發布日期:2022-07-14 點擊率:49
自動化工程師需要認真對待“震網”病毒,要從中吸取經驗。“震網”不僅是一種IT中的蠕蟲,還是一種攻擊制造流程的成熟武器。“震網”使用編程軟件下載自己的編碼至PLC系統。
從不同的信源和觀點,對“震網”的話題已經有很多報道。但仍有很多誤解和要吸取的經驗。此文的目的是對工業控制系統(ICS)提出一些觀點和建議,為信息安全的從業者和標準組織提供參考。
背景
在“震網”之前,任何網絡攻擊(有目的或無目的)被認為能夠由IT信息安全技術發現,諸如防火墻或侵入檢測系統,縱深防御能夠防止對物理過程的危害。然而,過去控制系統的網絡事故(惡意的和無意的)已經顯示:很多ICS網絡事故是不容易檢測到的,并且能夠造成物理損壞,甚至已經有了縱深防御的設計。美國能源部(DOE)和家園安保部門(DHS)-一直在資助開發ICS的侵入檢測系統(IDS)/侵入預防系統(IPS)技術和加固監督控制和數據采集(SCADA)系統。注意使用SCADA這個術語是重要的,因為這些新技術還沒有實施到很多老式的非SCADA設備上,諸如可編程邏輯控制器(PLC),電子驅動器,過程傳感器和其他現場設備。另一個假定是:在正在開發的標準中,諸如IEC62443(ISA99)和北美電氣可靠性公司(NERC)的關鍵基礎架構保護(CIP)標準,針對ICS的攻擊已經足夠全面,包括一些非常棘手的攻擊。這些假設抵抗諸如“震網”還不夠充分,需要對ICS的信息安全情況進行一次詳細的重新評估。
我們認為無論是誰開發了“震網”-我們不相信制造“震網”的人非常清楚目的-愿意花費相當大的資源(人力和財力)去開發蠕蟲進行攻擊。他們不想被認出,至少在早期階段,針對特定的目標采用外科手術式的方法。我們不認為仿冒者會重復這種做法,也不會對發現而不在乎。為了保護關鍵基礎設施,要采取了嚴厲措施,防止相似的漏洞受到類似的攻擊。
“震網”歷史
“震網”第一次網絡攻擊是針對ICS設備的說法尚有爭論。“震網”直到2010年的6月中才被人們發現,當它被調查人使用VirusBlockAda識別后,一家位于白俄羅斯明斯克的信息安全供應商。(VirusBlockAda監視什么系統或誰是客戶尚不清楚)。
這個蠕蟲非常著名,不僅是它的技術復雜度,而是因為它針對ICS而設計,運行在電廠,包括核電站、智能電網、水處理、海上油井平臺、艦船和其他關鍵性基礎設施,甚至針對伊朗的核設施。具有諷刺意味的是,DOE有一個對等的研發部門在“震網”披露的那一周進行了審核,沒有一個DOE研發項目知道它的存在。
賽門鐵克公司(Symantec)的研究人員確認了一個在2009年的6月制造的早期蠕蟲版本,這個惡意軟件在2010年1月變得更為復雜。這個早期 “震網”版本的行為同當前的化身相同-它與西門子的PLC連接-但它沒有使用新版蠕蟲引人注目的技術,在安裝到Windows系統后能夠躲避反病毒檢測。這些特性剛剛加到最新的蠕蟲版本中,在幾個月之前首次被檢測到,卡巴斯基實驗室(Kaspersky Lab)的人員說道:“毫無疑問,它是我們到目前為止看到的最復雜精密的目標攻擊”。
在“震網”制造出來以后,它的作者增加了新功能,允許它在USB設備之間擴散,事實上不需要受害者的任何操作。該惡意件還能夠獲取芯片公司瑞昱(Realtek)和智微(JMicron)的密鑰和數字簽名,所以反病毒掃描器檢測到它的困難更大。瑞昱和智微在臺灣的新竹科技園辦公室和卡巴斯基實驗室研究工程師舒文伯格(Schouwenberg)相信有人可能已經偷盜了兩個公司的網絡訪問計算機密鑰。這樣就使“震網”擊敗了兩因數的鑒權。
“震網”利用微軟產品當時四個著名的“0天”漏洞。0天事件(或0天病毒或0天感染)在計算機和因特網術語里本質上一個病毒或一些惡意代碼,因為新,所以反病毒和反間諜軟件還沒來得及更新,可能檢測不到它的存在。
[DividePage:NextPage]
“震網”比谷歌攻擊(Google attack)更有技術含量,舒文伯格說。“極光(Aurora)具有0天,但它針對的是IE版本6,”他說。“這里你有一個漏洞,它會對Windows2000之前的所有版本都有效。”回想那時,微軟不再支持Windows2000和其他老版本,而大多數ICS應用仍在使用。
