运营技术和过去的恶意软件

IBM的securityintelligence在上半年的发表了一篇名为《旧即新：运营技术和过去的恶意软件幽灵》的博客。

在更新操作系统和软件以避免已知漏洞方面，操作技术 (OT) ——控制工业控制系统过程的网络——面临着比 IT 同行更复杂的挑战。在某些情况下，补丁的实施可能会导致数小时或数天的代价高昂的停机。在其他情况下，完全缓解将需要净购买价值数百万美元的机器来替换已经已经过时却正在运行的系统。

OT 系统面临这个难题已经不是什么秘密了——而且越来越明显的网络犯罪分子也意识到了这个弱点。尽管最近的头条新闻不乏谴责这些系统易受当今威胁行为者常用的更复杂恶意软件的攻击，但这些对话忽略了对 OT 的另一个潜在但同样严重的威胁：旧的恶意软件仍然漂浮在以太中。

大多数系统都已针对这种恶意软件进行了修补和保护，从而使大量网络免疫，并有效地将较旧的恶意软件从 IT 团队的雷达（和头条新闻）中剔除。这种较旧的恶意软件的两个例子包括Conficker 和WannaCry。

虽然这些恶意软件类型困扰 OT 环境的情况相对较少，但它们确实会发生——并且经常让组织与在很大程度上被遗忘的威胁作斗争。

WannaCry：2017 年之灾祸……

WannaCry 勒索软件的爆发是 2017 年网络安全专业人士的分水岭——这个行业的许多人永远不会忘记这一时刻。利用 Eternal Blue 漏洞快速传播的蠕虫最终影响了 150 多个国家/地区的 200,000 多台设备。从 X-Force 的角度来看，WannaCry 是自 2018 年以来他们在拥有 OT 网络的组织中最常见的勒索软件类型——而且，偶尔，WannaCry 甚至会迁移到网络本身的 OT 部分。

WannaCry 感染 OT 网络的一个例子是2018 年的台积电 (TSMC)。尽管拥有强大的网络分段和网络安全实践，但人为错误导致供应商在网络的 OT 部分安装软件更新，使用的机器在不知不觉中感染了 WannaCry 勒索软件。因为用于软件安装的笔记本电脑已经打了补丁并且使用的是最新的操作系统，所以它不易受到勒索软件的影响——但另一方面，OT 网络却很容易受到攻击。

WannaCry 勒索软件在 TSMC 的网络中迅速传播并感染了多个系统，因为 OT 网络包括多个未打补丁的 Windows 7 系统。勒索软件影响了敏感的半导体制造设备、自动化材料处理系统和人机界面。它还导致数天的停机时间，估计使公司损失 1.7 亿美元。该公司首席执行官CC Wei在一份声明中表示，“我们感到惊讶和震惊。我们之前已经安装了数万个工具，这是第一次发生这种情况。” 由于该事件，该公司实施了新的自动化流程，该流程比人为错误更不可能错过关键的安全步骤。

WannaCry 继续影响着拥有 OT 网络的组织，尽管（谢天谢地）X-Force 今天观察到此类事件的频率远低于 2018 年和 2019 年，因为许多组织能够应用补丁或确定变通方法来更有效地将网络与 WannaCry 隔离。

进入Conficker：2021年继续出现

然而，X-Force 于 2021 年在 OT 网络上观察到的一种旧蠕虫——甚至比 WannaCry 还要古老——是 Conficker。这种蠕虫病毒于2008 年底出现，因为威胁行为者迅速利用了 Microsoft XP 和 2000 操作系统中新发布的漏洞。Conficker 试图窃取和利用密码并劫持运行 Windows 的设备作为僵尸网络运行。由于该恶意软件是一种蠕虫病毒，它会自动传播，无需人工干预，并且在全球范围内持续传播了十多年。

Conficker - 有时具有不同的名称和变体 - 今天仍然存在于某些系统中，包括在 OT 环境中。与 WannaCry 一样，遗留技术和过时操作系统（包括 Windows XP、Windows Server 2003 和未像 IT 网络对应物那样经常更新或修补的专有协议）的存在使这些环境特别容易受到Conficker 的攻击。此外，许多遗留系统的内存和处理能力有限，进一步限制了管理员使其免受Conficker 或WannaCry 等感染的能力，因为该系统甚至不支持简单的防病毒软件安装。

Conficker 蠕虫对 Windows XP 机器特别有效，尤其是在 OT 环境中常见的未打补丁版本。Conficker 蠕虫的快速传播特性对网络工程师来说可能是一个挑战——一旦被感染，连接到网络的每台 Windows 机器都可能在短短一小时内受到影响。由于许多 OT 环境都建立在 20 到 30 年前的设计之上，并进行了部分修改以具有易于访问的连接性，因此它为最简单的恶意软件（包括 Conficker）提供了理想的环境。

