【清静报告】卡巴斯基 – ICS中的RAT危害

宣布时间 2018-10-12

原文链接：https://securelist.com/threats-posed-by-using-rats-in-ics/88011/

在举行审计、渗透测试和事务视察时，我们经常遇到工业企业的运营手艺（OT）网络中装置有正当的远程治理工具（RAT）的情形。在我们视察的一些事务中，攻击者使用RAT来攻击工业企业。一些案例中攻击者偷偷地在受害企业的盘算机上装置RAT，另一些案例中攻击者则是使用已经装置在企业盘算机上的RAT。这些发明促使我们对相关威胁景观举行了剖析，包括工业网络中RAT的使用率以及使用它们的缘故原由。

研究要领

本文中的统计数据是从受卡巴斯基清静网络（KSN）�；さ腎CS盘算机上网络而来�？ò退够笛槭襂CS CERT将ICS盘算机归类为企业工业基础设施的一部分。这一种别包括执行以下一个或多个功效的Windows盘算机：

· 数据收罗与监控服务器（SCADA）
· 数据存储服务器（Historian）
· 数据网关（OPC）
· 工程师和操作员的牢靠事情站
· 工程师和操作员的移动事情站

· 人机界面（HMI）

在我们的研究中，我们思量并剖析了Windows平台上的所有主流RAT，但Windows操作系统自带的远程桌面服务除外。对该RAT的研究还在举行之中，我们将在本系列的下一篇文章中举行先容。

ICS中RAT的使用情形

凭证KSN的数据，在2018年上半年，有三分之一的ICS盘算机装置/使用了正当的RAT程序（被归类为非病毒类的程序：远程治理（RemoteAdmin））。

装置正当RAT的ICS盘算机的比例

统计数据与我们的视察效果相一致：RAT确实经常在工业企业的OT网络中使用。我们以为这可能与降低ICS的维护用度以及最大限度地镌汰故障爆发时的响应时间有关。

凭证我们的视察，对OT网络中的盘算机的远程会见并没有严酷限制在企业网络界线内的治理员和工程师之中。企业网络界线外的用户也可以通过互联网会见它们。这些用户可能包括第三方企业的代表 – 如系统集成商或ICS供应商的员工，他们使用RAT来举行ICS故障的诊断、维护和修复。正如我们的工业网络清静审计所批注的，这类会见通常没有受到企业相关责任人的监视，只管毗连到OT网络的远程用户通常拥有过多的权限，例如外地治理员权限。这对确保工业自动化系统的信息清静来说显然是一个严重的问题。

通过对差别工业系统的工程师和操作员的访谈，并凭证对ICS用户文档的剖析，我们发明RAT最常被用于工业网络的以下场景：

1. 从操作员事情站控制/监控HMI（包括在大屏幕上显示信息）
2. 从工程师事情站控制/监控HMI
3. 从操作员事情站控制SCADA
4. 从工程师事情站或承包商/供应商的盘算机（外网）维护SCADA
5. 将多个操作员毗连到一个操作员事情站（类似于精简客户端的架构，可以节约操作员事情站软件的允许证用度）

6. 从OT网络通过HMI会见办公网络的盘算机并执行相关使命（如会见电子邮箱、上网、使用office文档办公等）

上面列出的一些场景批注，在OT网络中使用RAT是为了知足运营的需求。这也意味着放弃使用RAT将会不可阻止地导致事情流程的转变。与此同时，要充清楚确不清静的RAT可能会导致攻击者能容易地破损和中止工业流程，因此与在OT网络中使用RAT有关的决接应该基于这种头脑上去构建。严酷控制在OT网络上使用RAT将有助于减小攻击面和镌汰远程治理系统受熏染的危害。

优发国际·随优而动一触即发

2018上半年时代至少使用了一次RAT的ICS盘算机比例最高的国家（Top20）

ICS中RAT的装置场景

凭证我们的研究，在ICS盘算机上有三种最常见的RAT装置场景：

1. ICS软件刊行包中包括RAT（可能是差别的软件刊行包或ICS软件装置程序）。这种情形占所有装置RAT的ICS盘算机的18.6%。

优发国际·随优而动一触即发

与ICS产品捆绑的RAT占所有ICS盘算机上的RAT的比例

2. 小我私家或供应商（网络治理员、工程师、操作员或集成公司）居心装置的RAT。我们并没有去试图判断这些装置是否正当。凭证我们的工业网络清静审计和事务视察的履历，许多这类装置并没有遵照企业的信息清静战略，一些装置甚至是各企业的相关认真职员所不知情的。

