的相关信息保存在连接因特网的网络中，例如公司或企业网络。因此，防御者要评估在不受保护的网络中，存在哪些信息和工具可以帮助攻击者对ICS实现攻击。还必须注意，攻击者还可以针对供应商或合作伙伴网络执行第一阶段攻击以获得必要的信息，例如ICS项目文件传送途径或集成商或供应商到ICS的远程访问链接。当攻击者成功破坏了ICS的安全性并且能够进入第二阶段时，则第一阶段就可以完成。

IT网络中的违规行为为第一阶段的攻击行为提供了必要的条件。需要强调的是，如果目标网络拥有连接因特网的ICS组件，或者关于ICS的重要信息可以通过攻击的第三方的获取，则可以绕过此阶段。最近的Black Energy 2 / 3系列就试图通过攻击连接互联网的设备进入目标系统。

黑客社区中的恶意软件和网络入侵的很大一部分发生在第一阶段，这也是国家级网络对抗和间谍行动最有可能发生的地方。此外，在此阶段犯罪分子最有可能获得具有货币价值的信息。

在许多情况下，根据攻击者当前的目标，进行间谍活动比进行包括破坏或操纵系统的实际攻击更有价值。能够持久访问影响国家的军事目标和/或犯罪目标，为攻击者提供了随后发起后续行动的机会。因此，即使没有直接的危险或业务影响，识别和补救攻击者网络情报窃取活动也很重要。

使ICS网络攻击与传统IT网络攻击截然不同的原因在于，ICS由底层工程和流程组件构成，并以独特的方式进行设计和配置，要求攻击者拥有广泛的知识，以便用有意义的方式对系统其产生影响。此外，在具有良好架构的ICS中，存在多层系统和安全检测传感器，攻击者必须在第一阶段中遍历每一层才能获得对这些ICS组件的访问权限。不幸的是，直接将ICS连接到互联网极大地破坏了这些ICS在架构方面的安全性优势。

为了继续利用这些固有的防御体系结构，网络维护者必须小心他们所做的设计选择以及他们如何整合系统。例如，将安全系统SIS集成到与控制系统相同的网络中可以大大减少攻击者完全破坏系统所需的工作量。它还使防御者识别攻击和修复系统的机会大幅度减少。这种防御机制的丧失，加上攻击价值的同时增加，导致了ICS安全性的显著下降。使用适当的架构构建的ICS，即使在缺乏安全性设计的环境下（这可能是一个重大问题），攻击者也很难对生产过程产生有意义和可预测的影响。这个问题在将在ICS攻击的第二阶段展示。

3．ICS网络杀伤链：第二阶段

在第二阶段，攻击者必须利用在第一阶段中获得的知识来专门开发和测试能够有意义地攻击ICS的方法。不幸的是，由于控制设备的敏感性，第一阶段攻击操作可能会导致意外的攻击结果。这对于民族国家的网络行动来说是一个重大风险，因为这样的攻击可能被认为是故意的，并具有不可预见的后果。例如，尝试主动发现ICS网络上的主机可能会中断必要的通信或导致通信模块失效。与ICS应用程序或其底层基础架构组件的简单交互可能会导致无意的结果。此活动虽然包含在第一阶段内，但对第二阶段的行动会产生意外影响。故意的攻击发生在第二阶段，如下图所示。

3.1 攻击开发和调整（Attack Development and Tuning）

第二阶段从攻击开发和调整阶段开始（Attack Development and Tuning），在此阶段中，攻击者需要开发一种新功能，专门用于对特定的目标ICS系统进行所需的影响。这种开发很可能是通过过滤特定数据实现的。

只有对系统所有者和操作员能够发现其行为能力具有极低评价的攻击者，才会通过实时生产环境测试来试验和开发他们的攻击功能。因此，在正常情况下，攻击者的开发和调整过程难以检测发现。由于需要很长的开发和测试时间，第一阶段和第二阶段行动之间可能还存在显着延迟。

