安全研究
全部分类

关键信息基础设施安全动态周报【2022年第21期】

  • 分类:威胁情报研究
  • 作者:天地和兴
  • 来源:
  • 发布时间:2022-06-02 16:54
  • 访问量:

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2022年第21期】天地和兴播报。

关键信息基础设施安全动态周报【2022年第21期】

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2022年第21期】天地和兴播报。

  • 分类:威胁情报研究
  • 作者:天地和兴
  • 来源:
  • 发布时间:2022-06-02 16:54
  • 访问量:
详情

 

目   录

第一章 国外关键信息基础设施安全动态

(一)JetPort工业串口设备服务器存在后门账户

(二)富士康墨西哥工厂遭受勒索软件攻击

(三)哥斯达黎加公共卫生系统遭受Hive勒索软件攻击

(四)奥地利联邦州遭受BlackCat勒索软件攻击

(五)超过360万台MySQL服务器可通过互联网访问

(六)美国FBI阻止了伊朗针对儿童医院的网络攻击计划

(七)GhostTouch技术可使用电磁干扰远程控制触摸屏

(八)FBI警告美国高等教育机构网络访问凭证在暗网出售

(九)意大利警告即将遭受DDoS攻击

(十)研究人员发布名为R4IoT的针对IoT网络的勒索软件

 

 

 

第一章 国外关键信息基础设施安全动态

(一)JetPort工业串口设备服务器存在后门账户

网络安全咨询公司SEC Consult发现,Korenix公司的JetPort工业串口设备服务器存在一个后门账户,恶意黑客可能会在针对工业组织的攻击中滥用该账户。然而Korenix公司表示该账户是客户支持所必需的,该账户不会被删除。

奥地利网络安全咨询公司SEC Consult2020年发现了该后门账户的存在,漏洞编号为CVE-2020-12501。但在经过漫长的披露过程后才公开,最终供应商表示该账户不会被删除。

存在后门的账户可以被网络上的攻击者利用来访问设备的操作系统并获得完全控制权。攻击者可以重新配置设备,并可能访问连接到服务器的其他系统。

研究人员在Korenix JetPort 5601V3产品中发现了该问题,该产品专为工业环境中的连接而设计。SEC Consult认为,其他产品也可能受到影响,包括WestermoComtrol品牌的工业设备。

SEC Consult表示,该后门账户在所有设备上的密码与存储在固件中的密码相同。一旦攻击者破解了密码,它就可以用来攻击所有受影响的设备。密码不是以明文形式存储的,需要破解。此外用户不能更改密码。

Korenix告诉SEC Consult,客户支持需要后门账户,并声称密码无法在合理的时间内破解SEC Consult承认其无法立即破解密码,但并未投入太多精力。密码哈希尚未公开,但可以很容易地从固件中提取。Korenix表示,有更好的帮助台访问解决方案,不需要使用后门。

这不是研究人员第一次在JetPort设备中发现硬编码凭证。早在2012年,ICS-CERT就警告组织有关凭据可能被滥用于管理员访问权限,但该漏洞在某种程度上通过固件更新进行了修补。

参考来源:SecurityWeek http://985.so/u8fk

 

 

(二)富士康墨西哥工厂遭受勒索软件攻击

LockBit 2.0勒索软件组织声称,其破坏了富士康在墨西哥一家重要工厂的系统,并威胁如果不支付赎金,就会泄露被盗文件。目前尚不清楚勒索软件攻击是否对OT系统产生任何影响。

富士康在墨西哥的工厂位于与美国加州接壤的蒂华纳市,专门从事医疗设备、消费电子产品和工业运营,该工厂有5,000名员工。

一个使用LockBit 2.0勒索软件的威胁组织声称已经袭击了这家工厂,并威胁要在611日发布被盗信息,除非受害者付款。

这不是富士康第一次遭受勒索软件攻击。202012月该公司证实,DoppelPaymer勒索软件组织开始泄露据称从该公司窃取的文件,其在美国的一些系统已成为网络攻击的目标。

