针对ICS的网络攻击20强——谈天说地Part1

近期，以色列知名工控安全厂商WaterFall发布了其专题研究报告《针对ICS的网络攻击20强》。该报告的主要目的是对工业站点进行一致性的网络风险评估提供基础，并将这些风险更清晰地传达给业务决策者，以便这些决策者可以就工业网络安全计划的资金投入做出更明智的决策。报告将Top 20的网络攻击作为一个标准集，用作与管理层和业务决策者交流网络攻击风险的方法，其中Top 20的攻击代表着不同级别的网络和工程复杂度以及不同程度的不良物理后果。这20种攻击，既包括可以被现有网络防御设施有效防御的攻击，又包括现有网络防御设施无法防御的攻击。

天地和兴工控安全研究院对该报告中列举的Top 20的网络攻击进行了全面的梳理，列出了每项攻击的简要描述、复杂度级别和影响后果，以期从攻击方的能力视角，剖析攻击发起的源头、条件、目的和意图，引起相关行业监管方、工控安全厂商和工控系统运营方的足够重视，警示各方协同联动以强化威胁认知、建强防御体系、实战检视能力，推动我国关键基础设施防御能力的全面提升。

Part1 | Top1-10 

ICS内部人员

No.1 攻击

简要描述

心怀不满的控制系统技术员通过“肩窥”其他技术员的操作来窃取口令，利用窃取的口令登录控制物理过程的设备，并向部分物理过程发出关闭指令，从而自动触发工厂的局部关闭 。

复杂程度

这是中等复杂程度的攻击。ICS技术员工往往对如何操作控制系统组件以实现特定目标（例如停机）有很好的理解，但是对基础的工程概念或工业过程中设计的功能安全系统知之甚少。

后果

此类事件最常见的后果是工厂部分或全部的关闭。更加严重的物理后果也是可能的，这取决于内部人员及其对工业过程细节的掌握。

IT内部人员

No.2 攻击

简要描述

ICS支持技术员访问远程办公室时，心怀不满的IT内部人员可能通过“肩窥”窃取其输入的访问凭据。之后这个心怀不满的内部人员会使用凭据登录到ICS技术员登录的那台工程工作站。该内部人员环顾工作站，并最终找到并开启工厂HMI的开发副本。内部人员可能随机地打开屏幕，并触动可能造成最大损坏或混乱的任何按钮。这些动作将导致工厂部分关闭。

复杂程度

这是不复杂的攻击。IT内部人员通常对网络系统、控制系统或物理过程一无所知，但通常确实具有社会工程攻击的机会，可以获取能够登录控制系统网络的凭证。

后果

此类事件可能会导致关机或仅引起混乱。最好的情况是，每次此类事件都会触发对工厂设置的工程审查，以确保没有遗留任何错误配置的物理设备，并且将来不会造成故障。

通常的勒索软件

No.3 攻击

简要描述

工程师通过连接ICS的工程工作站中搜索技术资料时无意间下载了勒索软件。该恶意软件利用工业网络中尚未修补的已知漏洞，对工程工作站进行加密，同时将勒索软件传播到工业控制系统中的大多数Windows主机。工业网络中的大多数Windows主机被加密后，将导致控制系统关闭。受损的控制系统无法实现有序的关机。几分钟内，工厂操作员将触发紧急安全停机。即使从控制系统中清除了勒索软件并重新启动了工厂生产，紧急停机程序也会损坏工厂的重要设备，工厂生产活动受损会长达数月。

这种攻击的一种变体：勒索软件感染IT工作站，并通过网络共享中的AUTORUN文件、USB驱动器和已知的网络漏洞传播数天，之后再触发加密。因此，IT和ICS网络上的许多计算机都感染，其后果与上述攻击后果相同。

复杂程度

自动化的勒索软件的作者在网络方面具有非常丰富的经验，其开发的恶意软件能够通过网络快速自动传播，甚至可以逃避常见的防病毒系统和其他安全防御系统。但是，这类作者往往不大了解物理工业过程或工业控制系统。

后果

通常，这种事件造成的最小损害是计划外停机，持续时间与从备份系统中恢复控制系统并重新启动工业过程所需要的时间一致，通常会损失5-10天的生产时间。但是，在最坏的情况下，不受控制的关机可能会严重损坏重要的设备。在这种情况下，需要购买和安装损坏设备的备件，并且在无法立即获得替换件的情况下，必须重新生产损坏设备的备件，以便可以安装和激活它们。在这种最坏情况下的工厂停机时间可能长达12个月。

针对性的勒索软件

No.4 攻击

简要描述

具有丰富计算机知识的攻击者可以利用网络钓鱼攻击和恶意附件，专门对IT内部人员进行攻击，并利用远程访问工具（RAT）在IT网络中建立据点。攻击者使用RAT窃取其他凭据，最终获得对工业控制系统的远程访问权限。攻击者在整个ICS中植入勒索软件，并索要赎金。该机构立即禁用了受影响工厂与外部网络之间的所有电子连接，并试图支付赎金。一旦支付机制失败，勒索软件将自动激活，因为没有收到攻击者发出的赎金收到的信号。勒索软件会清除所有受感染设备中的硬盘驱动器和BIOS固件。该工厂紧急停机，设备受损。更换损坏的控制系统计算机并对其重新配置需要一个月的时间，而更换损坏的物理设备则需要几个月的时间。

