霍尼韦尔：针对工业组织的 USB 恶意软件攻击变得更加复杂

关键词

工业巨头霍尼韦尔发布了关于 USB 传播的恶意软件对工业组织构成威胁的第六份年度报告，警告其复杂性有所增加。

该报告基于该公司的全球分析、研究和防御 (GARD) 团队使用安全产品收集的数据进行的分析，该产品旨在检测和阻止客户工业环境中使用的 USB 驱动器上的恶意软件。

与前两年相比，过去一年的一些数据基本没有变化。在霍尼韦尔产品在 USB 驱动器上检测到的所有恶意软件中，31% 是已知针对工业系统或公司的攻击活动的一部分或与其相关。

与过去几年类似，超过一半的恶意软件旨在通过 USB 驱动器进行攻击或传播，这可以帮助恶意软件跨越隔离网络。此外，大约一半的恶意软件能够连接到远程 C&C 服务器。

同样与过去两年类似的是，80% 检测到的恶意软件能够对运营技术 (OT) 流程造成干扰，包括失去视野、失去控制或系统中断。这包括勒索软件、擦除器和专门设计用于操纵或破坏控制的恶意软件，例如Industroyer2和Black Energy。

霍尼韦尔在报告中表示：“这些指标共同支持了这样一种信念，即 USB 传播的恶意软件被故意利用作为针对工业目标的协调攻击活动的一部分，包括可能导致视野和/或控制丧失的功能。”

与往年相比，霍尼韦尔已开始监控更多指标。这揭示了向离地生活 (LotL) 策略的转变，以增加攻击者不被发现的机会。

霍尼韦尔表示：“新证据表明，对手正在追求 LotL 策略，将更复杂的检测规避和持久性技术与利用目标系统固有功能的执行技术相结合。”

大约 20% 的 USB 恶意软件是基于内容的，滥用现有的文档和脚本功能，而不是利用新的漏洞。

在被阻止的所有恶意软件中，超过 13% 专门利用了常见文档（如 Word 文档、电子表格、脚本等）的固有功能。另外 2% 的恶意软件专门针对常见文档格式中的已知漏洞，另外 5% 专门针对用于修改和创建这些文件类型的应用程序。

该公司还发现针对 Linux 和其他平台的恶意软件有所增加，其中包括专门为工业设施设计的恶意软件。

另一个令人担忧的趋势与恶意软件频率有关。霍尼韦尔表示，与去年相比，被阻止的恶意软件数量相对于扫描文件总数增加了约 33%，同比增长了 700%。

霍尼韦尔警告称：“连续第六年，试图进入工业/OT 环境的已知威胁的复杂程度、频率和潜在运营风险持续增加。” “USB 传播的恶意软件显然被用作针对工业目标的更大规模网络攻击活动的一部分。对 ATT&CK 技术的分析以及与主要网络物理攻击活动相关的恶意软件（例如 Stuxnet、Black Energy、Triton、Industroyer 和 Industroyer 2）的分析支持了这一迹象。”

霍尼韦尔国际（Honeywell International），是美国一家以电子消费品生产、工程技术服务和航空航天系统为主的跨国公司，总部位于北卡罗来纳州夏洛特。名列《财富》杂志100强公司，拥有约110,000名雇员，其中约44,000名在美国。