虽然富士康当时表示,这次攻击影响了美国系统,但黑客声称,已经入侵了墨西哥的一个设施。网络犯罪分子勒索超过3400万美元的比特币。

LockBit 2.0黑客最近还声称窃取了轮胎和橡胶巨头普利司通美洲公司的文件。

2FBI发布了LockBit 2.0攻击的妥协指标(IoC),并指出勒索软件的运营商通常通过购买访问权限或利用未修补的漏洞、零日漏洞或内部访问来破坏企业网络。

参考来源:SecurityWeek http://985.so/u8r5

 

 

(三)哥斯达黎加公共卫生系统遭受Hive勒索软件攻击

哥斯达黎加公共卫生服务网络上的所有计算机系统遭受了Hive勒索软件攻击,目前处于离线状态。遭受攻击的是哥斯达黎加社会保障基金(CCCS)。

Hive是至少从20216月开始活跃的勒索软件即服务(RaaS),对30多个组织进行了攻击,仅包括拒绝支付赎金并在线泄露数据的受害者。

CCCSTwitter上发表的一份声明中公开承认了这次攻击,称攻击者在周二凌晨侵入了其网络。虽然调查仍在进行中,但哥斯达黎加政府机构表示,存储在EDUS(统一数字健康)和SICERE(集中税收系统)数据库中的公民健康和税务信息没有受到损害。

有员工报告称,在攻击开始时,政府机构网络上的所有打印机都开始打印,随后他们被告知关闭电脑并拔掉网线。一些人还分享了视频演示,展示了成堆的打印页面,其中充满了基于ASCII的乱码文本。

CCCS目前正在努力恢复受影响的系统和关键服务,但到目前为止,还无法确定系统备份需要多长时间。

此前,哥斯达黎加宣布国家紧急状态,多个政府机构遭到Conti勒索软件袭击,包括哥斯达黎加社会保障基金(CCSS)。受Conti附属机构攻击的政府实体名单还包括该国财政部、劳动和社会保障部(MTSS)、科学、创新、技术和电信部以及社会发展和家庭津贴基金(FODESAF)。

哥斯达黎加总统在58日签署第42542号行政令时表示,哥斯达黎加正在遭受网络犯罪分子的攻击,宣布进入国家紧急状态,我们正在签署这项法令,确切地说,是为了宣布整个哥斯达黎加国家公共部门进入国家紧急状态,并允许我们的社会将这些袭击视为犯罪行为。

Conti组织已向哥斯达黎加财政部索要1000万美元的赎金,但政府拒绝支付。美国政府现在向任何能够提供能够识别和逮捕Conti勒索软件领导层和运营商的信息的人提供高达1500万美元的奖励。

虽然Conti现在正在慢慢关闭运营,但它已与众多知名勒索软件运营合作,包括HiveHelloKittyAvosLockerBlackCatBlackByte等。

其成员现在已经分裂成更小的半自治和自治团体,这些团体已经渗透到其他RaaS团体中。他们还创建了专注于数据泄露而非数据加密的独立小组,如KarakurtBlackByteBazarcall集体。

自从Conti成员加入Hive后,这些组织已经开始在两个泄密博客上泄露受害者的数据,尽管他们否认这两个团伙之间有任何联系。

Advanced IntelYelisey Boguslavskiy表示,“AdvIntel高度肯定地确定并确认,Conti已经与HIVE合作了半年多,至少从202111月开始。我们已经确定了HIVE积极使用Conti提供的初始攻击访问和Conti的渗透测试服务的扩展证据。

Boguslavskiy表示,同一个人同时为ContiHIVE工作,这可以从HIVEConti的泄露博客上同时出现的相同受害者看出。HIVE目前是Conti的谈判逃避根源之一。Conti成员继续与他们之前在HIVE品牌下攻击的受害者进行谈判。这使他们有机会获得报酬,因为与Conti不同,HIVE与俄乌冲突支持俄罗斯无关,尽管事实上支付给HIVE的赎金很可能是由Conti内部声称该组织与俄罗斯政府集体结盟的同一个人收到的。

参考来源:BleepingComputer http://985.so/urt2

 

 

 