复杂程度

攻击者非常老练且经验丰富。我们越来越多地看到有组织的犯罪组织参与勒索软件攻击。这些组织可以搞到专业水准的恶意软件工具包和开发人员以及专业级RAT运营者。

后果

通常必须更换计算机、网络和其他被删除了固件的设备，用网络攻击的术语说这些设备已经“变砖”了。同样，紧急关机可能会损坏物理设备。

利用0-day的勒索软件

No.5 攻击

简要描述

情报机构错误地在Internet的命令和控制中心留下了与操作系统、应用程序和防火墙沙箱的零日漏洞列表。一个类似于“影子经纪人”的攻击小组，发现了NSA的零日漏洞，找到了漏洞清单并将其出售给有组织犯罪集团。后面的这个组织载发了自动化的勒索软件，该勒索软件利用Windows操作系统中文件共享软件中的零日漏洞进行传播。该恶意软件在全球数十个被攻破的网站上同时发布，并立即开始传播。在能够与IT网络直接或间接共享文件的工业站点上，恶意软件会绕过防火墙感染并加密工业站点，从而导致紧急关闭并损坏物理设备。

复杂程度

网络攻击只会随着时间的推移变得越来越复杂。安全研究人员和其他人员发现了零日漏洞，而情报机构也获知“泄露”了他们发现或购买的零日漏洞。这种攻击在网络方面非常复杂，在工程方面复杂性稍低。

后果

同样，这种事件造成的最小损害是计划外停机，持续的时间与从备份系统中恢复控制系统并重新启动工业过程所需要的时间一样，通常会损失5-10天的生产时间。但是，在最坏的情况下，重要的设备可能会受到无法挽回的损坏，更换所需成本较高，需要花费数周或数月的时间。

乌克兰攻击

No.6 攻击

简要描述

一个汇集了大批黑客主义者级别攻击者的组织，通过网络钓鱼攻击窃取了IT远程访问口令。这些攻击者最终攻破了IT网络的Windows域控制器，为自己创建新帐户，并赋予新帐户通用的管理特权，包括对ICS设备的访问权限。攻击者登录ICS设备并观察ICS中HMI的操作，直到他们掌握了许多屏幕和控件的功能。到这个时候，该组织接管了HMI，并使用它对物理过程进行了错误操作。同时，攻击者的同伴使用管理凭据登录ICS设备，擦除了硬盘驱动器，实际情况下还会擦除设备固件。

变化：针对其他行业时，仍然会发生类似的攻击行为，擦除控制系统设备并触发计划外的停机。

复杂程度

这是对2016年针对许多乌克兰配电公司的攻击中的攻击技术的总结。攻击者对网络系统有很好的了解，但对配电过程和控制系统的了解有限。

后果

在乌克兰被攻击的案例中，有超过200,000人的电力供应中断了长达8个小时。技术人员只能前往每个受影响的变电站，断开控制系统计算机的连接并再次手动打开电源时，才最终恢复供电。一般而言，系统计划外关闭是此类攻击的直接后果，并且可能是紧急情况下不受控制的关闭，伴随此类关闭的后果还有潜在的设备损坏。

复杂的乌克兰攻击

No.7 攻击

简要描述

一个更加老练的攻击组织使用了乌克兰攻击的技术，该组织精通网络攻击工具和电力系统的工程细节。除了在乌克兰攻击场景中其开展的行动之外，这个老练的攻击组织使用其攻陷的IT域控制器来破坏双因素身份验证，连接到受保护的中继设备并对其进行重新配置，从而有效地禁用了中继设备。这样攻击组织就可以非常迅速地连接和断开与受影响用户的电流[ 电流是指电网中各节点电压、线路上有功功率、无功功率的稳态分布。电力系统运行时，电流或功率在电源的作用下，通过系统各元件流入负荷，分布于电力网各处，称为潮流（潮流是指电网中各节点电压、线路上有功功率、无功功率的稳态分布。电力系统运行时，电流或功率在电源的作用下，通过系统各元件流入负荷，分布于电力网各处，称为潮流分布。）分布。从而损坏用户家庭和企业中的冰箱、抽水泵和其他电动机。攻击者还能对配电公司管理的少数高压输电变电站的潮流进行重新定向，从而使它们过载和过热来破坏高压变压器。

复杂程度

该攻击组织在网络和工程方面都非常精通和富有经验。

后果

此攻击的后果更为严重。零售商店中的许多大型冰箱会无法使用，给水系统中的大型水泵同样会受到损坏，用户家中的许多小型设备也无法使用。必须紧急更换高压变压器，这需要一周以上的时间。这种变压器在世界范围内没有库存，因此在生产替换变压器的同时，电网其他部分的冗余和容量也会减少，用来缓解紧急状况。