3. 恶意软件偷偷装置的RAT。下文中我们视察的一个最近的攻击事务就是一个案例。

ICS中的RAT危害

在工业网络中使用RAT带来的危害并不总是那么显着，也不是最初使用这些RAT所期望的。

我们在工业系统中发明的大大都RAT都具有以下特征（这些特征显著降低了主机系统的清静水平）：

· 提升的权限 – RAT的服务器部分常作为具有系统权限（例如NT SYSTEM）的服务来运行；
· 不支持对系统/客户端的运动设置严酷的外地会见限制；
· 单因素认证；
· 客户端运动没有日志；
· 保存误差（我们会在年底宣布关于主流RAT（被许多ICS供应商所使用的）中的零日误差的报告）；

· 使用中继服务器（用于反向毗连）使得RAT能够绕过网络界线上的NAT和防火墙的限制

与使用RAT有关的最严重的问题是，其使用了提升的权限并且缺少对这些权限举行限制的手段（或者是限制远程用户的外地会见权限）。现实上，这意味着若是攻击者（或是恶意软件）获取了远程用户的盘算机的会见权限，窃取了其身份验证数据（登录名/密码），挟制了运动的远程治剖析话或是乐成攻击了RAT服务器端的误差，他们将会获得不受限制的ICS系统会见权限。通过使用反向毗连的中继服务器，攻击者可以从天下上任何一个地方毗连到这些RAT。

ICS软件刊行包中内置的RAT还会受到以下问题的影响：

· RAT组件和刊行包险些从不更新（纵然宣布了新版本的ICS软件刊行包）。这意味着它们很有可能包括误差。

· 绝大大都情形下，它们都使用默认密码 – ICS软件供应商要么把默认密码硬编码在RAT中，要么在文档中把它们标为“推荐使用”

RAT是工业网络中经常使用的正当软件/工具，这意味着很难将正当的使用运动与攻击运动区脱离来。别的，由于认真ICS清静的信息清静服务和其他员工经常不知道RAT被装置了，大大都情形下RAT的设置在工业网络的清静审计历程中是被忽略掉的。这使得限制工业网络中的RAT的使用工具、使用场景和使用目的尤其主要，以及一定要确保OT网络的信息清静认真人知晓所有的RAT使用情形。

ICS中的RAT攻击

上述所有内容都适用于与RAT有关的潜在威胁。

凭证对KSN统计数据的剖析，我们发明许多与ICS盘算机中的RAT有关的攻击和恶意软件熏染实验。大大都情形下，这些攻击都是基于以下场景（以攻击频率的降序排列）：

1. 来自于外地网络或互联网的暴力破解攻击（破解用户名/密码）；
2. 攻击者或恶意软件通过窃取或破解的身份验证凭证会见RAT，并下载和执行恶意软件；
3. 远程用户（可能是正当的用户，但被攻击者所诱骗）通过RAT在ICS盘算机上下载木马，然后执行；木马可能是伪装成office文档、非工业场景的软件（游戏、多媒体软件等）、office/应用程序/工业软件等的破解器或密钥天生器等。
4. 使用exploit针对RAT服务器端提倡的网络攻击，可能是来自于外地网络或互联网。

暴力破解类的网络攻击（破解用户名/密码）是最常见的；由于这种攻击不需要什么高深的知识和手艺，并且相关软件果真可用。

现有数据无法剖析出毗连到ICS盘算机上的RAT服务器的用户究竟是谁 – 可能是正当的用户，也可能是攻击者或恶意软件 – 以及其目的。因此，我们只能推测这个运动代表了有针对性的攻击、破损性的实验照旧客户的失误。

来自于互联网的网络攻击最有可能通过恶意软件、渗透测试工具或僵尸网络来实现。

而来自于外地网络的网络攻击则意味着攻击者已经进入了网络（有可能是内部职员）。另一种可能性是外地网络中的一台盘算神秘么已被恶意软件熏染，要么已被攻击者入侵并且看成跳板（身份验证凭证可能之前已经泄露）。