(四)奥地利联邦州遭受BlackCat勒索软件攻击

奥地利联邦州Carinthia遭受了BlackCat勒索软件攻击,要求500万美元来解锁加密的计算机系统。该事件导致政府服务的运营严重中断,据称数千个工作站已被威胁者锁定。Carinthia的网站和电子邮件服务目前处于离线状态,政府无法签发新护照或罚款。此外网络攻击还破坏了通过该地区行政办公室进行的新冠疫情测试处理和接触者追踪。

BlackCat又名ALPHV,提出以500万美元的价格提供一个有效的解密工具。不过该州发言人Gerd Kurath声称,攻击者的要求不会得到满足。

新闻代表进一步表示,目前没有证据表明BlackCat实际上设法从该州的系统中窃取任何数据,并且计划从可用备份中恢复机器。Kurath表示,在受影响的3,000个系统中,预计第一批系统将在今天再次投入使用。

目前BlackCat的数据泄露站点并未显示来自Carinthia的任何数据,这可能表明最近的攻击或与受害者的谈判尚未完成。

 

 

ALPHV/BlackCat勒索软件团伙于202111月出现,是较为复杂的勒索软件之一。他们是去年负责攻击Colonial PipelineDarkSide/BlackMatter组织的更名。

2022年初,BlackCat附属公司攻击了Moncler时尚集团和Swissport航空公司货运服务提供商等知名实体和品牌。截至今年度第一季度末,FBI发布通知警告称,BlackCat已在全球范围内入侵至少60个实体,并假设它有望成为最活跃和最危险的勒索软件项目之一。

Carinthia的攻击和巨额赎金要求表明,威胁行为者专注于可以支付大笔资金来解密其系统并避免因长期运营中断而造成额外财务损失的组织。

参考来源:BleepingComputer http://985.so/u3i3

 

 

(五)超过360万台MySQL服务器可通过互联网访问

Shadow Server研究人员在互联网上扫描了端口3306/TCP上可公开访问的MySQL服务器实例,并发现在全球范围内有360万台安装响应了查询。这些可公开访问的MySQL服务器为其所有者提供了潜在的攻击面,使其成为黑客和勒索人员有吸引力的目标。

研究人员在报告中表示,这些都是用服务器问候语响应MySQL连接请求的实例。惊讶的是,我们发现大约230万个IPv4地址响应了我们的查询。更令人惊讶的是,我们发现超过130万台IPv6设备也做出了响应,尽管大多与单个自治系统相关。

大多数可访问的IPv4 MySQL服务器位于美国(740.1K)、中国(296.3K)、波兰(207.8K)和德国(174.9K)。大多数可访问的IPv6 MySQL服务器位于美国(460.8K)、荷兰(296.3K)、新加坡(218.2K)和德国(173.7K)

 

虽然Web服务和应用程序连接到远程数据库很常见,但应该锁定这些实例,以便只有授权设备才能连接到它们。此外,公开服务器暴露应始终伴随着严格的用户策略、更改默认访问端口(3306)、启用二进制日志记录、密切监视所有查询,并执行加密。

研究人员建议管理员遵循MySQL 5.7安全部署指南和MySQL 8.0安全部署指南来部署服务器。

该报告表示,您不太可能需要让MySQL服务器允许来自互联网的外部连接,因此可能存在外部攻击面。如果您确实收到有关网络/用户群的报告,请采取措施过滤到MySQL实例的流量,并确保在服务器上实施身份验证。

研究人员在报告中共享了有关可访问MySQL实例的数据。

参考来源:SecurityAffairs http://985.so/uhuz

 

 

(六)美国FBI阻止了伊朗针对儿童医院的网络攻击计划

美国联邦调查局局长Christopher Wray表示,联邦调查局挫败了由伊朗政府支持的黑客对波士顿一家儿童医院实施的网络攻击计划。

Wray在波士顿学院的一次网络安全会议上表示,他的代理人从一个匿名的情报合作伙伴那里得知了计划中的数字攻击,并于去年夏天向波士顿儿童医院提供了所需的信息,以阻止Wray见过的最卑鄙的网络攻击之一。

