工业网页病毒

II目录一、工业自动化系统漏洞分析.
1(一)漏洞数量持续走高.
1(二)高危漏洞占比增大.
2(三)漏洞类型呈多样化.
3二、工业主机网络攻击分析.
4(一)工业控制系统主机受攻击数量有所降低.
4(二)互联网依然是工业控制系统主机安全威胁的主要来源.
6(三)建筑自动化、汽车制造、能源等领域是工业主机威胁的重灾区.
7三、关键事件分析.
9(一)针对工业企业的高级持续性威胁(APT)攻击活跃度攀升.
91.
Hexane/OilRig/APT34.
92.
APT32/海莲花.
9(二)关键信息基础设施和工业领域勒索软件攻击数量激增.
101.
LockerGoga加密勒索软件.
102.
Ryuk勒索软件.
113.
MegaCortex和Snake.
11II(三)能源行业工业信息安全威胁进一步加剧.
13四、对策建议.
14(一)完善工业信息安全管理体系.
14(二)加强工业信息安全项目建设能力.
15(三)提升人员工业信息安全综合水平.
151一、工业自动化系统漏洞分析(一)漏洞数量持续走高2019年,据美国国土安全部工业控制系统网络应急响应小组(ICS-CERT)统计,涉及技术过程自动化管理系统组件的相关漏洞共计509个,比2018年发现的漏洞数量增加了94个.
其中,涉及工程软件103个、工业用途网络设备78个、数据采集与监控系统(SCADA)/人机界面(HMI)组件63个、集散控制系统(DCS)56个、可编程逻辑控制器(PLC)47个、工业视频监控系统17个、许可管理器15个、操作系统12个、开发和执行框架8个以及其他漏洞110个.
(图1)图1技术过程自动化管理系统组件存在漏洞的情况(ICS-CERT)2(二)高危漏洞占比增大2019年,在ICS-CERT已识别的358个工业控制系统相关漏洞中,高危漏洞(CVSSv.
3得分7-10)数量占比最高,达到68.
2%,其次是中危漏洞,占比也达到28.
2%,低危漏洞占比为3.
6%(图2).
由于披露的工业控制系统相关漏洞大多危险程度高、危害性大,一旦被利用,极易造成破坏性后果.
据卡巴斯基工业控制系统网络应急小组对工业系统、工业物联网/物联网等相关漏洞的跟踪研判,现存的多数漏洞都是因软件开发过程中的错误造成的,包括解决方案架构开发等.
根据常见漏洞列表,最常见的错误类型为CWE-787"越界写入".
图2工业控制系统相关漏洞风险等级分布(ICS-CERT)3(三)漏洞类型呈多样化从披露的漏洞类型来看,2019年最常见的漏洞类型与2018年相似,具体包括缓冲区溢出、输入验证不当和注入等(图3).
在卡巴斯基识别的103个漏洞中,44.
7%的漏洞可被用于发起针对工业控制系统的远程代码执行或拒绝服务(DoS)攻击,13.
6%漏洞可被攻击者利用以提升权限或会话劫持.
其中,在典型PLC执行环境中发现的9个漏洞允许攻击者秘密修改工业流程,由于这些漏洞利用过程很难被发现,因此,该类攻击可能非常持久,对工业生产运行造成极大的安全威胁和物理影响.
图3工业控制系统相关漏洞类型分布情况(ICS-CERT)4二、工业主机网络攻击分析(一)工业控制系统主机受攻击数量有所降低2019年,卡巴斯基检测到恶意活动的工业控制系统主机占比达46.
4%,涉及SCADA服务器、数据存储服务器、数据网关、工程师和操作员工作站、人机界面等.
从变化趋势来看,2019年,检测到恶意活动的工业控制系统主机较2018年下降了0.
8%.
同时,2019年延续了近年来工业控制系统主机威胁在春季和秋季高发的季节性波动特征.
详见图4和图5.
图42018和2019年度检测到恶意活动的工业控制系统主机占比5图52018和2019每月检测到恶意活动的工业控制系统主机占比2019年,至少检测到一次恶意活动的中国工业控制系统主机占比达51.
9%,其中,上半年约为55%,下半年约为51%.
2019年,每月平均有35%的中国工业控制系统主机受恶意软件攻击,详见图6.
图62019年中国工业控制系统主机检测到恶意软件活动情况6(二)互联网依然是工业控制系统主机安全威胁的主要来源2019年,互联网、可移动设备、邮件依然是工业控制系统主机面临的三大威胁来源.
从检测到上述威胁的工业控制系统主机占比来看,互联网约23.
8%,可移动设备约8%,邮件约5%.
与2018年度相比,互联网威胁占比下降约2.
9个百分点,主要由于感染了网络病毒的网站页面浏览量较少.
图72018-2019年卡巴斯基拦截的工业控制系统主机威胁来源占比从地区分布情况来看,互联网威胁是全球所有地区工业控制系统主机面临的主要威胁来源,详见图8.
