工控安全最大威脅:攻擊工具泛濫
責編:gltian |2020-03-31 17:11:02自從2015年工控系統(ICS)安全成為黑帽大會的熱門話題以來,過去五年中工控系統安全事故頻率逐年增長,2019年創下新高。
工控安全威脅和攻擊不斷增長的一個主要原因是攻擊技術的工具化。近年來針對工控系統(ICS)的入侵和攻擊工具呈現快速增長趨勢,使得針對運營技術(OT)網絡和工業控制系統(ICS)的攻擊門檻大幅下降。
根據FireEye最新發布的工控系統安全報告,工控系統攻擊工具的大量涌現使得普通黑客也能實施過去需要特殊知識和高級黑客技術的工控系統攻擊,未來工控系統安全形勢變得極為嚴峻。
值得注意的是,高級工控系統攻擊者也會使用工控系統攻擊工具,以此隱瞞身份或大幅降低攻擊成本。
ICS攻擊工具的十大類別
多年以來,安全研究人員一直在跟蹤大量公開可用的,針對ICS的網絡操作工具,目前最常見的ICS攻擊工具主要可以分為以下十大類:
近年ICS攻擊工具具備三大特點:
1. 它們大多數是在過去十年中開發的;
2. 大多數工具與供應商無關;
3. 主要針對最大的幾家ICS原始設備制造商(例如西門子、施耐德電氣、GE、ABB、Digi International、羅克韋爾自動化和Wind River Systems)使用最廣泛的解決方案。
目前網絡上常見的工控系統攻擊工具主要分為兩大類:一類是“獨立攻擊工具”,另一些則基于流行的利用框架和模塊開發。
數量最多的ICS攻擊工具類別:資產發現
超過一半的“獨立”ICS攻擊工具屬于“資產發現”,幫助攻擊者了解連接到網絡的ICS設備和軟件開發工具,十大類別的工控系統攻擊工具的數量占比統計如下:
通常來說,開發工控系統攻擊工具,例如ICS專用惡意軟件和勒索軟件,開發者必須具備有關目標系統和編碼技能的高級知識,這對于大多數攻擊者來說是無法實現的。
針對ICS的漏洞利用模塊,Metasploit最危險
常見的漏洞利用框架,例如Metasploit(免費)、Core Impact和Immunity Canvas(均為商業用途)以及最新的針對ICS的利用框架,例如Autosploit、工業開發框架(ICSSPLOIT)都提供針對ICS的漏洞利用模塊。在俄羅斯安全研究公司GLEG的不懈努力下,Immunity Canvas目前提供的漏洞利用最多:
FireEye研究人員指出:
目前跟蹤與500多個漏洞相關的數百個ICS專用漏洞利用模塊,其中71%是潛在的零日漏洞。
在這三個非ICS專用框架中,Metasploit擁有最少的ICS專用漏洞利用程序,但是由于它是免費提供的,因此這些漏洞目前可能對防御者構成最大的危險。
被ICS攻擊工具針對最多的工控系統供應商(西門子、Advantech/Broadwin和施耐德電氣排前三)
總結
知己知彼,百戰不殆。工控系統攻擊工具極大拉低了工控系統攻擊的門檻,使其成為工控系統當下和未來一段時間面臨的最大威脅,對工控網絡攻擊工具的監控應當成為工控安全領域的重要風險指標。那些對ICS攻擊工具不夠重視或者缺乏研究的企業,最有可能成為菜鳥工控黑客拿來練手的目標。