一組工控蜜罐招來四個零日攻擊
責編:gltian |2020-06-23 10:27:10一個蜜罐引來四次零日攻擊,這就是工控系統安全性的血淋淋現狀,而且這還是全球普遍現象。
近日,為了研究當今工業控制系統面臨的安全威脅,研究人員使用了一個由120個高交互性蜜罐組成的虛假工業基礎設施網絡,部署在22個國家/地區,模仿可編程邏輯控制器(PLC)和遠程終端單元。
在13個月的時間內,攻擊者與蜜罐進行了80,000次交互(主要是掃描),并且有9次交互惡意使用了工業協議。
雖然這聽起來可能是一個小數目,但九次惡意交互中就有四次使用了前所未知的攻擊(零日漏洞攻擊),其中一種還是首次在野外被使用的概念驗證攻擊。
蜜罐檢測到的攻擊類型包括拒絕服務攻擊和命令重放攻擊已向設備制造商披露。
研究人員說:
盡管這個蜜罐系統的產量很小,但影響卻極大,因為這些都是ICS社區以前不知道的高級針對性攻擊手段。
這項研究已經發布在在北約支持的網絡安全會議上(論文地址在文末)。
Industrial Defenica的工業安全研究員Mikael Vingaard也是該研究的作者之一,他說該蜜罐采集的數據是迄今為止在安全學術研究中使用最多的數據集,其暴露的零日漏洞的數量表明這些蜜罐高度“仿真”和可信。
另一位作者,劍橋大學計算機科學與技術系的邁克爾·道森(Michael Dodson)指出,如果這些攻擊針對真實工控系統設備而不是蜜罐,那么拒絕服務攻擊將在攻擊過程中完全關閉工控設備,或者導致其無法通過網絡進行通信。
但與拒絕服務攻擊相比,重放攻擊更加可怕。
如果攻擊者可以重放命令以更改設備狀態或寫入寄存器,那么攻擊者就可以完全控制設備的行為,因此可以完全控制設備的控制過程。
參考資料
使用全球蜜罐網絡檢測針對性工控系統攻擊:
https://ccdcoe.org/uploads/2020/05/CyCon_2020_15_Dodson_Beresford_Vingaard.pdf