其中,东南亚和非洲地区是工业控制系统主机遭遇安全威胁的主要地区,而中国的工业控制系统主机受到互联网和电子邮件威胁的频率低于全球其他地区.
7图8工业控制系统主机检测威胁来源地区分布(三)建筑自动化、汽车制造、能源等领域是工业主机威胁的重灾区从拦截恶意软件的工业控制系统主机所在行业的分布来看,建筑自动化、汽车制造、电力能源、石油天然气、工程与ICS集成是遭遇安全威胁工业控制系统主机占比较高的前五大行业.
其中,建筑自动化领域遭遇安全威胁的工业控制系统主机占比最高,达38%,较2018年同期增长近6个百分点,详见图9.
8图9工业控制系统主机威胁所在行业分布9三、关键事件分析(一)针对工业企业的高级持续性威胁(APT)攻击活跃度攀升1.
Hexane/OilRig/APT342019年8月,工业信息安全公司Dragos在对全球石油和天然气行业网络攻击的研究中披露了一个名为"Hexane"的新组织,并将其与来自伊朗的OilRig和CHRYSENE组织联系起来.
研究显示,该组织的攻击目标是非洲、中东和西南亚地区的石油、天然气和电信行业.
尽管Dragos并未在研究中披露该组织的网络入侵指标(Indicatorsofcompromise),但卡巴斯基、Secureworks、IBMX-force等安全公司的研究也陆续证实了该组织的攻击活动.
卡巴斯基的分析显示,新一轮攻击所使用的TTP和此前OilRig组织使用的TTP有一些相似之处.
而从目前相对简单的攻击手法和散播病毒程式的不断演变来看,卡巴斯基认为该组织仍在试错阶段,并在寻找逃避检测的最佳途径.
IBMX-force的分析显示,APT34(又名OilRig和Crambus)策划了针对中东能源设施的攻击,该攻击使用了一种名为"ZeroCleare"的数据清除恶意软件.
2.
APT32/海莲花据Fireeye的研究发现,近年来以攻击记者和政府组织10闻名的黑客组织APT32/海莲花,2019年开始积极组织针对跨国汽车公司的网络攻击.
2019年2月起,该组织向5到10家汽车行业的机构发送钓鱼邮件,还为丰田汽车和现代汽车创建了假域名,试图进入汽车制造商的网络.
目前还不清楚这些攻击是否成功.
据丰田方面表示,3月丰田发现该公司遭到来自越南和泰国的攻击,其日本子公司丰田东京销售控股公司也遭到了攻击,而APT32组织被丰田的一位官员确认是此次攻击的罪魁祸首.
(二)关键信息基础设施和工业领域勒索软件攻击数量激增2019年,全球勒索软件攻击呈高发态势,且攻击受害者涵盖众多关键信息基础设施机构和工业企业.
据卡巴斯基数据显示,2019年,至少174家市政机构遭受勒索软件攻击,较2018年增长约60%.
1.
LockerGoga加密勒索软件2019年3月,作为全球最大的铝生产商之一的挪威冶金巨头NorskHydro遭遇LockerGoga勒索软件攻击.
该勒索软件通过感染轧制产品和挤压工厂的工业网络,阻塞了生产系统,导致NorskHydro公司在挪威、卡塔尔和巴西等多个国家的业务和工业流程中断,对全球40个国家170个不同站点的2.
2万台电脑造成影响.
此次攻击造成的经济损失总额11达到5.
5亿至6.
5亿挪威克朗(约合6,050万至7,150万美元).
LockerGoga勒索软件的受害者还包括法国咨询公司AltranTechnologies和两家美国化工企业Hexion和Momentive.
2.
Ryuk勒索软件自2018年8月被首次发现以来,Ryuk勒索软件始终保持较高活跃度,并已将目标瞄准至工业领域.
攻击者试图对受攻击目标至关重要的运营服务系统进行渗透,并对系统中的数据进行加密.
Ryuk勒索软件使用了安全加密算法,这也意味着在没有私钥的情况下解密文件是不可能的.
2019年,多家大型企业和市政服务遭遇Ryuk加密勒索软件攻击事件.
2019年12月,美国海岸警卫队(USCG)发布了关于Ryuk勒索软件攻击海上运输安全法案(MTSA)监管设施的警报.
公告指出,攻击者发起钓鱼邮件活动,在员工点击邮件中的嵌入式恶意链接后,恶意软件被下载到IT网络中,并进一步渗透到监控和控制货物装卸的工业控制系统,加密了该系统运作所需的重要文件.
此次攻击导致该设施完全关闭运营长达30多个小时,该设施的摄像机和物理访问控制系统中断.
此外,Ryuk勒索软件还破坏了五个石油和天然气设施.
这些攻击没有摧毁任何设施,但工业设备的远程监控瘫痪了长达72小时,迫使这些设施的运营方切换到手动模式.
3.
