报告|重重包围下的工业控制系统网络(下)

消息来源: 搜狐         消息类型: 行业新闻         发布日期:2017-08-25

 工业控制系统作为虚拟信息连接真实物理世界的关键枢纽,在拉近虚拟与现实的距离,让生产变得更精准、更敏捷的同时,也使得网络攻击可以直接破坏现实世界。

报告上半部分我们主要介绍了工业控制系统的危害性,报告下半部分我们将通过案例对工业控制系统网络攻击进行更具象的解析。

 

Case2

纸制品制造商


我们的第二个案例是一家大型纸制品生产商,企业应用自动化生产系统完成从纸浆处理、造纸、切割定型、包装仓储的全套生产流程,并保持7*24小时不间断工作。其工业控制系统网络包括一套完整的SCADA系统以及和一些额外的业务流程组件。

我们在客户的工业控制网络中部署威胁感知系统,监控先进控制系统和数据采集系统(SCADA)的流量和异常行为。网络威胁感知系统可在发现设备资产存在异常活动时识别威胁并报警。

 图1 - 在制造商SCADA网络中发现恶意代码。本图展示了黑客如何取得SCADA管理服务器控制权

网络威胁感知系统在SCADA网络中发现了多起恶意代码活动。我们检测到暗网中的黑客正试图远程命令和控制SCADA内部管理服务器,并利用该服务器通文件共享攻击SCADA网络,而客户已有的网络防御措施未发现攻击。

我们可以将攻击场景梳理如下:

1.SCADA系统中的管理服务器与互联网相连,其中运行的杀毒软件版本早已过时。

2.操作员U盘感染管理服务器,服务器自动浏览网页并被安装恶意软件(我们发现大量网页缓存从而得出以上推测)。

3.管理服务器成为攻击中继,并通过文件共享陆续感染多台运行Windows XP系统的操作站。


4.遭受感染的操作站使用443端口连接暗网中的C&C服务器,接受黑客的控制并等候执行进一步指令。

5.网络威胁感知系统及时发现了问题

 

威胁说明:

·MD5 - 0e0f1ced3b52d51ff1056e2aab715848

·第二阶段感染方式(SCADA内网传播):http://x.x.x.x:7059 / hspmr / http://x.x.x.x:2049 / ssrxoz(每个受感染的机器上的字符串均有变化)

·C&C服务器IP - 195.22.26.231,192.58.105.7,37.0.124.119

从本案例我们可得出以下结论:

  • 工业控制网络应与企业办公信息网络以及互联网严格隔离。

  • 工业控制网络内不同区域应严格隔离。 

  • 在尽可能的情况下,及时更新控制网内操作站的系统和防护软件。

  • 网络威胁感知技术有助于增强网络可视性,是传统安全解决方案的有效补充。对于未知的网络威胁可以确定其攻击来源、攻击类型、攻击对象、攻击波及面。


CASE 3

特种钢材制造企业

我们的第三个案例是一家特种钢材制造商,用户办公信息网络与工业控制网络完全物理隔离。

通过部署网络威胁感知系统,我们发现与案例二类似的攻击现象:网中的黑客正试图远程命令和控制SCADA内部管理服务器,并利用该服务器通过文件共享攻击SCADA网络中的其他设备。

在下面的屏幕截图中,我们可以看到受感染的机器正在尝试访问暗网,并搜寻潜在的攻击目标。一旦恶意软件识别出活动资产,它就会尝试使用文件共享方式(端口445)进行传染。

调查显示,感染源为某操作工程师笔记本电脑。因工作需要,他经常使用此笔记本在办公网和控制网间切换连接。笔记本电脑在接入办公信息网时遭受感染,并将恶意软件带入控制系统。 

由于恶意软件成功躲过了杀毒软件的查杀并隐藏起来,我们通过分析内存转储文件以进行更深入的调查。

经过分析,我们发现Svchost.exe创建了恶意网络连接,该恶意软件被注入到一个合法的进程中以伪装正在进行的恶意活动。

本案例的结论如下:

  • 不同网络区域间即便是完全物理隔离也存在隐患

  • 控制系统应使用专门的操作站,禁止其他便携设备接入控制网络

  • 所有需要进入控制网的数据需要进行额外深度检测


 

CASE 4

发电厂

我们的第四个案例是一家大型发电企业。本案例非常有趣,我们的网络威胁感知系统产品实施正好赶上了黑客扫描网络,搜集攻击情报。


该发电企业被视为国家重要的关键基础设施,接受国家安全部门监督。企业严格遵守相关政策,工业控制系统与信息系统完全隔离,企业首席信息安全官决定引入网络威胁感知系统,主要是为了保护信息系统免受勒索攻击,但却发现其工业控制系统正在遭受攻击。

网络威胁感知系统立即发出了几项警报,表明生产业务正在遭到破坏。我们立即调查并得出结论:

  • SCADA系统中某设备正试图与一个被伪装成控制器的远程设备进行交互。

  • 这表明黑客可能通过该方式了解企业控制网中每个控制器的确切工作状态。

  • 攻击的起源是控制系统远程维护服务商建立了维护连接,使得外部与控制系统网络间建立了通道。

  • 倘若黑客收集的信息恰好是破坏工业活动所需的信息,后续攻击可能对正在进行的工业操作造成严重损害。

服务热线
025-8660 3700

微信公众号