编译 | 天地和兴工业网络安全研究院
一、威胁态势
勒索软件攻击持续占据着威胁的主导地位,其复杂性和持久性不断增长。除了索要勒索赎金外,Ryuk、Netwalker、Egregor和其他勒索软件团伙还窃取数据,严重损害网络,为未来的攻击活动做准备。
供应链威胁和漏洞没有减缓的迹象。SolarWinds攻击不仅感染了包括美国政府机构和关键基础设施在内的数千个组织,而且还显示了通过供应链弱点进行攻击的巨大潜力。
各组织都在加速数字化。这就更加注重运营系统,而运营系统是价值和收入创造的核心。除此之外,高管们还将网络安全列为企业面临的第二大风险,世界经济论坛(World Economic Forum)将对关键基础设施的攻击列为全球第五大风险。
纵观威胁格局,有两种类型的威胁尤为突出:供应链和持久性勒索软件。
1.1供应链威胁和漏洞
2020年最重大的威胁行动是SolarWinds供应链攻击,导致数千个组织受到感染。这次攻击,加上最近的漏洞趋势,意味着现在是资产所有者重新评估OT/IoT系统的攻击面,并重新评估供应链风险的时候了。
SolarWinds攻击涉及一个高级威胁参与者,危及广泛用于管理IT基础设施的SolarWinds网络监控产品。此次攻击的受害者包括美国政府机构以及关键的基础设施和制造业运营。该攻击是复杂的间谍活动,对未来的影响目前还未知。
尽管SolarWinds威胁行为者选择了几个目标来接收恶意有效载荷,使其能够进一步访问受破坏的网络,但所有受感染的组织现在都面临着净化其网络的重大挑战。
SolarWinds攻击还反映了最近最重要的漏洞趋势,即供应链研究和利用,这是威胁行为者谨慎地选择广泛使用的服务或软件作为供应链目标的例子。该攻击突显了对其网络中使用的软件代理有限的终端用户的风险。
另一种软件供应链威胁是嵌入式组件风险,例如Ripple20漏洞。Ripple20由Treck在TCP/IP堆栈中发现的19个漏洞组成。
SolarWinds恶意软件活动的全部影响目前尚不为人所知。更多的信息仍在被发现当中。面对如此复杂的攻击,没有单一的技术防御。相反,每个组织都应该着眼于不断改进其安全态势和流程。
1.2勒索软件主导威胁格局
勒索软件威胁者主导着威胁格局,将目标对准他们认为可以支付丰厚赎金的组织。这些威胁通常被贴上“赎金”的标签,因为它们采用的是盈利策略。然而,从战略上讲,它们带来的风险远远高于单纯的财务风险。不仅要求财务付款,而且还在泄露数据和严重危害网络。攻击目标包括为新冠肺炎研究和生产疫苗的医疗机构。
一旦观察到恶意行为者反复表现出这种能力,防御者需要考虑以下几点。负责防御网络的安全团队应根据已知的勒索软件TTP(战术、技术和程序)验证其态势。仔细研究最近事件的细节,尤其是2019年的挪威水电攻击事件,可以帮助组织了解潜在后果,并制定可采取行动的应急计划。
勒索软件攻击的复杂性正在增加。一个典型的例子就是Ryuk勒索软件组织,据估计,该组织在2020年的所有勒索软件攻击中占很大比例。Ryuk的网络攻击链包括:
• 网络钓鱼电子邮件
• BazaarLoader执行
• Cobalt打击部署
• 域发现
• ZeroLogon against DC(域控制器)
• 附加资产发现
• 勒索软件部署
根据目标网络的不同,从最初感染到勒索软件执行的时间最长可达几个小时。
在战略层面上,防御者应该评估网络泄露的潜在危害。例如,如果公司在特定的供应链中扮演关键角色,泄露可能会给社会带来后果。微软在去年10月份捣毁了Trickbot僵尸网络使用的几个关键基础设施,Trickbot是一个向国家和犯罪组织提供服务的僵尸网络。
处理勒索软件泄露还会对各国产生不同的监管影响。例如,去年年底,美国财政部外国资产控制办公室(OFAC)向愿意支付赎金要求的组织发出了一项建议。他们警告称,根据他们的指导方针,如果收到付款的恶意行为者在OFAC制裁的个人名单中,付款方将承担违反美国制裁的责任。
