勒索软件攻击方式正逐渐成为一种新的网络犯罪的趋势,甚至形成了其独特的商业模式。犯罪分子用勒索病毒挟持受害者的物理设备或者关键数据,企图用这种方法来获取不当收益。但与此同时,由于很少遭到实际的攻击,以及一些其它原因,大多数工控(ICS)网络的管理者仍然几乎从来不更新他们的工控网络。最近的研究表明,ICS网络将很快成为勒索软件下一个针对性的目标。
迄今为止,实际发生的勒索攻击,还基本都是针对个人电脑。截止目前工业控制网络仍未大规模遭受过勒索软件的入侵,但是在工控领域,数据泄露事件,企业系统被入侵成功的报道已经很多。只不过这些事件的源动力并非勒索钱财而已。比如Stuxnet事件,乌克兰电力中断事件都是源于军事目标打击而不是勒索。2003年,美国东北地区的著名停电事件只是一个软件上的乌龙bug造成,其经济损失就达到70~100亿美金。
虽然ICS网络暂时躲过了勒索软件这种犯罪模式,但这并非因为其本质上更安全。2016年7月,卡巴斯基安全情报组公布了一份针对漏洞和不安全协议的报告,工业控制网络非常不安全的情况毫无改善。唯一合理的解释是,犯罪份子还没有弄清楚如何将这种不同环境下的黑客行为纳入到有利可图的商业模式中去。事实上,Shodan上可以轻易找到大量弱点设备,勒索软件盯上这些设备只是时间问题而已。
勒索软件从技术上说目前有两种:锁定类(Locker)和加密类(Crypt)。早期的勒索软件多为Locker类,而最近举世瞩目的勒索病毒WannaCry则属于后者。锁定类软件的技术方案为夺取软硬件的控制权,勒索赎金,这种方式往往能被安全软件破解而失去勒索效力,所以正在逐渐被加密类勒索软件所代替。加密类勒索软件的特点就在于,即使你获悉了勒索软件的全部工作原理和技术秘密,仍然不能阻止数据被破坏的后果。这种加密类勒索软件,可以为恢复教育网内的数据索要10000美金,也可能会为医院的病人数据索要17000美金。
2016年是勒索软件爆发的一年,2015年可追踪的勒索攻击有380万次,这一数据在2016年猛增到6.38亿次。在美国,2015年勒索软件成功敲诈了2400万美元,而这一数字在2016年第一季度就达到了2.09亿美元。2015年,仅有30个左右的勒索病毒家族,这一数字在2016年猛增到140多个家族。预计2017年,勒索软件家族不会再有这么迅猛的增长,估计会有180多个家族,但是,勒索软件的攻击触角和非法获利,必将比2016有一个迅猛的增长。
工业控制设施中虽然有一些有价值的数据,然而并不是主要的价值所在。管理者最关注的还是工控设施的持续可用性。因此,工业控制领域目前的勒索软件还仍然以锁定类为主,且处于概念验证阶段。以LogicLocker为例。这款勒索软件可以利用弱身份验证机制,在施耐德Modicon M241和Allen Bradley MicroLogix 1400之间通过原生Socket API传播。锁定合法用户,并且使用户不能容易地恢复PLC。如果不支付赎金,将启用逻辑炸弹程序,操作物理输出,对PLC产生物理性损害,甚至伤及人身安全。
2017年5月12日,勒索病毒软件WannaCry席卷全球。其勒索逻辑和数据加密部分并不出奇,与前几个月的其它几款勒索软件几乎完全一样,属于比较成熟的复制品。这次WannaCry变种的影响力之所以如此巨大,主要由于其Dropper部分利用了一个相对较新的微软漏洞(EternalBlue永恒之蓝),从而得以自动传播,使得其感染范围比之前的几个变种大出几个数量级。
反应速度:大多数的欧美厂商的应急响应指导文档都发布于5月17日前后,勒索软件这时已经肆虐5天,这个反应速度并不算快,实际上,中国国内很多安全厂商的响应速度都是以小时计算的。
从响应内容来看:相当一部分厂商都是参考了微软MSRC的应对指南(),以及互相照抄,很少有自己针对性的建议和措施。
是不是很面熟?这些天来,无数的技术分析文章都在反复提及这几句话, 除了第五条。
BD:给出了普适性的安全建议后,公开了自己的受影响的产品的一份长长的列表。虽然没法解决,但直面问题的态度可嘉。
西门子:出了一系列文章,分行业分产品线阐述了问题和应对,西门子有自己的比较专业的安全团队,是公关里面做得相对比较好的。
飞利浦医疗:飞利浦列出了清单,包括ISPACS,ISPIX,PIIC iX等多款运行于Windows上的产品可能受到攻击。
Smith医疗:在病人安全和治疗不受影响情况下,断开相关设备,使用独立运行模式,在恢复联网前打好补丁,做好网络隔离。
Tridium:Niagara系统实际上是一个Qnx,所以没有受到任何影响。
爱默生:爱默生承认其DeltaV产品线,所有未打补丁的服务器和工作站,都会受影响。DeltaV是一个分布式控制系统,在DCS市场中占有率第一,广泛用于石油化工行业。
国内工控设备厂商:目前只看到浙大中控于5月16日发布了勒索病毒事件的响应文章,措辞比较中肯。
国内工控安全厂商:威努特5月12日当晚开始陆续接到客户现场发现Wannacry病毒的信息,部署在现场的工控主机卫士第一时间阻止了病毒的入侵和扩散,5月15日官方发布应对策略,并公开宣布提供免费网上和现场技术支持服务,其工控主机卫士是国内唯一现场成功拦截Wannacry病毒的软件。
总体上来说,工控领域厂商依旧对勒索软件并不重视,除了西门子,飞利浦等公司外,其余厂商还是应付差事的心态为主,很多厂商甚至直接回避问题,代之以我们没有收到受感染的报告,或者用推荐杀毒软件的方式推卸责任。这种消极心态对于预防和解决勒索事件十分不利,迟早会出事的,我们拭目以待。
勒索软件即将盯上工控网络,这几乎已经是板上钉钉的事情,不容回避。强烈建议各大工控厂商需要提高危机意识,与专业的安全企业深入合作,共同努力,避免勒索软件在工控领域造成巨大损失,未雨绸缪比亡羊补牢要好的多。返回搜狐,查看更多