Wray表示,所有相关人员都采取了快速行动,特别是在医院,保护了网络和依赖网络的患病儿童。

联邦调查局局长在一次更广泛的演讲中讲述了这一轶事,内容涉及来自俄罗斯、中国和伊朗的持续网络威胁,以及美国政府与私营部门之间建立伙伴关系的必要性。

Wray表示,在2014年黑客攻击医院的计算机网络后,该局和波士顿儿童医院密切合作。Martin Gottesfeld在医院发动网络攻击,以抗议在一场备受瞩目的监护权争夺战中对一名青少年的照顾,后来被判处10年有期徒刑。对医院和疗养院的攻击使这些设施损失了数万美元,并中断了数天的运营。

Wray表示,在伊朗发动袭击之前,儿童和波士顿办事处已经非常了解彼此,这起到了很大的作用。

Wray没有将攻击这家医院的计划归咎于特定动机,但指出,伊朗和其他国家一直在雇佣网络雇佣军代表他们进行袭击。

Wray表示,当谈到俄罗斯时,联邦调查局正在竞相警告,潜在目标黑客正在采取的破坏性攻击的准备行动。例如联邦调查局在3月警告称,自俄乌冲突开始以来,黑客对能源公司的兴趣正在增加。与此同时,作为更广泛地缘政治目标的一部分,来自中国的黑客从美国窃取的公司和个人数据比所有其他国家的总和还要多。

该演讲发生在FBI继续打击来自犯罪团伙的勒索软件攻击之际,尽管最近几个月没有严重的入侵事件,但美国官员一直担心这一问题。

Wray强调,私营公司需要与FBI合作,以挫败勒索软件团伙和民族国家黑客,建立这些关系是成功的关键。这些合作伙伴关系让我们能够在每一个点上打击我们的对手,从受害者的网络到黑客自己的计算机。

FBI和其他联邦机构一直在努力向黑客受害者保证,报告入侵和网络犯罪符合他们的最大利益。许多受到勒索软件团伙攻击的公司通常出于各种原因不去FBI报告。

美国参议员罗伯波特曼是俄亥俄州的共和党人,也是参议院国土安全和政府事务委员会的高级成员,今年早些时候发表了一份报告,批评联邦调查局对一些勒索软件受害者的反应。报告称,在两起案件中,联邦调查局优先考虑破坏攻击者行动的调查和起诉工作,而不是受害者保护数据和减轻损害的需要

一家匿名的财富500强公司告诉委员会工作人员,联邦调查局在应对勒索软件攻击时没有提供任何有用的帮助。例如,联邦调查局提供了谈判代表,似乎在应对勒索软件攻击方面缺乏专业知识。不过,Wray声称FBI有能力在一小时内为任何受害公司派一名受过技术培训的人员。

参考来源:APNews http://985.so/urat

 

 

(七)GhostTouch技术可使用电磁干扰远程控制触摸屏

浙江大学和达姆施塔特工业大学研究人员设计了一种名为GhostTouch的技术,可以使用电磁信号远程控制电容式触摸屏,是第一个针对电容式触摸屏的主动非接触式攻击。

GhostTouch使用电磁干扰(EMI)将假触摸点远程注入电容设备。研究人员演示了如何将两种类型的基本触摸事件(轻触和滑动)注入触摸屏的目标位置。这些事件使研究人员能够控制设备,即接听窃听电话、按下按钮、向上滑动解锁,攻击技术在九种智能手机型号上都取得了成功。

研究人员在论文中表示,我们可以从目标区域连续注入目标轻触,标准偏差低至14.6 x 19.2像素,延迟小于0.5秒,距离可达40毫米。我们在几个概念验证场景中展示了GhostTouch攻击对现实世界的影响,包括接听窃听电话、按下按钮、向上滑动解锁、以及输入密码。最后,我们讨论了减轻攻击的潜在硬件和软件对策。

GhostTouch系统由两个组件组成,一个触摸注入器和一个手机定位器。触摸注入器用于将触摸事件注入触摸屏,包括信号发生器、放大器、开/关开关和接收天线阵列。手机定位器用于识别触摸屏的位置,由传感天线阵列、数据采集设备和位置计算器组成。

