工业控制系统(ICS)在关键基础设施中的广泛应用,使其成为现代社会的核心支柱之一。然而,随着信息技术(IT)与操作技术(OT)的融合,以及工业物联网(IIoT)的快速发展,ICS系统正面临越来越严峻的网络安全威胁。ICS恶意软件,尤其是针对特定工业设备的定制化攻击,已经成为关基行业面临的主要挑战之一。这些恶意软件可以通过破坏控制逻辑、篡改传感器数据或禁用安全系统,对工厂设备、物理过程及人员的安全构成严重威胁。因此,当OT网络安全威胁深入底层、真正触及物理过程时,深入了解ICS(定向)恶意软件的定义、分类、现状及未来发展趋势,对于提升OT网络安全防御能力至关重要。
1、ICS恶意软件相关概念
非针对性ICS恶意软件:这类恶意软件并非专门为入侵ICS环境而设计,它们的结构与传统恶意软件相似。其目标主要针对在ICS环境中运行的IT网络。随着IT和操作技术(OT)网络的融合,这类非针对性的恶意软件可能间接危害OT网络,并干扰ICS的正常运行状态。
针对性ICS恶意软件:这类恶意软件旨在获得在工业环境中的立足点,针对ICS操作进行攻击。攻击者通过传递以ICS为主题的恶意软件或为ICS量身定制(定向)的恶意软件来实现攻击。
ICS主题恶意软件:即打着ICS旗号的恶意软件,它们伪装成合法的ICS软件,如人机界面(HMI)安装程序,通常从公共互联网上获取。其目的是专门设计用来欺骗ICS操作人员并渗透OT网络。
ICS定制/定向恶意软件:设计用来攻击ICS相关环境中的特定组件,如可编程逻辑控制器(PLC)和安全仪表系统(SIS)。这类恶意软件检测识别难度大,开发成本高,开发此类恶意软件需要具备相当的ICS知识,它们还利用特定ICS产品的漏洞。
基于WEB的PLC恶意软件(WB PLC Malware):通过入侵PLC内置的Web服务器,利用恶意JavaScript代码攻击PLC。这些代码在客户端浏览器中执行,而不是在PLC本身上执行。
本文重要要关注的就是ICS定向/定制恶意软件,行业内通常所熟知的Stuxnet、Havex、BlackEnergy2、CrashOverride和TRISIS等便属于这一类,这也是OT网络安全面临的最大最难的挑战之一。
2、ICS恶意软件的分类
对ICS恶意软件进行分类有助于更清晰地理解不同类型的威胁,并根据其特点制定有针对性的防护措施。分类可以区分非定向和定向恶意软件,前者可能通过IT网络间接影响OT系统,而后者则专门针对工业控制系统的特定组件如PLC和SIS。分类还能够提升检测与响应效率,帮助预测未来的攻击趋势,并为制定更有效的安全策略提供依据。
图示:
1、Stuxnet
发现于2010年,Stuxnet是最早且最著名的ICS定向恶意软件,专门针对伊朗的核离心机。它通过破坏可编程逻辑控制器(PLC)的操作,导致物理设备失效,首次揭示了网络攻击对物理基础设施的潜在破坏力。
Havex是2013年发现的远程访问木马(RAT),它主要用于间谍活动,能够扫描受感染系统并发现SCADA或ICS设备,收集信息并反馈给攻击者。
3、BlackEnergy2
BlackEnergy2是2014年发现的恶意软件变体,专门攻击HMI(人机界面)软件。它被用于2015年乌克兰电网攻击中,导致大规模停电。
4、Industroyer/Crashoverride
2016年发现,Industroyer专门攻击电力传输系统,能够操控电网通信协议,破坏电力基础设施,被用于2016年乌克兰电力系统攻击。
2022年被发现,它是Industroyer的升级版,进一步提升了对电力传输系统的攻击能力,尤其是针对乌克兰的能源设施。
SNAKE是一种复杂的ICS恶意软件,主要用于间谍活动和数据窃取,能够隐藏在网络中并持续发送工业数据给攻击者。据Dragos公司称其是第一个ICS勒索软件。
PIPEDREAM是2022年发现的恶意软件,具备破坏多种工业控制系统(ICS)的能力,针对Schneider Electric和Omron等控制器,旨在造成工业过程的破坏和设备损毁。
Fuxnet首面于俄乌网络战场,是一种较新的恶意软件,模仿Stuxnet的攻击方式,专注于破坏核设施中的工业控制设备,然而其实际攻击事件较少公开。
FrostyGoop同样首现于俄乌网络战,是一种ICS定向恶意软件,攻击目标广泛,旨在通过修改PLC和其他工业设备的控制逻辑,导致操作失控或设备损毁。
表1:迄今为止发现的ICS定向恶意软件