3.2 验证（Validation）

一旦攻击者开发了一种攻击功能，下一阶段就是验证阶段（Validation）。在这一阶段，攻击者必须在类似或相同配置的系统上测试他们的攻击功能，确认该功能是否能对目标系统产生有意义和可靠的影响。即使是简单的攻击，例如通过增加网络扫描流量对系统进行拒绝服务攻击，也需要进行一定程度的测试以确认扫描可以使系统拒绝服务。但是，对于更重要的影响，可能需要进行更复杂的测试，攻击者可能需要获得真实的物理ICS设备和软件组件才能完成测试。虽然大多数维护者很难掌握ICS供应商的动态，但各种政府组织可以利用他们的信息来源和方法来识别此类设备的异常采购行为，这可能表明攻击者已经完成的第一阶段攻击过程，准备进入第二阶段攻击过程。

3.3 ICS攻击（ICS Attack）

最终，是对ICS的实际攻击（ICS Attack），攻击者将投递其实现的攻击功能（Deliver），安装或修改现有系统功能（Install/Modify），然后执行攻击（Execute）。为实现最终的攻击目的，具体的攻击可能由很多步骤组成（预备或并发攻击），可以细分为攻击准备（Enable Attack）、攻击实施（Initiating Attack）和攻击支持（Supporting Attack）三种类型。如修改（Modify）过程的特定元素的值触发（Trigger）特定操作，引起过程设定点和变量的变化，或通过诸如欺骗状态信息等欺骗工厂操作员认为一切正常的策略来支持攻击，都是ICS实际攻击中必不可少的步骤。

发起攻击的复杂性取决于系统的安全性、过程的监视和控制程度、安全设计及其实现程度以及预期的影响。例如，破坏ICS的简单拒绝服务，比以设计的方式操纵流程攻击系统或者重放攻击容易的多（如下图所示）。攻击者最终需要操纵生产过程以造成重大伤害，包括可靠或可预测的物理破坏、受控设备或过程元素的损坏或修改（包括修改生产方案，配方和混合方案）。

虽然攻击ICS环境的方式多种多样，但是实现功能的最常见方法分为三类：丢失，拒绝和操纵。它们包括监视信息丢失(loss of view)，拒绝监视（denial of view），操控监视结果（manipulation of view），拒绝控制（denial of control），失去控制（loss of control），操纵控制（manipulation of control），激活安全功能（activation of safety），拒绝安全功能（denial of safety），操纵安全功能（manipulation of safety）和操纵传感器和仪器（manipulation of sensors and instruments），如下图所示。

ICS的信息技术（IT）和操作技术（OT）之间存在固有的差异。例如，对IT系统的拒绝服务攻击可能对业务流程造成严重影响，而在ICS中，对传感器或流程的操控影响更大，它可能导致旨在保护人类生命的安全系统SIS的失效，从而造成人员伤亡。

整个ICS安全界并不完全了解系统遭受网络攻击可能导致什么样的后果。研究者经常提到电网故障或者大坝损坏导致洪水泛滥的情况，但其他影响，比如致命化学原料泄露、所制造的产品质量降低、原料配方变化导致产品制造失败等经济损失，和其他相关损失则很少有人提及。因此，IT和OT安全人员以及国家决策者必须充分关注这个领域，以发现各种设施受到攻击后可能造成的后果和影响，以帮助他们更深入的理解攻击者的攻击目的。各行业在进行设备预测时，必须充分考虑ICS遭受网络攻击问题。目前的问题不在于是否会出问题，而在于何时会出问题，并且必须完成必要的安全评估、安全工程和安全监测任务，以便以最好的条件计划和处理潜在攻击行为。

直观了解ICS攻击和ICS网络杀伤链的另一种有效方法，是对ICS入侵和攻击案例进行研究。

4. 使用ICS杀伤链进行案例分析

分析以前针对ICS的网络入侵事件，可以验证ICS网络杀伤链作为防御模型的有效性并能够加深理解。ICS领域历来缺乏网络可见性，并且在受到攻击之后缺乏有效的取证证据和数据。因此，在这些案例中难以正确识别和提取所有证据，但已经足以在较高层次理解他们。