研究人员建立的实验室由静电枪组成,用于产生强脉冲信号,该信号被发送到天线以将电磁场传输到触摸屏。GhostTouch攻可以接听电话并连接恶意蓝牙。

研究人员针对九种不同的智能手机型号测试了该技术,包括Galaxy A10s、华为P30 LiteHonor View 10Galaxy S20 FE 5GNexus 5XRedmi Note 9S、诺基亚7.2Redmi 8iPhone SE(2020)

研究人员在论文中表示,我们证明了这种攻击在现实世界中的可行性。在咖啡馆、图书馆、会议室或会议大厅等场所,人们可能会将智能手机面朝下放在桌子上。攻击者可以将攻击设备嵌入桌面,远程发起攻击。例如,攻击者可能会冒充受害者接听电话,从而窃听私人对话,或访问恶意网站。

研究人员提供了一系列应对措施来缓解攻击,包括添加电磁屏蔽以阻止EMI、加固触摸屏、改进触摸屏的检测算法、以及强制执行某种形式的身份验证以执行高风险操作。

参考来源:SecurityAffairs http://985.so/8d39

 

 

(八)FBI警告美国高等教育机构网络访问凭证在暗网出售

美国联邦调查局发布警告称,高等教育部门组织的网络访问凭证在网络犯罪论坛上出售,威胁行为者可利用这些凭证访问其网络,对行业中的个人和组织发起攻击。这些数据的可用性是威胁行为者对美国学院和大学进行持续攻击的结果。该警报还包括针对这些攻击的建议和缓解措施。

FBI警报表示,“FBI正在向学术合作伙伴通报,在线犯罪市场和可公开访问的论坛上宣传出售已确定的美国学院和大学凭证。这种暴露敏感凭证和网络访问信息的行为,尤其是特权用户账户,可能导致随后针对个人用户或附属组织的网络攻击。

威胁者通过进行鱼叉式网络钓鱼和勒索软件攻击或其他方式获取信息。

2017年,攻击者发起了针对大学的网络钓鱼活动,以入侵.edu账户。攻击者设置了虚假的大学登录页面,并在网络钓鱼电子邮件中嵌入了凭据收集器链接。2020年底,美国大学的凭证在暗网上出售,卖家列出了大约2,000个唯一凭证。

20215月,网络犯罪分子为.edu电子邮件账户提供了36,000多个登录凭据,并在即时消息传递平台上宣传了这些数据。20215月,超过36,000.edu电子邮件账户的电子邮件和密码组合在公开可用的即时通讯平台上出售。

最近在20221月,有人观察到威胁行为者在俄罗斯网络犯罪论坛上出售属于美国大学和学院的网络和VPN访问凭证。

FBI警告表示,联邦调查局观察到,在公众可访问的在线论坛上发布或在犯罪市场上出售的高等教育文凭信息被盗。用户名和密码的暴露可能导致暴力凭据填充计算机网络攻击,攻击者试图通过各种互联网站点登录,或利用它们进行后续网络攻击,因为犯罪分子利用用户在多个账户、互联网站点、和服务中回收相同的凭据。如果攻击者成功入侵受害者账户,他们可能会尝试耗尽账户的储值、利用或转售信用卡号码和其他个人身份信息、提交欺诈交易、利用针对账户持有人的其他犯罪活动,或用于随后对附属组织的攻击。

参考来源:SecurityAffairs http://985.so/upck

 

 

(九)意大利警告即将遭受DDoS攻击

意大利计算机安全事件响应小组(CSIRT)发布紧急警报声称,意大利有可能将遭受DDoS攻击。尽管该网络攻击可能不是灾难性的,但由于会造成服务中断,从而造成财务或其他方面的损害,因此发布安全警告以提高人们对网络攻击对国家实体的高风险的认识。

该警报解释声称,仍然有迹象和威胁可能即将发生攻击,特别是针对国家公共实体、提供公共事业服务的私营实体或具有意大利国家形象的私营实体。

这些迹象是来自Killnet集团Telegram频道的帖子,这些帖子煽动针对意大利开展大规模和前所未有的攻击。Killnet是一个亲俄罗斯的黑客组织,两周前攻击了意大利,使用了一种古老但仍然有效的DDoS方法,名为Slow HTTP。因此这次CSIRT提出的防御措施与此类攻击相关,但也包括关于良好安全实践的各种通用建议。