市场操纵

No.8 攻击

简要描述

有组织的犯罪集团利用暴露在Internet上服务中的已知漏洞，在IT网络中获得一个据点。他们将远程控制木马（RAT）工具植入受感染的系统，最终获得Windows系统域管理员的权限。攻击者进入信任IT Windows域的ICS计算机，并将RAT技术传播到这些计算机中。由于ICS计算机无法将流量路由到Internet，因此攻击者会通过已攻陷的IT设备通过对等连接来路由流量。一旦进入ICS网络，攻击者就会下载并分析控制系统配置文件。然后，他们对单个PLC进行重新编程，使其随意操作某单个重要的物理设备，同时向工厂HMI报告设备正常运行。在对该工厂的商品产出（例如汽油）需求很旺的季节，该设备会过早磨损。由于这种随机的设备故障，工厂将采取关闭措施以进行紧急维修。

同一攻击发生在附近的两个工厂。一旦设备出现故障，肇事者将从受影响工厂的ICS网络中清除所有留存的证据。受影响商品的价格在商品市场上飙升。当所有工厂的生产恢复正常时，商品价格恢复正常。这类攻击将在下一个需求旺季再次发生。

复杂程度

这种攻击和攻击者的网络复杂程度是中等的-不使用零日、也没有编写代码。但这种攻击的工程复杂度很高。攻击者需要接触能够解释控制系统配置的工程师，选择要控制的物理设备，识别控制该设备的PLC，下载该PLC的现有程序，并设计并上传新程序，以使目标物理设备过早磨损，同时向HMI报告设备运行正常。

后果

工厂停产和支出设备紧急维修费用。

复杂的市场操纵

No.9 攻击

简要描述

更多的网络复杂度高的攻击者实施了市场操纵攻击，但这种攻击方式难以防御。他们利用面向Internet系统中的已知漏洞，来攻击一家服务公司的IT网络，该服务公司向其真实目标提供服务。攻击者编写了自己的RAT恶意软件，仅将其部署在服务公司中，因此防病毒工具无法检测到RAT。攻击者使用RAT攻击需要日常访问实际目标的人员的笔记本电脑。当攻击者检测到被控制的笔记本电脑已连接到真实目标的IT网络时，就会通过远程控制操作RAT，并将RAT传播到目标的IT网络中。

在目标的IT网络内部，攻击者继续操作RAT。入侵检测系统对RAT的活动视而不见，因为攻击流量很小，使用命令行而不是远程桌面式通信，并且命令和控制通信采用隐蔽的方式编码，混淆在看似与被攻击网站之间的正常通信中。该攻击最终传播到ICS网络，其后果与“市场操纵”攻击相同。

复杂程度

这种攻击和攻击者的网络复杂度很高。没有使用零日漏洞，但是攻击者定制开发了采用隐写编码通信的恶意软件。像“市场操纵”攻击一样，工程复杂度也很高。

后果

工厂停产和支出设备紧急维修费用。

移动电话WIFI

No.10 攻击

简要描述

老练的攻击者出于某种原因，试图对他们感到不爽的区域进行攻击并造成伤害。攻击者开发了一个极具吸引力的手机应用程序-称之为世界上最奇妙的免费手电筒应用程序。攻击者使用有针对性的社交媒体攻击，诱使位于令其反感的区域内关键基础设施站点的上班族下载该应用程序。该应用程序需要的权限比正常手电筒应用程序真正需要的权限更高，问题就在于这些上班族在网络方面并不精通，并且没想太多就允许了。

该应用程序在手机的后台连续运行。在关键基础设施工作场所中，该应用程序指示手机定期扫描WIFI网络，并将此类网络报告给命令和控制中心。攻击者再次使用社交媒体、社会工程和网络钓鱼攻击来冒充目标组织的内部人员，并提取WIFI网络的口令。这些受口令保护的网络中有个别的就是关键基础设施工业控制系统的一部分。

攻击者利用被控制的手机登录这些网络，并通过远程控制探测网络，直到他们发现容易遭受简单拒绝服务攻击（例如擦除硬盘驱动器或SYN泛洪）的计算机组件。攻击者破坏了工厂的运行，触发了计划外的关停，然后断开与WIFI网络的连接，并在几天后重复这一操作。

变体：在ICS系统WIFI网络范围内工作的内部人员的笔记本电脑上植入恶意软件。

复杂程度

这种攻击目前需要高度的网络复杂性，因为开放的互联网上目前不存在能够从手机进行这种类型的隐藏WIFI黑客攻击的工具包，因此攻击者需要自己编写或购买该恶意软件。一旦此类攻击工具广泛且公开可用，此类攻击将属于黑客主义者组织，并且成为工业企业的困扰。攻击只需要较低的工程复杂性即可。

后果

要识别导致工厂反复关停的源头是困难的。工厂人员最终应确定攻击源是WIFI网络，并关闭工厂的所有WIFI，或者至少更改所有WIFI口令。