雖然這個蠕蟲的第一個版本寫于2009年6月,這個版本是否用于了現實世界攻擊還不清楚。舒文伯格說他相信第一次攻擊可能早在2009年7月就發生了。第一個確認攻擊的賽門鐵克公司的信息安全技術副總裁認為這個日期是2010年1月。多數受感染的系統在伊朗,他說,雖然印度、印尼和巴基斯坦也受到了打擊。因為它本身非常獨特,副總裁說。“這是在20年里的第一次,我能記得伊朗展示的情況非常嚴重。”
很多人認為“震網”是一種數據泄漏問題。數據泄露涉及計算機系統信息的非授權隱蔽傳送。然而,“震網”遠不只數據泄漏-它是第一個針對PLC的根工具(rootkit)。根工具是一組程序和編碼,是隱藏在計算機中的惡意軟件。它是針對過程進行攻擊的武器。它有使用編程軟件的能力,把自己的編碼加載到PLC中。另外,“震網”隱藏在這些編碼塊中,所以當編程人員使用感染設備試圖觀看PLC的所有代碼塊時,他們發現不了被“震網”感染的代碼。因此,“震網”不僅是把自己隱藏在Windows系統中的根工具,還是第一個共所周知躲藏在PLC代碼背后的根工具。特別地,“震網”鉤住編程軟件,這意味著當有人使用該軟件觀察PLC的代碼塊時,感染的塊不會被發現,并且不能被重寫。“震網”包含70種加密的代碼塊,出現的形式是替換一些基礎的日常程序。在這些塊下載到PLC之前,它們要根據PLC類型進行定制。有報告稱:有大于100,000臺的機器受到“震網”的影響。然而,“震網”是一種多維度的攻擊。可見的面貌是數據泄漏,這不影響PLC;影響PLC的真正嘴臉確看不見。基于拉爾夫?蘭那在應用控制解決方案2010研討會的介紹,病毒的作用只在滿足了特定的條件后才會爆發。因此,還不清楚究竟有多少機器實際被這種“武器”所感染。
“震網”能夠使用MS08-067漏洞,同樣是Downadup(也稱作Conficker)蠕蟲用于傳播的漏洞。MS08-067是一種致命的漏洞,存在于Windows 2008/Vista/2003/XP/2000服務器的服務中,它使感染計算機能被黑客遠程控制,與登錄的用戶有著相同的權限。如果這個用戶具有管理員的權限,黑客能夠接管系統的全部控制。“震網”出現的時間與Conficker蠕蟲相同。“震網”能夠使用 Conficker蠕蟲傳播它自己。“震網”還要回溯到2009年6月,那時Conficker蠕蟲首次被認定。那也是北美電氣可靠性公司(NERC)對Conficker蠕蟲發布的日期,因為電廠發現了這個情況。我們最近收到的一封電子郵件,一家主要的石油公司在他們的控制系統發現了Conficker-由一個U盤帶入系統。令人驚奇!一個最重要的問題是一個復雜的ICS網絡攻擊不能由ICS人員來識別。因此,ICS人員需要與IT研究人員組成團隊,比如像來自賽門鐵克和卡巴斯基的人員。
注意在7月披露之后不久,微軟發布了一個補丁,用于Windows的漏洞(LNK),“震網”利用它進行系統到系統的傳播(微軟LNK漏洞技術分析簡報(CVE-2010-2568))。另外,一些反病毒廠家提供了新的反病毒簽名。然而,沒有針對寫入PLC固件惡意代碼的解決方案。
“震網”的啟示
無論有意還是無意,“震網”使用了在ICS 網絡中出現的一系列常規弱點:
? “震網”使用閃存(U盤)從物理接口進入系統,然后使用Windows中的多處漏洞,獲得對PLC固件的訪問權限。通過攻擊Windows接口,焦點在Windows,而不是對PLC攻擊。另外,多數政府對工業初始的響應不直接針對ICS工程師。
? 工業不知道復雜的ICS網絡攻擊是什么樣子,或哪種控制系統的獨有屬性被當作目標。一種復雜攻擊,諸如“震網”,多數不能被ICS中的侵入檢測系統和侵入保護系統(IDS/IPS)或ICS的信息安全研究人員所發現。能源部贊助資金開發IDS規則和簽名的努力沒有實施。
? DOE資助項目沒有針對老版本Windows,而普遍用于ICS的多數系統是老系統,這是“震網”的攻擊對象。DOE資助的集成安保系統不能發現它。工業需要理解ICS網絡漏洞的獨特性,不能使用典型的IT分析來發現。