最近黎巴嫩爆炸案中遥控或引爆传呼机和对讲机的指令或程序到底是什么样的,或许永远不会披露。最新的爆料称对对讲机的控制时间更长,一直在秘密地获得通信内容。而对传呼机的改装,是2022年之后进行的,无论隐蔽获取信息,还是用某个指令引爆,作者认为这些隐秘工作的程序也应该归入恶意ICS程序,因为以色列方面称其为“通讯特洛伊木马”,也是远程控制程序的一种。
因此,公开已知的ICS恶意程序,永远只是冰山一角。
可编程逻辑控制器(PLC)作为ICS的核心组件,通过控制逻辑监控传感器并操控执行器。然而,近年来PLC的固件层开始包含定制的Web服务器,客户可以通过浏览器远程监控和控制系统,这引发了特有的安全问题。有研究者揭示了这些Web技术在工业环境中的安全隐患,并提出一种新的基于Web的PLC恶意软件,能够绕过现有的安全防护,实施有效的攻击。
随着工业控制系统(ICS)与信息技术(IT)的融合,传统的工业设备如可编程逻辑控制器(PLC)越来越多地集成了网络功能,例如嵌入式网络服务器。这种技术进步虽然提高了操作便利性和可持续性,但也引入了新的安全风险。特别是,现代PLCs的嵌入式网络服务器可以通过Web应用程序接口(APIs)进行监控和控制物理过程,这为恶意软件提供了新的攻击途径。与传统的PLC恶意软件(如Stuxnet)不同,这些新型的基于网络的PLC(WB PLC)恶意软件不需要感染PLC的控制逻辑或固件,而是通过感染托管在PLC中的Web应用程序来实现攻击。
WB PLC恶意软件与传统PLC恶意软件相比具有多项优势,一是平台独立性:由于它基于Web,因此与特定的PLC型号或固件无关,使得攻击更加灵活。二是易于部署:通过Web界面进行攻击,不需要物理接触或复杂的网络访问权限。三是持久性:能够通过Web应用程序的APIs与PLC进行交互,即使在重置或更换硬件后也能保持存在。四是影响范围广:能够利用Web界面的功能执行各种操作,包括操纵传感器读数、禁用安全警报和操纵物理执行器等。五是隐蔽性:可以通过Web应用程序的APIs进行攻击,而不需要修改PLC的控制逻辑或固件,从而更难以被发现。
图3:基于WEB的PLC恶意软件示意
-
操纵过程:通过修改Web HMI的DOM来显示虚假的传感器读数。 -
控制执行器:通过与HMI的UI进行交互,秘密地改变电机速度的设定点。 -
用后自毁:在完成任务后,IronSpider能够清除所有感染痕迹,包括从PLC存储中删除恶意有效载荷,并恢复出厂设置。
管中窥豹,沿着这一思路,未来基于WEB的PLC/RTU/SCADA/Sensor/IoT类恶意软件将层出不穷。
随意地缘政治摩擦和网络战争的升级,定向的ICS恶意软件必然随之水涨船高、竞合演进。未来,类似IronSpider样本的恶意软件必然现身于现代网络战争,其悄无声息地篡改传感器读数、禁用安全警报甚至操纵物理执行器,WB PLC恶意软件的现实威胁已迫在眉睫,给防御者提出了巨大挑战。
检测WB PLC恶意软件面临着巨大挑战,不仅因为它们通常与合法的Web应用程序代码混合执行,遵守所有浏览器规则,而且不需要对PLC进行系统级修改。这使得现有的基于签名的传统入侵检测系统无法有效识别这类威胁。
OT网络安全相关方需要采取新的策略和技术。浏览器开发者可以通过实施“私有网络访问”规范来限制公共网站对私有网络的访问。PLC供应商需要为Web应用程序提供更好的隔离措施,例如使用内容安全策略(CSP)和子资源完整性(SRI)来限制不受信任的代码执行。OT网络安全服务商可以提供专门针对PLC环境配置的Web应用防火墙(WAF),以检查非Web PLC协议。ICS环境中的所有参与者,包括操作员、工程师和安全专家,都需要对Web安全威胁有更深的了解,并接受相应的培训,以识别和防御WB PLC恶意软件的潜在威胁。
参考文献
安帝科技丨ANDISEC
北京安帝科技有限公司是新兴的工业网络安全能力供应商,专注于网络化、数字化、智能化背景下的工业网络安全技术、产品、服务的创新研究和实践探索,基于网络空间行为学理论及工业网络系统安全工程方法,围绕工业网络控制系统构建预防、识别、检测、保护、响应、恢复等核心能力优势,为电力、水利、石油石化、轨道交通、烟草、钢铁冶金、智能制造、矿业等关键信息基础设施行业提供安全产品、服务和综合解决方案。坚持IT安全与OT安全融合发展,坚持产品体系的自主可控,全面赋能客户构建“业务应用紧耦合、用户行为强相关、安全风险自适应、网络弹性稳增强”的主动防御和纵深防御相结合的安全保障体系。
点击“在看”鼓励一下吧
原文始发于微信公众号(安帝Andisec):OT网络深层攻防技术专题之一: ICS恶意软件现状及趋势
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论