新的SCADA缺陷允许勒索软件,其他攻击

  • 时间:
  • 浏览:22
  • 来源:it300
新的SCADA缺陷允许勒索软件,其他攻击

新加坡 - 安全周2017 ICS网络安全会议|新加坡 - 研究人员警告说,不会造成明显风险的关键任务控制系统可能被利益驱动的网络犯罪分子和其他威胁行为者劫持和利用。

网络犯罪分子越来越依赖勒索软件制造通过劫持人质个人和商业档案获利。专家们还开始就针对工业系统的勒索软件攻击的可能性发出警告。

安全公司CRITIFENCE和研究人员最近描述了旨在针对工业控制系统(ICS)的概念验证(PoC)勒索软件。佐治亚理工学院。

这些攻击集中在可编程逻辑控制器(PLC)上,这通常对于操作至关重要,并且可以代表恶意行为者的诱人且容易的目标。然而,Applied Risk的ICS安全顾问Alexandru Ariciu周四在SecurityWeek 2017年新加坡ICS网络安全会议上披露了另一个潜在目标。

Ariciu表示勒索软件攻击,他称之为“镰刀”,也可以目标SCADA设备不明显且可能被认为风险较小。

受影响的供应商尚未命名,但专家将这些设备描述为站在现场设备之间的各种类型的I / O系统。 OPC服务器(例如远程终端单元或RTU)。这些设备由嵌入式操作系统供电,并运行Web服务器。

数以千计的这些系统可以从互联网轻松访问,允许攻击者通过用恶意版本替换他们的固件来劫持他们。

应用风险开发和演示的攻击场景始于攻击者扫描网络以寻找潜在目标。根据Ariciu的说法,可以使用Shodan搜索引擎识别出许多设备,但通过简单的Google搜索可以找到更多目标。

Ariciu测试了来自不同供应商的四种设备,发现了近10,000个可直接访问的系统互联网。该研究人员表示,大多数这些系统缺乏任何认证机制,可以轻松访问。

专家认为,攻击者可以识别广泛使用的设备并集中精力定位这些设备。一旦确定了目标,攻击者首先需要获取设备并对其进行硬件调试以确定其工作原理。所有设备的一般攻击过程都是相同的,但是需要为每个特定产品定制漏洞。

应用风险花了三个月的时间来分析端口,使用各种硬件黑客技术,固件转储和反向通过工程来确定每个设备的工作方式以及如何对其进行攻击。

Ariciu指出,需要动手分析来创建漏洞利用程序,但是一旦开发漏洞利用程序,就可以远程启动攻击。可从互联网访问的设备。

攻击依赖于固件验证绕过漏洞,该漏洞可被利用来替换苹果的合法固件好的。在Applied Risk描述的勒索软件场景中,攻击者连接到目标设备的接口,为目标设备的配置创建备份,并安装破坏常规进程的固件。

受害者看到受感染的设备已断开连接,当他们访问它进行分析时,他们会收到勒索软件消息。

为了防止受害者恢复固件,攻击者可以“禁用”固件和配置更新功能。在大多数情况下,“恢复出厂设置”功能不会缓解攻击,因为进程无法恢复原始固件。尽管如此,这个功能也可以被黑客禁用。

虽然Ariciu pr受害者恢复固件的事件,如果受害者支付赎金,攻击者仍然能够恢复设备及其配置。这是因为实际上没有禁用固件更新功能。用户需要知道固件文件的名称才能启动更新。如果攻击者分配一个32个字符或更多的随机文件名,受害者将无法确定它并进行固件更新。

研究人员警告说,一旦他们确定特定设备如何通过利用供应商提供的固件更新实用程序,攻击者可能能够发动大规模攻击。

基于可从互联网访问的易受攻击设备的数量,Applied Risk认为攻击者可以制造毫奥通过这样的活动获得美元。根据安全公司的说法,许多组织承认这种攻击可能会造成严重的中断 - 这些设备通常是关键任务系统的一部分 - 这增加了支付赎金的机会。

安全组织提醒组织公司表示他们从未考虑过进行配置备份,特别是因为这些设备一旦部署就很少重新配置。然而,考虑到配置设备需要花费大量时间,丢失配置可能会产生严重后果。

虽然Applied Risk开发了一个PoC,证明了可能由利润驱动的网络犯罪分子发起的勒索软件攻击, Ariciu告诉SecurityWeek其他类型of攻击也是可能的。例如,复杂的威胁行为者可利用此漏洞破坏设备,无论是破坏还是在发动不同攻击时分散注意力。

已通知产品受影响的四家公司。这些设备的价格在300欧元到1000欧元之间。

其中两家供应商,包括一家主要厂商,都承认固件验证绕过漏洞的严重性。但是,他们表示修复安全漏洞并不是一件容易的事,他们仍在努力找出解决问题的最佳方法。

相关:破坏性KillDisk恶意软件变成勒索软件

相关:由勒索软件攻击击中密歇根电力和水务公用事业

R.兴高采烈:逻辑炸弹对ICS构成威胁

猜你喜欢

希腊最高法院批准俄罗斯对比特币嫌疑人的请求

希腊最高法院批准俄罗斯对比特币嫌疑人的请求希腊最高法院上周五表示,一名据称使用比特币数字货币洗钱40亿美元的俄罗斯人应该被引渡到俄罗斯,一位法院消息人士说。AlexanderV

2019-02-01

塑造美国网络防御的创造性破坏和自满情绪

塑造美国网络防御的创造性破坏和自满情绪创造性的破坏,思维的范式转换取代现有的秩序,可能是一个难以捉摸的概念,但它作为人类行为驱动力的力量是不可否认的。在硅谷和其他美国的高层科技

2019-02-01

为什么我(非常)担心PRISM

为什么我(非常)担心PRISM美国国家安全局正在利用我们的数字生活,监控语音电话,电子邮件,社交媒体以及谁知道什么。美国国家安全局方面的人说,这是为了国家安全;它已经停止了恐怖

2019-02-01

先发优势:为什么新的恶意软件最初会打败反恐

先发优势:为什么新的恶意软件最初会打败反恐虽然反病毒解决方案可以有效对抗广泛使用的恶意软件,但是有一个很好的机会,新的恶意软件会躲过那些解决方案。最近有重大安全事件的报告激增,

2019-02-01

台湾银行抢劫与朝鲜黑客有关

台湾银行抢劫与朝鲜黑客有关最近针对台湾一家银行的网络抢劫事件已被安全研究人员联系到一个据信在朝鲜境外活动的臭名昭着的威胁组织。黑客利用SWIFT全球金融网络大致窃取来自台湾远东

2019-02-01