Killnet上周二宣布了Panopticon行动,号召3000网络战士72小时内志愿服务,该组织上周多次呼吁采取行动。相关注册表单向志愿者询问系统、来源、年龄和Telegram账户,并提供发起资源耗尽攻击所需的工具。

虽然DDoS似乎是主要目标,但Killnet可能计划使用DDoS来迫使防御者处理服务中断,而不是修复活跃的网络攻击。KillnetPanopticon这个词进行了词源解释,对数据泄露进行了暗示,并警告该国90%的官员会发疯

Killnet攻击意大利是由于意大利支持乌克兰抵抗俄罗斯。这引发了Anonymous Italy的行动,他们开始攻击Killnet,并通过在社交媒体上发布照片来攻击其一些成员。结果Killnet开始反击。

目前CSIRT意大利的网站间歇性不可用,但没有发现长时间的连接问题。还有报道称,意大利的国家邮政服务提供商Poste Italiane今天早上遭遇了数小时中断。然而该机构声称这次中断不是由Killnet攻击引起的,而是由于软件升级没有按计划进行。

其他密切关注意大利网站状况的当地媒体报道称,国家警察局和意大利外交部和国防部的在线门户网站今天似乎也反应迟钝。目前这两个部门的网站似乎受到了DDoS攻击的影响。

参考来源:BleepingComputer http://985.so/8dc4

 

 

(十)研究人员发布名为R4IoT的针对IoT网络的勒索软件

勒索软件是一种敲诈勒索,它的唯一目的是从受害者那里榨取钱财。随着行业在避免赎金要求方面做得更好,攻击者增加了另一个级别的勒索,数据勒索来制造双重勒索

随着防御者更好地抵御双重勒索,攻击者将再次演变。最明显的路径将是攻击运营技术(OT),而不仅仅是IT。针对OT的攻击更难以实现,但其影响同样更难以缓解。网络勒索的演变使这不仅仅是一种可能的发展。

ForescoutVedere Labs发布了勒索软件攻击的概念证明(PoC),该攻击使用物联网进行访问,使用IT进行遍历,使用OT(尤其是PLC)进行引爆。它被称为R4IoT,被描述为下一代勒索软件。

这个PoC令人担忧的方面是,它不需要任何新东西。之所以选择物联网访问,是因为物联网设备的增长通常比网络的其他部分受到的防御关注更少,这种访问可能会增加。

遍历IT是已知和理解的,并不总是可见的,因为目前攻击者倾向于live off the land趋势。由于现代商业数字化转型的需要,两个网络的持续融合,从ITOT的交叉变得越来越可能。在整个PoC中,已经使用了现有的漏洞和漏洞利用。

未来对关键行业OT的攻击是不可避免的,因为关键行业(例如Colonial Pipeline)更有可能支付敲诈勒索,而且支付速度很快。ForescoutPOC旨在展示犯罪团伙如何轻松地进行此类敲诈勒索,但值得注意的是,民族国家可以使用该流程为关键基础设施提供擦除器。

这在技术上会更加困难,并且需要了解目标网络。敌对国家被认为多年来一直在关键网络中执行监视任务,因此他们可能已经掌握了这些知识。

Forescout工作中出现的两个最重要的方面是通过物联网设备进行入侵的可能性增加,以及在不需要专业APT级别的成熟度的情况下,为敲诈目的破坏OT网络的可能性。

犯罪分子已经注意到物联网的潜力,并且可以在暗网上购买漏洞利用程序。报告表示,“Lemon Duck是一个门罗币挖矿僵尸网络,它使用物联网设备作为感染计算机的入侵点,Conti勒索软件组织的目标是路由器、相机和NAS等设备,这些设备具有暴露的Web界面,以便在受影响的组织内部移动,Trickbot恶意软件的变种使用路由器作为联系C&C服务器的代理,Cyclops Blink恶意软件(国家资助的Sandworm组织)利用路由器进行初始访问。