MegaCortex和Snake122019年,研究人员发现了意图破坏工业软件运行的新型加密勒索软件:MegaCortex和Snake.
这类新型恶意软件引起了业界的广泛关注,其主要特征是在开始数据加密之前终止攻击对象的进程列表.
这个进程列表不仅包括反恶意软件解决方案、数据库服务器和浏览器等进程,还包括工业自动化系统软件.
MegaCortex是在2019年年中针对企业的攻击事件中被发现的,是此类恶意软件中的第一个.
在不到一年的时间中,该恶意软件不断演变并出现了具有新功能的新版本,在开始加密前终止进程列表中包含1,000多个进程.
12月中旬,又发现了一个被称为Snake(或EKANS)的加密勒索软件.
Snake也有一个开始加密前终止进程列表.
值得注意的是,Snake勒索软件的终止进程列表和MegaCortex的列表基本相同,包含了工业系统特有的一些进程.
这些与工业自动化系统软件相关的进程包括:通用电气Proficy历史数据库(客户端和服务器部分);通用电气Fanuc许可服务器;霍尼韦尔的HMIWeb应用程序;FLEXNet许可服务器;SentinelHASP许可管理器;ThingWorx工业连接套件;各种历史数据库中使用的各种数据库进程13卡巴斯基认为,MegaCortex和Snake是两个对工业自动化系统具有高度针对性和破坏性的勒索软件.
尽管这两个勒索软件不能对工业进程进行任何操作,但终止工业控制系统软件中特有进程的行为可能导致网络和物理层面的严重后果.
(三)能源行业工业信息安全威胁进一步加剧卡巴斯基对全球能源行业的工业主机,在发电、输电和配电系统中用于配置、维护和控制的设备及控制系统所面临的网络威胁进行了研究.
研究显示,加密货币矿工(2.
9%)、蠕虫(7.
1%)和各类通用间谍软件(3.
7%)是检测到的最为危险的三类恶意活动.
一旦感染上述恶意软件,将对工业控制系统和工业网络的可用性和完整性产生负面影响.
2019年以来,全球范围内先后发生了多起针对能源行业的工业信息安全事件,对能源行业的生产运行造成不同程度的影响.
3月,美国西部某电力设施的边界防火墙遭遇不明网络攻击,导致电力系统运行控制中心和企业多个站点上的设备之间的通信中断;9月,印度库丹库拉姆核电站被发现感染恶意软件,攻击者可以从被感染的计算机中收集和获取数据;12月,巴林国家石油公司Bapco遭到Dustman恶意软件袭击,部分计算机受到影响.
14四、对策建议2019年,工业控制系统漏洞数量持续增长,中高危漏洞占比不断扩大.
恶意软件通过互联网、可移动设备以及邮件等渠道持续向工业企业渗透,工业控制系统主机遭受攻击数量有所降低,但网络威胁形势依旧严峻.
全球范围内针对工业企业的APT攻击活动日益猖獗,关键信息基础设施和工业企业频繁遭遇勒索软件攻击,重大安全事件处于高发态势,工业控制系统信息安全形势仍旧不容乐观.
为应对持续攀升的工业信息安全风险,建议从安全管理体系、安全技术手段、安全意识水平等方面着力,切实提升工业信息安全防护能力和保障水平.
(一)完善工业信息安全管理体系组织领导方面,加强工业信息安全统筹协调,强化企业工业信息安全管理,制定覆盖IT/OT网络、设备、系统、数据等多层级的安全管理制度;体制机制方面,落实"三同步"原则,在新建或改造自动化、信息化、数字化工程中,加强安全基础设施的同步推进;资源保障方面,指定全职的工业信息安全管理人员系统推进工业信息安全建设,将工业信息安全工作纳入考核范畴,保证企业所需的安全防御工具、产品、服务的购买、运行、更新和维护获得足额的经费支持.
15(二)加强工业信息安全项目建设能力强化安全整体思维,将工业信息安全能力建设与工业生产运行等流程深度融合,形成IT/OT一体化的安全运营模式,明确工业信息安全保障体系和能力建设的目标和推进路径,实现全生命周期的工业信息安全保障能力;丰富安全技术手段,大力提升恶意软件拦截能力,加强工业主机、工业大数据安全防护水平,整合局部性安全防御工具,构建覆盖威胁检测、态势感知、威胁防御、应急响应等一体化的安全防护体系.
(三)提升人员工业信息安全综合水平安全意识方面,制定工业信息安全教育和培训计划,细化企业不同岗位人员的工业信息安全责任和考核机制,定期开展工业信息意识教育、技术培训和技能考核,安全技能方面,着力加强企业自身工业信息安全队伍建设,提高从业人员整体素质,形成企业内部的专业骨干力量.
积极聘请行业专家,组织理论培训和操作演示,提升关键岗位技术人员的防护技能.
动员企业工业信息安全队伍,积极参加行业协会、产业联盟等组织开展的重要赛事,提升工业信息安全实战水平.