往水里投毒?解析针对工业控制系统的勒索攻击近年来,勒索软件攻击已经成为一个非常让人担忧的安全问题,为了获得高额的利益回报,网络犯罪者逐渐把目标转向了医疗、金融等高价值行业。尽管目前所有的勒索攻击都只是针对个人电脑,但随着攻击面的不断扩大,最近的一些分析表明,工控系统网络极有可能成为勒索软件的下一个攻击目标,工控系统相关的关键基础设施也将面临勒索攻击的可能。
昨天CodeSec的文章《勒索软件新威胁:你敢不付赎金,我就敢往你喝的水里投毒》中提到了一种威胁工控系统的勒索软件,而下面这篇文章则对此进行了深入剖析,来看看勒索软件何以有如此能耐。
在这项项研究中,佐治亚理工学院网络安全专家开发了第一个针对可编程逻辑控制器(PLC)的勒索软件,模拟城市供水设施作为勒索攻击目标进行攻击建模和影响评估。(该项研究也作为专题报告在近期RSA大会上作了分享展示)
研究介绍
工控攻击事件鲜有发生,但这并不代表工控系统就是安全的,据卡巴斯基最新研究表明,由于多种漏洞和不安全协议,工控系统安全甚至有恶化倾向。这种暂时的安全状况,唯一的解释就是,网络犯罪者还不能很好地将攻击与利益结合。在勒索攻击盛行的今天,企业数据是攻击者的价值目标,虽然工控系统涉及的有价值数据较少,但如制造业、电站、供水及天然气设施稳定安全的可持续运行,与人们的生活息息相关。前有北美停电事件、Stuxnet事件,近有乌克兰电站被攻击案例,从经济和安全角度来看,都造成了很大程度的损失。
我们开发了第一个针对可编程逻辑控制器(PLC),名为LogicLocker的工控勒索软件,以此探讨工控系统成为勒索软件攻击的可能性。LogicLocker利用施耐德Modicon M241设备的原始API接口,扫描工控系统内部网络的已知安全漏洞设备,如Allen Bradley MicroLogix 1400 PLCs、 Schneider Modicon M221 PLCs,通过感染和绕过方式突破安全机制,锁定设备合法用户,并在程序中设置对物理和人身安全形成威胁的逻辑炸弹,作为赎金勒索之用。我们的主要研究涉及以下几点:
开发了第一个针对工控系统可编程逻辑控制器(PLCs)的勒索软件;
实现了跨供应商PLCs感染蠕虫的概念性证明;
针对传统勒索攻击和ICS勒索攻击进行了详细的经济因素和影响比较;
利用Shodan针对此类受勒索攻击的工控设备进行了在线发现和调查;
作为研究和参考之用,制订了工控系统勒索攻击安全框架。
威胁建模
抛开国家支持黑客和脚本小子的攻击,在该项研究中,我们假设勒索攻击以经济目的为出发点,由有组织网络犯罪组织发起,虽然这些攻击者不具备固件级别的漏洞发现能力,但他们能熟练使用应用层的PLCs入侵能力,可以发现并控制大量工控设备。攻击者通过对PLC代码的修改,可以实现对工控设备的物理破坏,或设置程序逻辑炸弹,触发更严重的安全威胁。
勒索攻击的经济影响评估
对医院的勒索攻击之所以能够成功,是因为医院必须对患者数据的绝对控制和需要;而工控系统同样需要保证其PLC能安全稳定为民众或下游生产商提供服务。
传统勒索攻击VS工控系统勒索攻击
传统攻击造成的经济损失,是由被攻击窃取数据的价值和受害者数量范围共同决定的,攻击者在发起攻击之前会衡量攻击成本和攻击价值。攻击成本越高,意味着目标安全性越高,而获得的勒索价值可能也就越多。这种关系可以用以下等式来表明:
对于勒索攻击来说,工控系统算是数据价值较低且范围相对较小的攻击目标,但其设备停机时间、安全性能和操作人员安全造成的影响,却远远超出通常价值范围,攻击者一样可以利用这些致命要害对工控设备发起勒索攻击。
实验过程
下图所示LogicLocker利用的三种PLCs分别为Schneider Modicon M221、Allen Bradley MicroLogix 1400和Schneider Modicon M241,它们代表了当今比较流行和常用的PLC品牌,但在此我们需要提醒的是,这些品牌在内的大多数PLC设备都不具备合适的可编程验证功能。
而另外一些具有密码验证和PLC编程校验功能的设备,如MicroLogix 1400,一旦被攻击者利用其它方式入侵控制之后,也存在被攻击者设置新密码进行勒索攻击的可能。我们在Shodan上发现大量在线联网的ICS设备:
为了验证ICS勒索攻击的可能性,我们构建了一城市供水模型并模拟勒索攻击的可行性。在水质消毒阶段,自来水内需要加入比例准确的氯粉,而在水量储存阶段,需要对水量进行最低限度用水保障控制。