首先，了解典型ICS网络的布局和结构非常重要。我们使用普渡参考模型（如上图所示）来说明ICS网络的体系结构。

在以下案例研究中，普渡模型将说明ICS受影响的架构层次，ICS网络杀伤链将展示攻击者在其活动中完成了哪些阶段和步骤。

4.1 Havex

Havex恶意软件，在ICS攻击过程中可以收集来自世界各地数千个站点的敏感数据和网络架构信息，它是一个可以实现远程访问的木马程序，最初用于网络间谍活动，后来演变成网络犯罪工具。它还包含新的代码模块以适应ICS环境，从而可以实现针对ICS系统本身的攻击。从公开信息可以确认，此恶意软件在发现时已经活动了超过三年时间。

有多种方法可以将Havex恶意软件植入到目标网络中。其中三个最常见的方法是：

发送带有恶意恶意代码的鱼叉式钓鱼电子邮件
用恶意软件感染ICS供应商网站，并在ICS维护者访问这些网站时感染（称为水坑攻击）
提供一个感染特洛伊木马的ICS软件安装程序，在运行安装程序时感染主机系统

这种多种攻击方法结合的方式表明，攻击者能够保持灵活性，并且在开展攻击活动时不受单一技术的限制。观察结果表明，攻击者能够在规划阶段成功识别并利用漏洞，例如对工程师的普遍信任性、信任的继承性以及对ICS供应链的依赖。此外，攻击过程中利用了ICS网络杀伤链中的三个典型入侵方法。

第一种入侵方法是使用鱼叉式网络钓鱼电子邮件，攻击者先进行侦察以确定攻击目标并为其定制了钓鱼邮件。接下来，攻击者将附件文件与漏洞利用相结合，并将其作为网络钓鱼电子邮件的附件，从而实现了武器化过程。将这些钓鱼邮件发送给了事先选定的目标。电子邮件本身就是病毒的载荷投递途径，当用户打开电子邮件的附件文件时，系统就会安装Havex恶意软件。然后，Havex恶意软件尝试与数百个C2服务器中的一个进行通信。然后Havex扫描目标网络以发现ICS组件，收集相关信息并将其发送到C2服务器，攻击者从C2服务器获取这些信息。网络钓鱼邮件攻击主要影响外部网络。除非受攻击的企业将工程文件保存在业务网络上，此方法不太可能获得ICS相关的信息。

第二种入侵方法为感染网站，这种入侵方式也只能实现第一阶段攻击目标，只是使用了不同的方法。注意，对ICS供应商网站的入侵有自己的杀伤链，攻击他们只是作为入侵ICS网络的跳板。通过针对ICS网络的侦察活动，确定目标ICS的网络类型以及供应商。这样，特定的供应商网站就是武器化的主题，其目的是瞄准使用这些供应商的ICS网络。此方案中的病毒的载荷投递方式是通过互联网使用HTTP协议访问网页感染。

可以使用Metasploit的通用渗透测试框架的工具对网站进行武器化。通过已知漏洞的使用，攻击者将Havex安装到目标网络中，在目标网络中部署C2后，完成在第一种入侵方式中相同动作。由于访问供应商网站的一般是工程师和网络管理人员，这种入侵方式更有可能进入ICS网络内部。这种入侵主要影响了ICS网络的DMZ区，对于那些没有使用普渡模型或深度防御架构的组织，它能够更深入地访问ICS系统。

第三种入侵方式最有创意，它在供应商网站上放置了一个感染木马的ICS软件安装程序。其侦察方式与第二种入侵方式相同。然而，在这种情况下，安装程序是武器化的主要载体，其目的是针对使用这些的ICS软件的ICS网络发起攻击。除了攻击载荷投递方式以外，漏洞利用、攻击程序安装、C2和其他相关操作与其他入侵中的一样。但是，这种情况的不同之处在于，即使在只允许从业务网络或DMZ进行因特网访问的具有良好架构网络中，Havex也能对处于普渡模型底层的区域造成影响。这种方式依靠工程师将文件从连接互联网的计算机传输的内部生产控制系统网络，从而突破网络的安全防护措施（如边界控制）。这种情况下的漏洞利用、安装、C2和攻击行动步骤都发生在ICS网络内部。目前发现的感染大部分发生在监控层（Supervisory），在这一层工程师和操作员可以访问工程工作站和人机交互界面（HMI）等系统。攻击者从第三种入侵中获得了很好的数据，因此，这是Havex最常用的入侵方法。