在欧盟,通用数据保护条例规定了在数据泄露后必须完成的一系列行动,如果违反这些规则,组织将面临严重的经济后果。因此,法规遵从性是勒索软件攻击的另一个复杂影响,需要仔细和提前的计划才能避免危机。
考虑到正在进行的COVID-19疫情,医疗保健仍然是勒索软件高度攻击的领域之一,直接参与研究和生产COVID-19疫苗和治疗方法的组织正处于攻击的中心。
1.3医疗保健成为国家威胁组织及勒索软件的攻击目标
在其他值得注意的威胁方面,社会工程攻击仍在继续。例如,在2020年下半年,威胁行为者利用社会对COVID-19、美国总统选举的广泛兴趣,欺骗受害者执行恶意软件或泄露证件。通常,社会工程攻击的内容与新闻周期有关,这一事实应在终端用户网络安全培训计划中予以重视。
国家支持的威胁组织的和勒索软件组织的攻击目标都是医疗保健,特别是COVID-19研究机构,他们还使用现成的红队工具来有效地开展攻击。
1.4IoT安全
去年11月,美国国会通过了《物联网网络安全改进法案》,这是为物联网设备的开发和部署规定基线安全实践的重要第一步。该法案特别指派NIST为政府拥有或控制的物联网设备的适当使用和管理发布指导方针和建议。NIST与管理和预算办公室将为影响物联网设备的安全漏洞披露过程提供指导。2020年,美国政府立法在四个领域制定了基本安全做法,分别为安全发展、身份管理、补丁、和配置管理。《2020年美国物联网网络安全改进法案》已签署成为法律。
欧盟网络安全机构ENISA也发布了一份《物联网安全指南》,特别关注物联网资产的供应链。
二、18种特定威胁
2.1火眼Compromise
去年12月,安全公司火眼(FireEye)公开报告称,其网络被一名老练的民族国家行为者成功入侵。这次有针对性的攻击成功地渗入了FireEye用来评估客户安全态势的自定义红色团队工具。
FireEye对首次访问的根本原因进行了彻底的调查,并意识到他们的公司只是众多遭到攻击的组织之一。访问是通过Orion提供的,Orion是由SolarWinds公司开发的网络监控产品,广泛用于管理IT基础设施。
2.2SolarWinds(SUNSPOT、SUNBURST、SUPERNOVA)
这是一次供应链攻击,一个SolarWinds Orion软件更新被劫持,向数千个组织分发恶意软件。SUNBURST后门是在2020年2月发布的Orion 平台上部署的。SUNBURST在部署后休眠长达两周,然后联系指挥与控制中心(Command AndControl)接受进一步的指令。与C&C的通信依赖于Orion使用的网络协议,并存储在合法的插件文件中,这给检测带来了挑战。
受影响的客户名单包括世界各地的政府机构、关键基础设施和私营部门组织。根据到目前为止的调查,似乎只有一小部分接受后门更新的客户在其基础设施中部署了额外的第二阶段恶意软件。这表明,这次攻击的目的是秘密渗透到目标,同时尽量减少被发现的可能性。
目前所知道的情况表明了与供应链攻击相关的重大风险。它们为攻击者提供了一个单一的弱点来集中攻击,从而获得对大量不同系统的访问。
2.3MuddyWater
MuddyWater是一种APT,以前与利用社会工程技术的间谍活动有关。2020年9月,ClearSky 网络安全报告了针对以色列和其他国家组织的几次攻击。攻击利用了与Muddywater集团相关的TTP,并使用了两种类型的攻击向量进行初始访问:
• 社会工程
• 利用CVE-2020-0688 Microsoft Exchange漏洞
下面显示的是使用MITRE攻击与ck框架描述的威胁参与者所使用的技术。
2.4MontysThree