? “震網”有6種傳播途徑,而現在僅有一個針對的補丁。因此,補丁管理應該有最好減小影響的方法,阻止攻擊。
? DOE或DHS沒有針對PLC而作工作,就像針對基于Windows的SCADA系統、分布式控制系統和歸檔數據庫。因此,沒有開發出特定的IDS/IPS簽名。
? “震網”代碼是模塊化的,“震網”代碼的很多部分可以應用于任何ICS廠家。所以每家ICS廠商都需要做好準備,預防“震網”的網絡攻擊,并且要準備現場遭受攻擊后的恢復預案。
[DividePage:NextPage]
? 反病毒解決方案可能不一定成功。直到實際的攻擊被破解之后,IT類型的解決方案可能提供了一種安保的錯覺,并且影響ICS設備的性能。
? 發現這種蠕蟲要花費資深IT安保研究人員的很大精力,還要花費有經驗的ICS人員去理解這個機理。需要建立一支由IT安保研究人員、ICS專家、威脅分析師和法律專家的團隊,應對這些復雜的攻擊。
? 可能與以前的網絡病毒爆發(如Conficker)有很多聯系。聯系這些點和重新檢查以前ICS網絡事故,來考慮“新”攻擊是非常重要的。
? “震網”蠕蟲代表一種不同的相互依存-ICS廠商與用戶。在這種情況下,西門子PLC的感染可能影響多個工業領域,每種情況都有其依存性。需要理解這種依存性。
? NERC CIP流程還不足以應對諸如“震網”這樣的事件,特別在運行(變電站或工廠)環境。
? “震網”對智能電網的關鍵方面提出了危險提示-依靠密鑰管理。智能電網網絡安保的緩解方法需要重新檢查。
其他問題
華盛頓郵報刊登了一名高級防衛部門官員在外交事務雜志上寫的報告,透露在2008年,由一個加載到在中東美國軍方筆記本的U盤進行傳播,對美國政府(軍方)計算機和網絡的一次攻擊。“那個代碼傳播在機密和非機密的系統上都檢測不到,建立了相當于數字的灘頭陣地,從這里出發,由外國人控制把數據轉移到多臺服務器。”他在文章中說道。聽上去非常像“震網”,不是嗎?
對于法規問題,NERC CIP標準有效但把“震網”排除在外,就像傳遞工具是閃存盤, 不是一個可路由的協議。“震網”使用危及安全的密匙。因為智能電網將依靠密鑰管理,這對智能電網意味著什么?此外,PLC的使用遍及智能電網的各處,包括可再生能源等。
在2010年9月2日,美國計算機網緊急響應組(CERT)發布一個對“震網”更新的咨詢報告(ICSA -10-238-01A –“震網”惡意件緩解)。然而,咨詢報告沒有討論如何刪除在PLC級別的感染,甚至沒有告訴怎樣識別和發現它。
對于“震網”我們可以做什么還是個問題,因為現在不可能指認哪個控制器被“感染了”。 因為這是一個工程攻擊,工廠和變電站工程設計和計劃組織部門需要圍繞這類攻擊進行工作,因為從網絡的觀點這是無法工作的。安全、保護和控制在同一個網絡上融合使得攻擊諸如“震網”會造成破壞性的結果。
建議:
? 根據IEC62443(ISA S99)、NERC CIP、核管制委員會(NRC)管制指南5-71和核能研究所(NEI)08-09,執行一次詳細的漏洞分析。
? 建立和執行ICS網絡安保策略和程序。
? 理解你的ICS中實際上有什么。
? 針對不同的ICS應用恰當的技術。
? 有工程和計劃組織部門評估“震網”攻擊的潛在影響。
? 要準備備份方案,因為ICS可被有意或無意的網絡事故所影響。
? ICS網絡安保研究需要包括ICS現場設備,它們通常沒有安保功能,但可能遭受最糟的后果。
結論
? “震網”是一種對物理過程的攻擊,這意味著它不是“可補丁的”。
? 對ICS為目標的復雜網絡攻擊,ICS人員幾乎沒機會能檢測它。
? IT惡意件的研究人員有最佳的機會去發現它。ICS人員需要與他們合作。
? 對于“震網”,ICS人員需要理解怎樣檢測感染,知道是否可以信任控制系統。
? 不要固定在西門子的設備上,這可能發生在任何的ICS上。
? 當你的系統受影響時,馬上啟動備份方案。
下一篇: PLC、DCS、FCS三大控
上一篇: 企業如何實施安保策略