从 X-Force 观察到的 Conficker 感染，该蠕虫能够影响人机界面 (HMI)，它传输的网络流量最初会提醒安全人员感染。Conficker 蠕虫的 X-Force 恶意软件逆向工程表明它利用 MS08-067 漏洞初步感染主机。幸运的是，在某些情况下，Conficker 恶意软件（即使存在于 OT 环境中）也不会导致操作损坏或产品质量下降。当然，并非所有可能出现Conficker 恶意软件的网络架构都是如此。

过去的教训：从旧恶意软件中保护 OT 网络

尽管许多 OT 环境正在运行过时的软件和网络拓扑，但组织可以采取措施来防御 WannaCry 和 Conficker 等较旧的恶意软件。通常，OT 环境中的最高优先级是最大化正常运行时间，几乎没有空间进行维护、重新设计、更新和相关的停机时间。然而，即使在这些范围内，组织也可以采取许多措施来减少旧恶意软件进入、传播并对其网络产生负面影响的机会。

其中一些包括：

1. 网络分段：在 OT 环境中对网络进行微分段。如果不同线路不需要相互通信，则无需为所有系统创建和维护大型网络子网。通过隔离较小子网中的系统并限制边界流量来提高系统的可靠性。此外，工业非军事区 (iDMZ) 是划分和网络分段的最佳盟友。尽量避免使用动态主机配置协议（DHCP）；如果需要使用它，请将其子网划分为尽可能低的网络掩码。如果可能，配置虚拟局域网 (VLAN)。

2. 知道有什么：超过 20 年的系统可能在配置管理数据库 (CMDB) 中没有良好的电子记录，并且可能丢失或具有过时的网络图纸。在事件期间对这些信息进行逆向工程并不具有生产力，而确保资产和网络信息得到准确维护可能会有很长的路要走。请注意资产清单中的 IP、MAC、操作系统和软件许可证。在软件的修订日期之前了解您的环境。根据特定角色明确允许哪些用户登录机器；如果可能，将用户链接到机器的序列号。

3. 加固遗留系统以维护安全配置：删除所有未使用的用户并撤销所有不必要的管理权限，删除所有未使用的软件，禁用所有未使用的端口（运行数据包捕获会有所帮助），并禁止将这些资产用于个人用途。端点的不安全配置可能会留下开放的漏洞，以供对手或自我传播的恶意软件利用。识别未使用和不需要的应用程序并删除它们以减少攻击面。尽可能避免专有协议，除非它们不断更新；检查并使用更好、更新的标准化协议。

4. 持续漏洞管理：漏洞管理计划允许组织降低漏洞利用和恶意行为者未经授权的网络访问的可能性，并且有必要根据风险偏好和法规遵从性要求做出明智的漏洞处理决策。必须尽快应用所有必要的安全和安全相关补丁。如果无法修补系统，请确保实施其他补偿性安全控制以降低风险。确定一天或一周内的最低需求时间，并承诺为修补和更新设置停机时间和维护窗口。定期检查有关ICS-CERT的建议，并注意您的供应商是否受到影响。

5. 减少 SMB 攻击面：众所周知， WannaCry和Conficker都会利用 SMB。服务器消息块 (SMB) 是一种网络通信协议，用于提供对网络服务的共享访问，例如文件共享和打印机。由于其在信息技术环境中的流行，攻击者通常使用此协议在受感染的环境中横向移动、与远程系统交互、部署恶意软件和传输文件。此外，SMB 可以提供一种绕过多重身份验证 (MFA) 并远程执行代码的便捷方式。为了减少与基于 SMB 的横向移动相关的攻击面和整体风险，请考虑以下强化措施：

• 将 Windows 防火墙配置为拒绝与工作站的所有入站SMB通信。此控件将禁用 TCP 端口139 和445上的入站连接。
• 审核服务器 SMB 要求，并在不需要协议作为其功能的一部分的服务器上明确拒绝 SMB 入站。

• 考虑禁用旧版本的SMB协议并将业务应用程序迁移到SMB v3.1。由于此活动对业务运营的潜在影响，因此需要仔细规划和风险评估。

6. 避免使用便携式媒体：不受控制的便携式媒体显着增加了传统 OT 环境的风险，因为 OT 系统可能没有最新的安全补丁来防御新的攻击方法。便携式媒体的不受控制和不安全的允许会使 OT 网络暴露于攻击和计划外中断和停机时间。