10月初,一份关于APT组织针对讲俄语的目标进行重点工业间谍活动的报告发表。虽然这些攻击可以追溯到2018年,但使用的一些技术和程序是最近使用恶意软件所独有的。该恶意软件使用合法的公共云服务,如Dropbox和谷歌进行C&C,而且它大量使用隐写术。持久性是通过修改用于合法应用程序的现有.lnk文件来实现的。
2.5针对俄罗斯工业企业的无名活动
去年11月发表了一份关于一个组织对俄罗斯工业组织进行网络钓鱼活动的报告。根据这份报告,大部分目标都在采矿、物流、能源、建筑和石油天然气等行业。所采用的社会工程方法针对每个目标进行了高度定制。电子邮件被精心设计成似乎来自目标组织内部或业务伙伴。
有效载荷安装了过时版本的TeamViewer,然后对其进行修改,以通过恶意DLL向使用机器的人完全隐藏其界面。攻击者使用TeamViewer客户端连接到目标,然后开始在网络内横向移动并窃取数据。这一特殊的威胁行为体似乎主要是出于金融欺诈的动机。
2.6Drovorub
美国联邦调查局(FBI)和美国国家安全局(NSA)在8月份联合发布了一份报告,描述了Drovorub Linux恶意软件工具包是由俄罗斯的GRU提供的。此外,施耐德电气11月10日发布安全公告,建议采取纵深防御的方式,保护其两款产品免受恶意软件的攻击。通过内存分析、基于主机的探测和网络流量来检测Drovorub的细节方法。
WebSockets上的JSON用于不同组件之间的通信。由于kernalrootkit使用反取证技术来隐藏Drovorub在文件系统、网络和进程列表中的存在,因此检测Drovorub的存在具有挑战性。
2.7Trickbot僵尸网络
自2016年以来,Trickbot僵尸网络一直活跃,通常通过电子邮件传播。通过有效地运营“恶意软件即服务”平台,其运营商可以出售对受感染机器的访问权限。客户可能是寻求进入可货币化目标的普通罪犯,甚至可能是寻找特定资产的民族国家行为者。
由微软牵头的协调行动中断了依赖于美国服务器的Trickbot C&C连接。然而,恶意软件运营商很快就在欧洲、南美和亚洲使用受感染的Mikrotik消费者路由器建立了新的C&C基础设施。新节点的地理分布,再加上配置它们的方便性,使得新的C&C服务器更难关闭。
2.8Bazar
Bazar是一个模块化的恶意软件平台,它有两个功能:一个是在成功攻击(如钓鱼电子邮件)后部署的加载程序,另一个是用于在目标内建立持久性的后门。一旦后门被成功激活,它通常被用来部署额外的有效负载。
Bazar因使用.bazar域名而得名,.bazar域名是基于EmerCoin区块链的DNS的替代命名方案。
2.9Ryuk
Ryuk是一个臭名昭著的勒索软件,在2020年一直活跃,据信它是由一个专业犯罪集团运营的,该集团赚取了超过1.5亿美元的比特币。Ryuk攻击的目标还包括应对COVID-19大流行时的医疗机构。Ryuk也因其攻击速度而脱颖而出。根据目标网络的不同,从最初感染到勒索软件执行的时间可能短至几个小时。
2.10Cobalt Strike
CobaltStrike是一个付费软件套件,用于模拟威胁和执行有针对性的攻击。它包括用于侦察、后利用、秘密通信和实时团队协作的模块。虽然主要由公司用于渗透测试,但威胁参与者在对公司网络进行攻击时已经使用该工具包。许多实施勒索软件攻击的组织会利用泄露的Cobalt Strike版本进行横向移动和C&C通信。
2.11Ragnar Locker
RagnarLocker是一款勒索软件。它用来逃避检测的新方法之一是部署一个虚拟机,其中包含执行加密所需的实用程序。这将阻止基于主机的安全软件对其进行监控。Ragnar Locker运营商,会在加密之前执行数据盗窃。他们利用窃取的数据作为筹码,通过公布文件样本或联系媒体,迫使受害者支付赎金。
2.12Netwalker