迄今为止，安全研究领域尚未观察到Havex的攻击者采取后续行动的相关证据。作者认为，Havex可以被描述为普通的成功实现了ICS杀伤链第一阶段目标的攻击行为。迄今为止，还没有关于其第二阶段活动的证据公布出来。下图显示了Havex的三种入侵方式与普渡模型和ICS网络杀伤链的映射关系。

4.2震网病毒Stuxnet

据报道，震网病毒Stuxnet在伊朗纳坦兹工厂对多台离心机造成了物理损坏，这是研究ICS 网络杀伤链第一阶段和第二阶段攻击很好的案例。震网病毒Stuxnet在2010年才被发现；然而，此次攻击活动可能已经进行了许多年，估计最早从2006年和2007年左右就已经开始。在那段时间里，攻击者付出了巨大的努力，开发出一种能够对离心机造成物理破坏的针对性攻击工具。这段时间的情报收集工作，很好的印证了ICS网络杀伤链理论。

震网病毒Stuxnet背后的参与者已经进行了充分侦察，以确定通往纳坦兹核设施的可能的攻击路径。然而，专家还推测，为了获得有关该设施的保密数据，侦察中也可能使用了一些物理组件。要深入理解此案例，充分考虑地缘政治的紧张局势和物理安全的影响是至关重要的。例如，2006年，一个持不同政见的团体公布了纳坦兹设施的目的和位置，伊朗铀浓缩计划引起了世界各国的极大关注。这与其他非网络数据一起，可能对攻击者的规划和侦察工作做出了重大贡献。此外，据报道，纳坦兹设施还有一个物理隔离网络，不允许使用传统方法通过网络连接攻击ICS。然而，它可能还有一种内部威胁，如有意或无意地使用受感染的工程笔记本电脑或可移动存储设备（如U盘）来破坏网络。

武器化过程将恶意软件的代码与漏洞结合，放置在笔记本电脑或可移动存储设备上。然后可移动存储设备或笔记本电脑成为恶意软件进入纳坦兹网络的攻击载荷投递方式。震网病毒将自己安装在各种版本的Windows系统上，并重复进行漏洞利用和安装阶段，感染了许多系统，直到它可以访问到互联网并联系到攻击者的C2服务器。

震网病毒Stuxnet活动是一个完整的两阶段ICS攻击过程，通过高度定制的生产过程操纵功能导致物理破坏。该攻击活动覆盖了普渡模型的所有层面，代表了ICS杀伤链中受害者遇到的最坏情况。攻击被映射到普渡模型，如下图所示。

5. 结论

ICS网络杀伤链是一种模型，它建立在对传统网络杀伤链的深入理解的基础之上，并将针对ICS的网络攻击的特点融入其中。通过更好地理解攻击者进行ICS攻击活动的不同阶段，该模型为ICS维护者检测、修复和防御提供了更多的机会。从这些机会还可以看出，ICS网络比传统IT网络更具防御性，另外，诸如限制安全系统SIS与运营网络的集成、不要将ICS组件直接连接互联网等行动可以维护这种网络防御架构，具有重要的作用。

越来越多的ICS防御模型适用于ICS网络杀伤链的概念。例如，网络安全滑动标尺模型，对防护行动和投入的资源进行了更加细致的讨论，这些行动可以有效保障网络的的物理安全、信息安全和可恢复性。与滑动标尺模型类似的模型，例如主动网络防御周期和纵深防御的概念，都是至关重要的防御理论。利用这些新兴模型结合对攻击者的ICS网络杀伤链的理解，ICS安全人员可以学到更多的知识，利用这些知识来可以更加有效地提高ICS的安全性。

文/xu5ei

声明：本文来自网信防务，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。