来自物联网的日益增长的威胁来自安装的设备数量,而人们几乎没有意识到它们是网络的一个组成部分。它们既没有受到保护,也没有像网络其他部分那样受到严格的修补。但由于它们通常同时暴露于互联网和内部基础设施,它们可以为犯罪分子提供方便的访问。

报告中没有详细讨论运营的IT方面,因为这些问题如果还没有得到很好的解决,也是众所周知的。相反,该报告侧重于物联网和OT嵌入式设备。报告表示将嵌入式物联网和OT设备带来的初始访问和影响可能性联系在一起的一件事是,供应链漏洞数量不断增加,同时影响着数百万这些设备。

研究人员提到了影响TCP/IP堆栈的Project Memoria、影响RTOSesBadAlloc、影响流行物联网管理平台的Access:7、以及许多Linux设备使用的BusyBox应用程序中的漏洞。

该报告对R4IoT勒索软件的进展进行了简要描述。它映射网络上的不同机器,并使用管理员账户的NTLM哈希和impacket中的WMI功能连接到每台机器。在那里禁用了Windows防火墙和Windows Defender,并删除了其他R4IoT可执行文件(一个加密矿工和一个Memoria可执行文件,将对关键的IoT/OT资产发起DoS攻击)。Racketeer工具包的修改版本提供了C&C服务器/代理功能。根据C&C服务器的要求,C&C代理可以加密或解密受感染机器上的文件,可以窃取文件并以管理员权限启动任意可执行文件。

该报告的重点是,如果攻击者成功通过物联网设备访问IT,然后通过IT/OT融合获得对OT的访问权限,可能造成的损害。普渡模型Level 2及以上可能会造成一些伤害,因为这些是常规的Windows/Linux机器。但Forescout专注于攻击PLC,因为其效果更加显著、直接且难以缓解。它着眼于内部交付的DoS攻击,因为PLC很少暴露于外部世界。

在几乎每个垂直行业的组织中,有超过50万台运行TCP/IP堆栈的设备容易受到Project Memoria的攻击。通过类似且简单的拒绝服务攻击利用这些设备,攻击者能够破坏多种类型的组织。一旦PLCDoS有效地关闭,损坏就完成了。无论是输送带还是输液泵,这些公司运作的关键部分都可以停止。

Forescout Vedere Labs安全研究负责人Daniel dos Santos表示,保护窗口已经过去。举一个极端的例子,如果它连接到一个不良的天然气管道并测量压力条件,事情可能会爆炸。这是OT的主要问题,如果攻击者到达该点,并可能导致设备离线或更改设备中的某些设置,那么物理危险就会变得更加存在。并且可能比对数据的任何危险更为重要。

R4IoT并不是恶意软件的一些新发展,它使用已经存在的漏洞。更令人担忧的是,概念证明表明,不太成熟的黑客可以使用勒索软件即服务大规模使用它。这意味着,关键行业现在必须为新一波专门针对OT的勒索软件攻击做好准备。

IT勒索软件的传统快速响应(例如使系统离线)不适用于OTSantos将其描述为自杀式死亡。你可能会阻止攻击的进一步进展,但你是在自我造成攻击的最终目的。组织现在需要准备响应,而这只能建立在零信任细分的基础上,并通过类似异常检测的方式提高ITOT的可见性。

Santos继续表示,“R4IoT是第一个分析勒索软件如何影响物联网的工作,并提供了从通过物联网的初始访问到IT网络中的横向移动以及随后对OT网络的影响的完整概念验证。威胁行为者正在利用比以前更广泛的威胁面,我们看到黑客组织今天在论坛上讨论物联网访问。用知识武装组织已成为当务之急,扩展其主动防御能力,确保物联网设备与其关键ITOT基础设施有足够的隔离。

参考来源:SecurityWeek http://985.so/uy8r

 

 

(如未标注,均为天地和兴工业网络安全研究院编译)

 

 

 

扫二维码用手机看

天地和兴

公司总部:北京市海淀区西北旺东路10号院博彦科技大厦C座6层

服务热线:400-810-8981 /  010-56380988

版权所有:北京天地和兴科技有限公司      京ICP备17065546号-1

扫一扫关注

天地和兴微信公众号