在2020年下半年,Netwalker勒索软件运营商攻击了包括阿根廷官方移民机构、大学、政府机构和网络安全、能源和卫生部门的公司在内的知名攻击目标。
这个威胁团伙依靠电子邮件、弱RDP凭据或攻击虚拟专用网设备来获得对目标网络的初始访问权限。在执行横向移动之后,数据会使用Mega等流行的云服务进行渗透,然后进行加密。NetWalker组织会以数据泄露来威胁受害者以支付赎金。
2.13Egregor
Egregor是一种新兴的勒索软件,显示类似于Sekhmet勒索软件。已经成功的攻击了一家南美零售巨头,在攻击期间,数据被泄露,打印机被滥用来打印赎金纸条。Egregor运营商维护着一个作为Tor隐藏服务运行的网站,该网站显示了其最新受害者的信息。
2.14Pay2Key
根据Check Point Research发布的警报,许多以色列公司报告称,一种未知的恶意软件发动了勒索软件攻击,后来被确认为Pay2Key。Pay2Key运营商表现出了在获得初始立足点后迅速通过目标网络传播的技能。此外,赎金纸条是为每个目标定制的。Pay2Key组织拥有一个网站,以隐藏服务的形式运行,发布被泄露的数据,以此作为“合作”的激励。
2.15Emotet
Emotet最初是一个银行特洛伊木马程序,但现在它的主要功能是加载程序,在受感染的计算机上添加额外的恶意有效负载。为了感染受害者,emotet利用带有恶意链接或附件的电子邮件。
Emotet最近引入的一种技术是通过使用密码将恶意附件存档来加密它们。当受害者被骗提取附件时,电子邮件网关的恶意软件过滤器就会被绕过。进入受感染计算机的权限被出租给其他恶意组织,然后他们继续安装勒索软件(如Ryuk)或工具来获取财务信息
2.16SDBbot
SDBbot是一个用c++编写的远程访问工具,通常用于在网络中横向移动和窃取数据。它与TA505威胁actor和另外的Clop勒索软件有关。
2.17Mozi
Mozi(也称为Mozi.m)是一个大型僵尸网络,主要由路由器和物联网设备组成。这些所谓的物联网僵尸网络通常用于隧道传输或发起DDoS攻击。Mozi的节点不断地扫描互联网,寻找使用弱telnet凭据的设备,或容易受到僵尸网络可以利用的几个漏洞的设备。
Mozi使用基于DHT协议的P2P架构,并依赖于用于BitTorrent的现有DHT基础设施。该恶意软件一旦部署在易受攻击的设备上,就会支持多个DoS攻击-这是典型的物联网僵尸网络策略。
2.18Moobot
Moobot是一种自传播僵尸网络,它以暴露的物联网设备为目标,并将其用于DDoS等恶意活动。僵尸网络通过利用弱telnet凭证进行传播,并利用路由器、NVR、DVR和IP摄像机等在线消费设备进行攻击。
Moobot在公开之前使用了两个漏洞攻击-NetlinkGPON Router 1.0.11 RCE漏洞攻击和另一个针对CCTV NVR/DVR设备的漏洞攻击。这表明僵尸网络的开发者要么拥有从市场上获得零日漏洞攻击的资源,要么拥有执行独立漏洞研究的技术专长。这些功能使他们有别于普通的物联网僵尸网络运营商。
三、漏洞研究趋势
3.1软件供应链
软件供应链脆弱性研究与开发虽然不是一个新概念,但却是近几个月来最重要的发展趋势。威胁参与者研究供应链以发现漏洞,然后利用软件堆栈中常用的嵌入式组件,或者危害广泛使用的软件或服务。
如果目标组件或软件相对模糊,则可能没有受到与已知软件相同级别的安全审查,从而增加了攻击者的成功机会。组件或服务的功能越关键,安全问题就越严重。
在2020年下半年,两大供应链事件占主导地位。Ripple20漏洞是嵌入式组件供应链风险的一个例子。JSOF在Treck的TCP/IP堆栈中发现了19个漏洞,这些漏洞被各种各样的资产使用,并演示了针对UPS的远程代码执行攻击。