• 制定在 OT 环境中安全使用便携式媒体的安全策略。

• 理想情况下，严格禁止使用 USB 闪存驱动器。如果绝对需要使用 U 盘，请指定一个 U 盘进行任何维护，并在每次使用时重新格式化。

• 实施充分支持安全策略要求的流程和技术控制。控制可能包括但不限于以下内容：

• 设备的每次使用都记录在日志中

• 这些设备在指定的隔离 PC 上进行扫描，以确保在 OT 端点上使用之前进行强大的 AV 扫描。确保将反恶意软件配置为自动扫描便携式媒体

• 控制批准在环境中使用的便携式媒体设备的数量

• 禁用可移动媒体的自动运行和自动播放自动执行功能。

• 考虑实施安全媒体交换解决方案，例如 Honeywell SMX 或 OPSWAT MetaDefender。

7. 定期演练灾难恢复 (DR) 和事件响应 (IR) 方案：应记录灾难恢复计划，应提供可靠的备份，并且 OT 人员必须了解并深入了解系统应如何恢复。应定期进行 IR 和 DR 练习，以建立可靠恢复所需的肌肉记忆。对您的团队进行有关迫在眉睫的安全威胁的教育，并使它们成为安全流程的一部分。作为任何计划的一部分，请与您组织的 CSIRT 保持直接联系：您的最佳表现始终是快速响应和透明的环境，因此要井井有条并报告一切。

8. 使用网络监控解决方案：防火墙、访问控制列表 (ACL) 和入侵防御系统 (IPS) 可以帮助密切关注通过网络的流量。检查与可疑资产通信的新节点或机器。如果您使用入侵检测系统 (IDS)，请确保您的签名是最新的。即使在监控旧的恶意软件时，每天都会出现新的签名。

虽然 OT 网络感染 WannaCry 或 Conficker 等较旧的恶意软件并不常见，但确实存在记录在案的案例，它们可能会带来代价高昂的破坏甚至安全后果。

结合这篇文章，谈谈我对这块的理解。曾经协助一个地市进行工控检查，有些单位配合态度方面还是非常不错的，但是有些单位配合起来就遇到比较大的阻力。伴随着，我国工业化发展，未来智慧车间、智慧工厂将不断涌现，也将面临IT与OT融合问题，同时对现阶段工控系统的情况摸清，也是为后期智慧车间和工厂改造，提供参考依据。所以，作为工控系统所有者不应该抗拒监管部门的安全检查，本身检查也是帮助各单位提升自身安全防护能力和水平，同时也为后期工业控制系统的升级改造提供可参考依据，那么在这个过程中工控系统所有者情况越明朗，工信部门越有信心帮助其发展。

另外，去过一些工业控制企业，如电厂。在这个过程中发现，很多电厂竟然对自己的网络安全设备的账户和密码都不掌握。对自己的设备策略更无法掌握，所谓知己知彼百战不殆，而这样的工厂一旦面临攻击，可想而知。再者，就是安全意识薄弱，总认为黑客或者坏人不会找到他们，不会盯上他们。这样的思想意识是非常危险的！

1. 开启等级保护之路：GB 17859网络安全等级保护上位标准
2. 网络安全等级保护：等级保护测评过程及各方责任
3. 网络安全等级保护：政务计算机终端核心配置规范思维导图
4. 网络安全等级保护：什么是等级保护？
   
5. 网络安全等级保护：信息技术服务过程一般要求
6. 闲话等级保护：网络安全等级保护基础标准（等保十大标准）下载
7. 闲话等级保护：什么是网络安全等级保护工作的内涵？
8. 闲话等级保护：网络产品和服务安全通用要求之基本级安全通用要求
   
9. 闲话等级保护：测评师能力要求思维导图
   
10. 闲话等级保护：应急响应计划规范思维导图
    
11. 闲话等级保护：浅谈应急响应与保障
    
12. 闲话等级保护：如何做好网络总体安全规划
    
13. 闲话等级保护：如何做好网络安全设计与实施
    
14. 闲话等级保护：要做好网络安全运行与维护
    
15. 闲话等级保护：人员离岗管理的参考实践
16. 信息安全服务与信息系统生命周期的对应关系
17. 工业控制系统安全：信息安全防护指南
18. 工业控制系统安全：工控系统信息安全分级规范思维导图
19. 工业控制系统安全：DCS防护要求思维导图
20. 工业控制系统安全：DCS管理要求思维导图
21. 工业控制系统安全：DCS评估指南思维导图
22. 工业控制安全：工业控制系统风险评估实施指南思维导图
23. 工业控制系统安全：安全检查指南思维导图（内附下载链接）
24. 工业控制系统安全：DCS风险与脆弱性检测要求思维导图

原文始发于微信公众号（祺印说信安）：运营技术和过去的恶意软件