攻击案例一（通过RMS和TeamViewer攻击工业企业）

2018上半年，卡巴斯基实验室ICS CERT发明伪装成正当商业报价的新一波垂纶邮件攻击。只管这些攻击运动主要针对俄罗斯境内的工业企业，但其攻击战略和工具也可用于攻击全球其它地区的工业企业。

这些攻击运动中使用的恶意软件会在系统上装置正当的远程治理软件 – TeamViewer或远程操作系统/远程工具（RMS）。

无论是哪种情形，恶意软件都会将一个系统DLL替换成恶意代码，以在正当历程中注入恶意代码。这使得攻击者可以获得受熏染系统的远程控制权限。攻击者还使用了多种手艺来掩饰熏染和装置软件的痕迹。

若有须要，攻击者会在系统中下载一个特另外恶意软件包，该恶意软件包针对差别的受害者举行定制，其可能包括特工软件、其它远程治理工具、误差使用工具以及用于获取Windows账户密码的Mimikatz等。

凭证现有数据，攻击者的主要目的是从企业的账户中窃取款子，但潜在的攻击场景并不但限于此。在攻击历程中，攻击者还会窃取目的组织及其相助同伴和客户的敏感数据，对员工举行神秘的监视，并使用毗连到受熏染盘算机的装备录制视频和音频。显然，除了经济损失之外，这些攻击还会导致受害企业的敏感数据泄露。

攻击案例二（针对汽车制造商的多次攻击）

第二种攻击场景的一个典范的例子是一家汽车制造与服务商的工业网络遭到的攻击。详细来说，是该企业的用于诊断卡车和重型车辆的引擎和车载系统的盘算机遭到的攻击�？ò退够笛槭业牟纷手柚沽硕啻未死喙セ�。

该企业的工业网络中至少一台盘算机被装置了RAT，并且该RAT被间歇性地使用。自2017年底以来，通过该RAT装置恶意软件的无数次攻击实验被我们阻止了。几个月内这些熏染实验按期泛起 – 一周2到3次，漫衍在一天的各个时间。再加上其它间接指标，我们以为该RAT的身份验证数据泄露了，攻击者（恶意软件）使用该凭证通过互联网来攻击该企业的盘算机。

在通过RAT会见潜在受害者的基础设施之后，攻击者一直在实验差别的恶意软件包，试图逃避杀毒软件的检测。

其中一个被卡巴斯基产品检测到的恶意软件及其变体是Net-Worm.Win32.Agent.pm。一旦最先运行，该蠕虫就会连忙使用永恒之蓝误差在外地网络上举行扩散 – 该误差使用（MS17-010）于2017年春季被ShadowBrokers披露，并被污名昭著的勒索软件WannaCry和ExPetr所使用。

被检测到的恶意软件还包括木马家族Nymaim。该家族常被用于下载僵尸网络Necus家族的变体，而Necus回过来又常被用于撒播勒索软件家族Locky。

结论

远程治理工具被普遍地用于工业网络的ICS监控、控制和维护流程中�？梢栽冻滩僮鱅CS的能力大大降低了维护本钱，但与此同时，不受控制的远程会见权限、无法100%地验证远程客户端的正当性以及RAT代码和设置中的误差大大增添了攻击面。而另一方面，RAT等其它正当工具也越来越多地被攻击者所使用，使得其行踪被隐藏和归因越来越难题。

为了镌汰RAT网络攻击的危害，我们建议接纳以下高优先级的步伐：

· 审计工业网络中的系统及第三方远程治理工具，例如VNC、RDP、TeamViewer和RMS / RemoteUtilities等。卸载所有工业流程不需要的远程治理工具。
· 审计并禁用ICS软件附带的远程治理工具（详细指南请参考软件的相关文档），虽然条件是工业流程不需要这些工具。
· 纵然是工业流程所需的远程治理操作，也要亲近监控和纪录远程治剖析话的事务日志；默认情形下应将远程会见服务禁用，仅在需要使用时启用，并且只启用一段时间。

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

优发国际网站官网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系优发国际网站官网

清静研究

【清静报告】卡巴斯基 – ICS中的RAT危害

关于优发国际网站官网

解决计划

清静研究

联系优发国际网站官网

7*24小时服务热线