由SolarWinds开发的受损软件也属于软件供应链范畴。在这起案件中,一种广泛使用的软件的泄露导致美国数千家公私机构遭到成功攻击。这种攻击突出了终端用户面临的风险,这些用户对其网络中使用的软件或服务代理有限,但却直接受到其危害的影响。
因此,供应链攻击是一个非常广泛的话题,它们对网络安全态势的实际影响取决于个案评估。此外,防御这种威胁是一项艰巨的任务,没有立竿见影的解决办法。
可行的方法是是记录第三方供应商暴露的攻击面,这些供应商提供嵌入关键软件堆栈的组件,以及具有访问网络特权的服务或软件。鉴于现代环境的复杂性,任何组织都需要进行大量投资。
3.2授权软件
授权软件是许多OT网络中的重要组件,用于执行自动化过程中涉及的许多系统的许可策略。它通常以网络服务的形式部署,该网络服务与远程软件连接以进行授权管理。这些固有特性使授权软件成为OT网络攻击的热门目标。
在勒索软件列表中发现了授权软件程序的名称,最著名的是Ekans,这突显了这些系统的关键性质。由于许可服务器可以访问网络中有价值的系统,因此它代表了进一步攻击的特权启动平台。根据系统的配置,如果许可证服务器变得无法访问,自动化功能可能会降级或完全停止。
罗克韦尔自动化、西门子和其他公司使用的第三方许可证管理系统WibuSystems的CodeMeter都是广泛的攻击目标。研究人员确定了几个高风险的漏洞,造成了特别危险的情况。CodeMeter是许多自动化供应商软件中的一个组件,而ICS软件经常长时间未打补丁,大大增加了曝光时间。
四、防御建议
面对不断出现的新威胁,简单地知道给定时间框架内的攻击和漏洞数量并不是评估风险的方法。相反,安全团队应该不断改进安全基础,并评估这些措施如何应对主要的新出现的威胁。为了帮助防御者了解当前的威胁格局,需要在以下方面进行预防:
• 网络监控
• 减少攻击面
• 网络分段
• 身份和访问管理(IAM)
• 容灾计划
• Active Directory强化
• 安全远程访问
• 基于HTTPS的Y DNS
• 基于区块链的Y检测
• 基础设施
• 合法上网意识
• 服务滥用
从2020年开始,运营技术和关键基础设施系统对医疗保健、经济和社会比以往任何时候都更加重要。随着工业组织向数字化转型的竞争,威胁参与者正利用更大的OT连接性来发起旨在破坏运营并威胁全球企业安全性、盈利能力和声誉的攻击。采取必要步骤来检测和捍卫关键基础设施和工业运营,从来没有像现在这样重要。
对过去六个月发布的151个ICS-CERT的分析发现,内存损坏错误是工业设备的主要漏洞类型。并且这种情况将继续下去,因为许多ICS资产缺乏内在安全,受到的安全监督有限。
SolarWinds的入侵是软件供应链攻击的重大风险。无论攻击是否成功地破坏了嵌入式组件、广泛使用的服务或软件,或供应商的网络,对供应链下游公司的影响都可能是重大的。防御这种威胁是一项艰巨的任务,需要减少攻击面、良好的网络分段和高网络复原能力。
勒索软件攻击将持续作为主要风险,组织应确保安全团队拥有最新的OT和物联网威胁情报,以便进行持续的威胁建模和风险评估。在勒索软件组织攻击公司的威胁环境中,了解主动攻击下的漏洞至关重要。民族国家组织利用非零日漏洞进行复杂攻击的事实也加剧了这种风险。此外,还应做好准备,在发生入侵时迅速采取行动,并与财务、法律、合规和通信等其他业务部门携手合作进行灾难恢复。
另外,组织应该专注于识别未修补的软件并实施更新或缓解策略。订阅威胁情报服务有助于提供当前OT和IoT威胁和漏洞情报。
转载请注明来源:关键基础设施安全应急响应中心
本文始发于微信公众号(关键基础设施安全应急响应中心):原创 | OT/IoT安全威胁和漏洞新趋势
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论