关键基础设施恶意软件感染:从ICS-CERT报告到SCADA Strangelove

国土安全 '工业控制系统的网络紧急响应小组发布了一份报告,其中涵盖了针对美国的ICS环境中发现的常见和复杂的恶意软件'是2012年重要的基础设施。与此同时,在第29届混沌通信大会上,SCADA Strangelove演示文稿揭示了20个新的SCADA漏洞。

The Department of 国土安全 's Cyber Emergency Response Team for Industrial Control Systems (ICS-CERT) reported that during the fiscal year 2012, it "responded to 198 cyber incidents." Forty one percent of the attacks were against the energy sector, followed by 15% that targeted the water sector. This does not include the 据报道,伊利诺伊州斯普林菲尔德的一家水务公司通过位于俄罗斯的IP被黑。联邦调查局说,那里没有证据表明存在网络入侵。下图显示了按部门划分的2012财年ICS漏洞事件。

2012年10月/ 11月/ 12月ICS-CERT监视器[PDF格式] 开始于:

ICS-CERT最近在一家发电设施中提供了现场支持,该发电设施已在工业控制系统环境中发现了常见和复杂的恶意软件。员工在遇到驱动器运行的间歇性问题后要求公司IT员工检查其USB驱动器时,发现了该恶意软件。员工通常使用该USB驱动器备份控制环境中的控制系统配置。

当IT员工将驱动器插入具有最新防病毒软件的计算机中时,该防病毒软件获得了三大好评。当一个样本链接到已知的复杂恶意软件时,最初的分析引起了特别的关注。经过分析并应客户要求,将现场团队部署到发生感染的工厂。

确定“两个工程工作站上存在复杂的恶意软件后,注意力迅速转移到控制环境中其余的11个操作员站。使用该恶意软件的已知特征进行的手动分析表明,这些操作员站上没有恶意软件的迹象。”这似乎与特拉维夫大学研究小组先前提出的建议有关。那 防病毒软件可能浪费金钱 当涉及到新病毒时。研究人员“针对40种防病毒产品测试了82个新的恶意软件文件,发现防病毒程序完全检测不到它们。”

在ICS-CERT报告的下方,有更多有关电力公司病毒感染的信息。

2012年10月上旬,一家电力公司联系ICS-CERT报告了涡轮控制系统中的病毒感染,该病毒感染了其控制系统网络上的大约十台计算机。对事件的讨论和分析显示,第三方技术人员在计划内的设备升级停机期间使用USB驱动器上传软件更新。技术人员不知道,USB驱动器已感染了犯罪软件。感染导致受影响系统的停机时间,并使工厂重启大约3周。

您可能还记得 SCADA的火警时刻 这使入侵关键基础设施系统像按一个按钮一样容易,但是该报告提到 闪耀项目 (Shodan INTelligence Extraction),两名研究人员编制了一份清单,列出了近500,000个面向Internet的控制系统,并论证了“可以很容易地在Internet上发现关键的基础设施设备”。研究人员向ICS-CERT展示了他们使用SHODAN找到的460,000个IP地址的数据库。 “由于SHODAN是免费提供的,任何有恶意的人都可以找到这些设备并尝试登录,从而使这些系统容易受到攻击。一旦被访问,这些设备就可以用作控制系统网络的入口点,从而进行面向Internet的配置。关键基础设施的一个重大漏洞。”

在与各种合作伙伴合作之后,ICS-CERT“将清单缩短为美国境内大约98,000个组织。进一步的评估表明,这些登录站点中的许多都与关键控制设备没有直接关联,并且清单再次减少为大约7200个设备。似乎与控制系统直接相关的美国。”

那个报告 [PDF格式]是有趣的读物。 2012年,ICS-CERT总共跟踪了171个影响ICS产品的独特漏洞。十大漏洞类型包括:缓冲区溢出,输入验证,资源耗尽,身份验证,跨站点脚本,路径遍历,资源管理,访问控制,硬编码密码,DLL劫持。

漏洞总列表可以在报告中找到,但不包括安全公司的零日漏洞 恢复 不会与ICS-CERT或供应商共享。一个月前,ReVuln发布了一个 视频 推广九种零日SCADA(监督控制和数据采集)漏洞,这些漏洞针对通用电气,施耐德电气,Kaskad,罗克韦尔自动化,伊顿和西门子的软件。这些漏洞将出售给政府或其他出价最高的人。

根据ReVuln,零时差将“使攻击者能够在运行易受攻击的SCADA软件的系统上远程执行任意代码,下载任意文件,执行任意命令,打开远程Shell或劫持会话”。 恢复告诉Lucian Constantin,“攻击者可以以受影响的服务所授予的最大特权(在Windows中为SYSTEM)控制计算机。他们可以安装rootkit和其他类型的恶意软件,也可以获取敏感数据(例如在计算机上其他计算机上使用的密码)。同一网络),显然他们可以控制整个基础架构。”

如果SCADA对您感兴趣,那么您可能需要花些时间观看 SCADA奇爱,或“我是如何开始担心和热爱核电站的。”它在第29届混沌通信大会(29C3)上进行了介绍,并揭示了“普通SCADA系统(包括Simatic WinCC)中的20个新漏洞”。视频演示了“如何通过嗅探器和数据包生成器,FTP和Telnet,Metasploit和OSQL,Web服务器和浏览器来获得对工厂的完全访问权限”。

新年快乐!

像这样?这里有更多帖子:

在推特上关注我 @PrivacyFanatic

版权© 2012 IDG通讯,Inc.