从美国输油管道商遭“勒索”事件 思考网络安全体系建设趋势

  • A+
所属分类:云安全

美国最大输油管道停运


时间线

彭博社报道,攻击者于上周四对Colonial Pipeline信息系统发起攻击,仅用两小时就窃取和加密近100G数据。

周五,Colonial Pipeline被迫关闭美国东部沿海各州供油的关键燃油网络。

周六,Colonial Pipeline发声明称某些信息技术系统遭网络攻击,涉及勒索软件。

周日,美国交通部发布针对17个州和哥伦比亚特区的紧急声明,宣布放宽道路运输燃油的限制。

5月10日周一,

FBI指认Darkside是幕后黑手;

DarkSide回应只为敛财,没有政治意图,也无意破坏社会;

Colonial预计到本周末将大幅恢复服务;

亚特兰大、北卡罗莱纳州等地有消息称汽油供应已出现短缺,加油站排起长队。

5月11日周二,Colonial Pipeline官网关停。


影响面分析


Colonial Pipeline总部位于美国佐治亚州,停运的输油管道从休斯顿一直延伸至南大西洋海岸,全长8850公里,每天输送1亿加仑汽油、柴油、喷气燃料、天然气等,为5000万美国民众提供服务,覆盖美国东海岸45%的燃料供应。


此外,该管道还服务于一些大型机场,包括客流量最大的亚特兰大哈茨菲尔德·杰克逊机场。

 

从美国输油管道商遭“勒索”事件  思考网络安全体系建设趋势


1)经济层面

有分析人士称,燃油管道的长时间关闭有可能对美国消费者和整体经济造成打击。据美国汽车协会消息,周一美国汽油平均价格为每加仑2.967美元(约合人民币5元/升),较上年同期增长60%。GasBuddy石油分析主管认为,假如主要输送管道关停5天以上,其负面影响将呈指数级上升。


当然,也有比较乐观的声音。美战略能源与经济研究部迈克尔·林奇认为美国民众暑期出游的热情不会因此减退,而且黑客仅影响了信息系统,并未深入机械控制层面,因此管道关停时间不会太长。

 

2)安全层面

美国土安全部部长称勒索软件有可能对企业的生存构成威胁,2020年勒索软件攻击率在美国增加了300%,全年支付赎金超3.5亿美元。


调查输油管道遭网络攻击的过程和深层原因将成为联邦调查人员和白宫关注的焦点,目前网络脆弱性问题和漏洞研究也已被提升到了美国国家安全议程的首位。


可能原因

美国联邦调查局于本周一发表声明,指认DarkSide勒索软件是罪魁祸首。据MarketWatch报道,DarkSide供认不讳,称其目的只是敛财,无意破坏社会,也没有任何政治意图,同时还将此次事件归咎于其网络犯罪合作伙伴。

从美国输油管道商遭“勒索”事件  思考网络安全体系建设趋势


从黑客如何成功入侵的深层原因来看,目前仍没有明确消息。有相关人士认为由于防御力度较强,针对OT运营技术的直接攻击非常少,黑客更有可能是通过企业管理部门访问了Colonial的计算机系统。



深扒DarkSide


据安全公司Cybereason今年4月出具的一份报告显示,DarkSide自2020年8月开始活动,以RaaS(勒索软件即服务)的模式运营,擅于横向移动并攻击拿到域控制器(DC)致使整个网络环境陷入瘫痪。


目前该组织已发布40多家受害单位的“未赎回”数据(实际受害者数量应该更多),并要求他们提供20万至200万美元的赎金。


以下是DarkSide攻击全过程的详细还原。


#1 下载勒索软件

首先在网络中找到攻击据点,收集目标环境信息以及各类文件、凭证等敏感信息。利用PowerShell、Certutil.exe等工具下载位于攻击者公网服务器上的“update.exe”恶意程序:

从美国输油管道商遭“勒索”事件  思考网络安全体系建设趋势

通过DownloadFile下载DarkSide二进制文件

从美国输油管道商遭“勒索”事件  思考网络安全体系建设趋势

通过Certutil.exe下载DarkSide二进制文件


除了将DarkSide二进制文件下载到C:Windows和C:Temp之外,攻击者还会在受感染主机上创建一个共享文件夹,并通过PowerShell在文件夹中下载一个恶意程序副本。


#2 拿下域控

成功突破互联网边界后,攻击者通过横向移动到达域控制器(DC),并开始收集其它敏感信息和文件,包括存储密码的SAM文件:

从美国输油管道商遭“勒索”事件  思考网络安全体系建设趋势

通过reg.exe窃取DC中SAM注册表存储的用户凭证


除了从DC收集数据外,攻击者还利用PowerShell从先前感染主机上创建的共享文件夹中下载DarkSide二进制文件:

从美国输油管道商遭“勒索”事件  思考网络安全体系建设趋势

DC中执行的PowerShell命令


攻击者还会使用DC中的公司名称创建共享文件夹,再次复制DarkSide二进制文件。在攻击的后期阶段获得大部分数据后,利用bitsadmin.exe将勒索软件二进制文件从共享文件夹分发到目标环境的其它资产中,造成最大程度的破坏:

从美国输油管道商遭“勒索”事件  思考网络安全体系建设趋势

通过共享文件夹从DC下载DarkSide二进制文件


为了在DC上执行勒索软件,攻击者创建了一个名为“ Test1”的计划任务,用于勒索软件的执行:

