揭秘 EKANS勒索軟件是如何針對工業控制系統的？

E安全7月6日訊，近日據外媒報道，根據EKANS勒索軟件的新樣本顯示，如今的網絡攻擊者正在使用各種方法攻擊關鍵的工業公司。

在上週三（7月1日）發佈的一份研究報告中，FortiGuard實驗室的研究人員Ben Hunter 和Fred Gutierrez稱，針對工業控制系統(ICS)的惡意軟件對威脅者來説仍然有利可圖。據2020年Verizon的數據違反報告，儘管勒索軟件僅佔2019年所有惡意軟件事件的三分之一，但是一旦黑客將其應用到核心關鍵系統中,如公用事業和製造業,那麼感染所造成的影響可能是毀滅性的。

據悉，EKANS勒索軟件家族是一種被用於定向ICS活動的病毒。研究人員獲得了兩個版本的樣本，一份來是5月份得到的，另一份來自於6月份。從樣本中可以看出這兩個基於windows的示例都是用GO編寫的，這是一種在惡意軟件開發社區中被廣泛使用的編程語言，因為它相對容易編譯，可以在不同操作的系統上工作。

與此同時，為了幫助分析，FortiGuard創建了一個特定於埃堪薩斯的掩飾程序，發現儘管勒索軟件的5月份版本存在大量編碼錯誤，但是該惡意軟件仍然能夠有效地攻擊ICS系統。因此，EKANS的設計是有意選擇受害者的，該惡意軟件將通過解析受害者公司的域名，並將這些信息與IP列表進行比較，來確認目標。一旦目標被捕獲，勒索軟件就會掃描域控制器以進行攻擊。

兩種版本均具有典型勒索軟件的功能，一旦該惡意軟件落在易受攻擊的機器上，就會對文件進行加密，並顯示一張勒索紙條，要求對方支付贖金，以換取解密密鑰。解密密鑰可能恢復(也可能不恢復)對系統文件的訪問。然而，6月的示例超出了這些特性，並且能夠提供高級功能，這些功能可能在工業設置中造成嚴重破壞，包括關閉主機防火牆的能力。

此前，網絡安全公司FireEye就已經警告稱，針對ICS惡意軟件和黑客工具的開發正在增加，其中大多數都是在過去10年開發出來的。而且FireEye分析的大多數工具都被認為是與供應商無關的，但在某些情況下，目前這些軟件的設計也會損害特定公司提供的ICS設置。