在過去十年中,針對操作技術(OT) /工業控制系統(ICS)的廣泛記錄的網絡攻擊數量很少。雖然減少攻擊顯然是一件好事,但是缺乏足夠的樣本量來確定風險閾值可能會使防禦者難以理解威脅環境、確定安全工作的優先級並證明資源分配的合理性。
為了解決此問題,FireEye Mandiant 威脅情報為訂閲客户生成了一系列報告,這些報告着重於生成不同的指標以預測未來的威脅。這些分析來自暗網論壇上的評論、攻擊案例、ICS漏洞研究以及概念驗證研究使得即使在事件數據有限的情況下,也可以説明威脅的情況。這篇文章重點介紹了其中一種面向來源集ICS的入侵和攻擊工具,在本文中研究人員將其統稱為網絡操作工具。
面向ICS的網絡操作工具是指具有利用ICS弱點或與設備進行交互的能力的硬件和軟件,威脅者可以利用這種方式來支持入侵或攻擊。在本文中,研究人員會將漏洞利用模塊與其他網絡操作工具分離開來,這些漏洞利用模塊是在Metasploit,Core Impact或Immunity Canvas之類的框架上運行的,因為它們的數量非常多。
網絡操作工具降低了攻擊者攻擊ICS所需的知識門檻
由於ICS是信息和計算機技術的一個獨特子域,因此,針對這些系統的成功入侵和攻擊通常需要專門的知識,從而為成功攻擊樹立了更高的門檻。由於入侵和攻擊工具通常是由具有專業知識的人開發的,因此這些工具可以幫助威脅者繞過自己獲取某些專業知識的需求,或者可以幫助他們更快地獲取必要的知識。另外,有經驗的攻擊者可能會使用已知的工具和漏洞來隱藏他們的身份或最大化他們的利益。
ICS攻擊者所需的專業知識的曲線
標準化網絡操作工具的開發和隨後的利用,通常表明一個攻擊軟件的攻擊能力在不斷增強。無論這些工具是由研究人員開發的概念驗證工具,還是在過去的攻擊事件中使用的工具,對它們的訪問降低了各種參與者學習和開發未來技能或自定義攻擊框架的障礙。在這個前提下,利用已知的網絡操作工具,容易受到攻擊的設備就成了各種攻擊者唾手可得的目標。
ICS網絡操作工具分類
Mandiant情報工具跟蹤了大量公開可用的ICS專用網絡操作工具,研究人員在本文中使用的術語“特定於ICS”並沒有一個嚴格的定義。儘管研究人員跟蹤的絕大多數網絡操作工具都有明確的案例,但在某些情況下,研究人員已經考慮了工具創建者的意圖以及該工具對ICS軟件和設備的合理可預見的影響。請注意,研究人員排除了基於IT的工具,但這些工具可能會影響OT系統,例如商品惡意軟件或已知的網絡實用程序。研究人員僅包含少數例外,其中研究人員識別了使工具能夠與ICS進行交互的特殊修改或功能,例如nmap腳本。
根據功能,研究人員將每個工具分配給八個不同類別或類中的至少一個。
特定於ICS的入侵和攻擊工具的類別
雖然研究人員的列表中包含的一些工具早在2004年就創建了,但是大多數開發工作都是在過去10年完成的。大多數工具也與供應商無關了,或者針對一些最大的ICS原始設備製造商(OEM)的產品開發。西門子在這一領域脱穎而出,其中有60%的特定於供應商的工具可能針對其產品。同時,研究人員確定的其他工具也是針對施耐德電氣,通用電氣,ABB,Digi International,羅克韋爾自動化和Wind River Systems的產品開發的。
下圖按類描述了工具的數量,值得注意的是,在網絡發現的工具佔了這些工具的四分之一以上。研究人員還強調,在某些情況下,研究人員跟蹤的軟件開發工具可以託管擴展的模塊存儲庫,以針對特定的產品或漏洞。
按類分類的特定於ICS的入侵和攻擊工具
軟件利用模塊
考慮到軟件漏洞利用模塊的整體簡單性和可訪問性,它們是網絡操作工具中數量最多的子組件。開發漏洞利用模塊的最常見方式是利用特定漏洞並自動執行漏洞利用過程,然後將該模塊添加到漏洞利用框架。該框架作為一個存儲庫工作,它可能包含數百個模塊,用於針對各種各樣的漏洞、網絡和設備。最流行的框架包括Metasploit、Core Impact和Immunity Canvas。此外,自2017年以來,研究人員已經確定了較年輕的ICS專用漏洞利用框架的開發,例如Autosploit,工業漏洞利用框架(Industrial Exploitation Framework ,ICSSPLOIT)和工控漏洞利用框架( Industrial Security Exploitation Framework)。
AutoSploit是一款採用Python開發的自動化大規模漏洞利用工具,它可以利用Shodan、Censys或Zoomeye搜索引擎來定位攻擊目標,用户可以隨意選擇使用其中任意一個。設置好需要攻擊的目標之後,該工具可以啓動相關的Metasploit模塊來實施攻擊。默認配置下,AutoSploit提供了超過三百中預定義的Metasploit模塊,用户可以用它們在不同操作系統主機、Web應用程序和入侵檢測系統等基礎設施上實現代碼執行。當然了,用户也可以通過修改etc/json/default_modules.json文件來添加新的模塊。
Industrial Exploitation Framework (ICSSPLOIT) 是一款基於python編寫的類似metasploit的工控漏洞利用框架,基於開源項目routersploit修改而來。
鑑於漏洞利用模塊的簡單性和可訪問性,它們對具有各種技能水平的參與者有吸引力。即使是不太熟練的參與者也可能會利用漏洞利用模塊,而無需完全瞭解漏洞的工作原理或瞭解利用漏洞所需的每個命令。研究人員注意到,儘管研究人員跟蹤的大多數利用模塊可能是為研究和滲透測試開發的,但它們也可以在整個攻擊生命週期中被使用。
利用模塊統計
自2010年以來,Mandiant 情報工具就一直跟蹤三個主要利用框架的利用模塊:Metasploit,Core Impact和Immunity Canvas。目前,研究人員追蹤了數百個與超過500個漏洞相關的特定於ICS的漏洞利用模塊,其中71%是潛在的零日漏洞。分解過程如下圖所示,Immunity Canvas目前擁有最多的漏洞,這在很大程度上要歸功於俄羅斯安全研究公司GLEG的努力。Canvas是ImmunitySec出品的一款安全漏洞檢測工具。它包含幾百個以上的漏洞利用。對於滲透測試人員來説,Canvas是比較專業的安全漏洞利用工具。Canvas 也常被用於對IDS和IPS的檢測能力的測試。Canvas目前已經使用超過370個的漏洞利用,在兼容性設計也比較好,可以使用其它團隊研發的漏洞利用工具,例如使用Gleg, Ltd’s VulnDisco 、 the Argeniss Ultimate0day 漏洞利用包。
基於框架的ICS利用模塊
Metasploit框架漏洞利用模塊值得特別關注,儘管模塊數量最少,但Metasploit是免費提供的,並且廣泛用於IT滲透測試,而Core Impact和Immunity Canvas都是商業工具。這使得Metasploit成為三種框架中最容易訪問的,但是,由於模塊的開發和維護是由社區提供的,這可能導致模塊數量減少。
研究ICS產品供應商的利用模塊數量也是值得的,此分析的結果如下圖所示,其中顯示了使用模塊數量最多的供應商(超過10個)。
具有10個或更多漏洞利用模塊的供應商
上圖不一定能夠看出哪些供應商是最易受攻擊的,但是哪些產品最受攻擊者的關注卻可以看出來。造成這種情況的因素有很多,其中包括可供測試的軟件的可用性、針對特定漏洞編寫漏洞利用程序的總體難度,或者漏洞如何與漏洞利用者的專業知識相匹配。
雖然圖中包括的一些供應商已被其他公司收購,但是由於在收購之前已發現漏洞,因此研究人員還持續進行了跟蹤。施耐德電氣就是一個例子,該公司於2011年收購了7-Technologies,並更改了其產品組合的名稱。研究人員還強調,該圖僅計算了漏洞利用模塊,而不考慮漏洞利用的程度。來自不同框架的模塊可以針對同一漏洞,並且每個模塊都是單獨計數的。
ICS網絡操作工具和軟件開發框架填補了該領域的防護空白
研究人員和安全從業人員經常發佈的ICS專用網絡操作工具是個非常有用的工具,可幫助組織瞭解持續存在的威脅和產品漏洞。然而,作為任何可以公開獲得的信息,他們也可以降低那些對OT網絡有興趣的威脅者的標準。雖然對OT環境的成功攻擊通常需要來自威脅行動者的高水平的技能和專業知識,但是本文中討論的工具和利用模塊使跨越這一門檻變得更加容易。
ICS網絡操作工具的泛濫,應該成為不斷演變的威脅格局的重要風險指標。