从美国输油管道商遭“勒索”事件  思考网络安全体系建设趋势

通过计划任务执行DarkSide勒索软件


#3  DarkSide内部分析

Cybereason表示DarkSide勒索软件首次在受感染的主机上执行时,会通过GetSystemDefaultUILanguage()和GetUserDefaultLangID() 函数检查系统语言,避免对位于前苏联国家的系统进行加密:

从美国输油管道商遭“勒索”事件  思考网络安全体系建设趋势

检查安装的语言是否为俄语


接着,DarkSide会停止安全和备份相关系统服务,并建立与硬编码C2服务器的连接(如temisleyes[.]com),回传主机设备敏感信息:
从美国输油管道商遭“勒索”事件  思考网络安全体系建设趋势


卸载VSS(卷影拷贝)服务之后,DarkSide调用PowerShell执行WMI删除卷影副本。
从美国输油管道商遭“勒索”事件  思考网络安全体系建设趋势

创建Powershell进程


通过解密Powershell命令可看到攻击者调用执行WMI删除卷影副本。最后,对正在运行的进程进行枚举,终止正在运行的系统进程,遍历磁盘文件进行加密。DarkSide会为受害者创建一个唯一的User_ID字符串,并将其添加到加密文件扩展名中,如下所示:<文件名>.{userid}。被感染主机桌面除了加密文件图标、背景被修改,还有一个名为“README”的勒索说明文档。
从美国输油管道商遭“勒索”事件  思考网络安全体系建设趋势


网络安全体系建设趋势


同类事件


2021.2

美国佛罗里达州的一家水处理厂遭黑客攻击,攻击者通过一个允许授权用户远程访问的程序,远程进入了监测水处理相关化学物质含量的电脑系统。

2020.10

美国俄勒冈州一家医院 Sky Lakes Medical Center在勒索软件攻击后关闭了计算机系统,严重影响医院正常运营,造成经济损失。

2020.5

中国台湾两个最大的炼油厂(CPC和FPCC)两天内相继遭遇网络攻击,波及整个供应链,甚至影响到在加油站加油的客户。

2020.2

美国某天然气运营商遭到勒索攻击,导致该工厂IT与OT网络数据被锁定,被迫停摆2天,并被国土安全部通报。

2020

欧洲能源巨头Enel Group在40个国家/地区拥有6100万客户,却在1年内两次遭遇不同的勒索软件攻击,被盗数据多达5TB数据,被要求支付1400万美元的赎金。

       ……


应对建议

世界经济论坛网络安全中心的网络战略负责人阿尔吉德·皮皮凯特针对本次事件发表了自己的见解:“安全脆弱性已成为系统性问题,除非将网络安全嵌入开发阶段,从源头解决安全问题,否则针对石油和天然气管道或水处理厂等工业系统的攻击事件只会越来越多。”

 

纽约时报表示,该管道自1960年代初以来一直为美国东海岸提供服务,突如其来的关闭凸显了直接或间接连接到互联网的基础设施老化问题,网络安全现状堪忧。

 

此外,从安全公司Cybereason对DarkSide的分析报告可以看出,影响恶劣的勒索软件攻击离不开黑客的主动入侵与横向移动,只有尽可能多地窃取数据,才能实现利益最大化。

默安科技安全专家表示,勒索病毒的爆发只是网络安全体系建设存在问题的一个缩影,应从美国输油管道商“勒索”事件,积极反思和推进国内关键信息基础设施网络安全防护体系的实战化建设。


自身的脆弱性是网络安全事件发生的主要原因。关注基础安全本身,避免因自身应用资产安全脆弱性导致的勒索病毒爆发。将应用系统的安全左移,注重安全风险的源头治理,建立完善的安全开发体系;同时,加强应用资产及承载环境安全治理、漏洞的应急处置,避免已知威胁造成的风险与损失。


构建企业级主动防御体系和能力,应对未知的新型网络攻击。在核心业务及网络环境的风险感知,以及新型勒索病毒的攻击防护层面,可以采用欺骗防御等非规则型的安全产品及能力,有效感知勒索病毒横向感染,快速止损。利用欺骗防御体系诱捕感知的特性,提前实现分析发现,预防新型未知风险。


默安科技下一代安全体系的核心目标,是帮助客户建立面向实战的积极主动防御体系。


在安全运营层面,默安科技已经形成体系化的战略战术战法三大能力,根据不同业务场景、网络架构和防护目标帮助客户建立基于欺骗技术的主动防御体系;在安全开发层面,自主研发的安全开发解决方案可提供一套完整“产品+服务+平台”的SDL/DevSecOps全流程方案,帮助客户在应用上线前消灭高危漏洞、业务安全风险等在内的安全问题,从源头上治理安全问题。


参考来源:

https://www.reuters.com/technology/colonial-pipeline-halts-all-pipeline-operations-after-cybersecurity-attack-2021-05-08/

 

https://www.cnbc.com/2021/05/09/gasoline-futures-jump-as-much-of-vital-pipeline-remains-shutdown-following-cyberattack.html

 

https://www.nytimes.com/2021/05/08/us/politics/cyberattack-colonial-pipeline.html

 

https://www.cbsnews.com/news/colonial-pipeline-cyberattack-shut-down/

 

https://edition.cnn.com/2021/05/09/politics/colonial-pipeline-cyberattack-restart-plan/index.html


https://www.cybereason.com/blog/cybereason-vs-darkside-ransomware


从美国输油管道商遭“勒索”事件  思考网络安全体系建设趋势

本文始发于微信公众号(默安科技):从美国输油管道商遭“勒索”事件 思考网络安全体系建设趋势

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: