针对PLC、SCADA的工控勒索软件悄然兴起 众多厂商都将受影响

在对关键基础设施和SCADA/ICS的网络威胁中,一类针对工控系统的勒索软件验证模型,最近正变的流行起来。

2017年2月份佐治亚理工学院电气和计算机工程学院的科学家们在有限的范围内模拟了一个概念勒索软件(LogicLocker),主要目的是使用勒索软件的攻击手法来攻击关键基础设施、SCADA和工业控制系统。

2017年4月初,CRITIFENCE发布了勒索软件验证模型:ClearEnergy(中文译名:能源清除)

2017年4月27日,安全周(Security Week )发表了一篇关于锁住ICS固件来勒索的软件 “Scythe”的文章。

在此,介绍一下最新的两款勒索软件:ClearEnergy、Scythe。

ClearEnergy主要利用PLC漏洞

CRITIFENCE的关键基础设施和SCADA/ICS网络威胁研究小组的科研人员发表声明称,发现两个PLC漏洞:CVE-2017-6032和漏洞CVE-2017-6034

CRITIFENCE安全研究员公布了供应商施耐德电气公司的UMAS协议中的一个潜在安全漏洞。 UMAS协议似乎存在一个关键漏洞,该漏洞是由于协议会话密钥设计不良,从而会导致身份验证失效。“UMAS是2.6系列中的Unity系列PLC和Unity OS中使用在管理控制层的内核级协议。 它依赖于Modicon Modbus协议,关键基础设施,SCADA和工业控制系统中的通用协议,用于访问从PLC到SCADA系统的未分配和分配的内存”。 令研究人员担心的是,它可能在未来几年内没有办法完全得到修复,因为它涉及到众多的硬件和供应商。

据了解,施耐德电气已经证实,Modicon系列PLC产品容易受到CRITIFENCE发现的漏洞所攻击,并发布了重要的网络安全通知。 国土安全部(ICS-CERT)也发布了一项重要的通知表示: 施耐德电气确认的基本缺陷允许攻击者轻松猜测一个弱(1字节长度)的会话密钥(256种可能性),甚至可以嗅探。 使用会话密钥,攻击者能够完全控制控制器,读取控制器的程序并用恶意代码重写。

在2017年4月初,CRITIFENCE发布了勒索软件验证模型,基于清除PLC的梯形逻辑图的勒索软件攻击的原型。又名能源清除(ClearEnergy)。

ClearEnergy以强大的加密算法感染计算机并加密其内容,然后要求赎金来解密该数据。

ClearEnergy旨在破坏关键基础设施,SCADA和工业控制系统中的过程自动化逻辑。如核电厂和设备厂,水和废物设施,运输基础设施等。一旦在受害机器上执行ClearEnergy,它将搜索易受攻击的可编程逻辑控制器(PLC),以便从PLC抓取梯形图逻辑图,并尝试将其上传到远程服务器。最后,ClearEnergy将启动一个定时器,它将触发一个进程,在一小时后从所有PLC中擦除逻辑图,除非受害者愿意支付赎金来停止攻击。

ClearEnergy影响了世界上最大的SCADA和工业控制系统制造商的大量PLC型号。施耐德电气,AB,通用电气(GE)以及更多厂商都容易受到ClearEnergy的伤害。

影响范围:包括Schneider Electric Unity系列PLC和2.6版以及更高版本的Unity OS,其他领先供应商的PLC型号包括GE和Allen-Bradley(MicroLogix系列),这些产品也被发现易受ClearEnergy攻击的破坏。

值得注意的是ClearEnergy的关键部分(虽然不是完整部分)在GitHub上开源。任何人都可以下载获得并修改。

ClearEnergy概念模型的运行界面如下:

ULKG的运行界面:

MRCT的运行界面:

Scythe主要利用固件绕过漏洞

2017年4月27日,安全周(Security Week)发布了一篇题为“ New SCADA Flaws Allow Ransomware, Other Attacks ”的文章,该文章源于ICS安全公司Applied Risk 于2017年新加坡ICS网络安全会议的演讲。该演讲和文章强调了ICS ransomware,该公司称之为“Scythe”。

“Scythe”攻击目标是“SCADA设备”。可以利用固件验证绕过漏洞,并锁住升级更新固件的功能。“Scythe”的ransomware攻击也可以针对不显眼的SCADA设备,并且可能被认为风险较小。

应用风险开发和演示的攻击场景将从攻击者扫描Web的潜在目标开始。据Ariciu介绍,许多设备可以使用Shodan搜索引擎进行识别,但通过简单的Google搜索可以找到更多的目标。

作者Ariciu已经对来自不同供应商的四台设备进行了测试,发现可以直接从互联网访问近10,000个系统。研究人员表示,这些系统中的大多数都缺少任何身份验证机制,方便访问。

该攻击依赖于固件验证绕过漏洞,可以利用该漏洞将恶意软件替换为合法固件。在Applied Risk描述的ransomware场景中,攻击者连接到目标设备的接口,为目标设备的配置创建一个备份,并安装可以破坏常规进程的固件。

受害者看到受感染的设备已经断开连接,当他们访问它进行分析时,他们会收到ransomware消息。

Scythe勒索软件的勒索界面如下:

为了防止受害者恢复固件,攻击者可以“禁用”固件和配置更新功能。在大多数情况下,“恢复出厂设置”功能不会减轻攻击,因为进程不会恢复原始固件。不过,黑客也可以禁用此功能。

虽然Ariciu描述的攻击防止受害者恢复固件,但如果受害者支付赎金,攻击者仍然可以恢复设备及其配置。这是因为固件更新功能实际上没有被禁用。用户需要知道固件文件的名称才能启动更新。如果攻击者分配了32个字符或更多的随机文件名,那么受害者将无法确定它来进行固件更新。

研究人员已经警告说,一旦确定特定设备如何被入侵,攻击者就可能通过利用供应商提供的固件更新实用程序来发起大规模攻击。

受到警告的用户表示,他们从未考虑进行配置备份,特别是因为这些设备在部署后很少被重新配置。但是,考虑到花费大量时间配置设备,丢失配置可能会产生严重的后果。

受影响的四家公司表示。这些设备的价格介于€300至€1,000之间,也就是说设备的价格很贵。其中有两家厂商承认固件验证绕过漏洞的严重性。但他们表示,修复安全漏洞并不是一件容易的事情,他们仍然在寻求解决问题的最佳方法。

商业模式与勒索软件的博弈

在2017年1月下旬,据报告,勒索软件感染了一个豪华的奥地利酒店,阻止了给客人制作新的房间钥匙卡,基本上锁定他们的房间。由于每个酒店房间每晚花费高达几百美元,受害者决定支付大约1600美元的攻击者来恢复系统并继续正常的业务操作。

虽然PLC、ICS网络到目前为止没有受到恶意勒索软件的攻击。但不是因为他们更安全,而是犯罪份子在之前的很长一段时间里没有找到一个合适的商业模式。随着网络犯罪分子明显抓住勒索软件的盈利能力,他们似乎开始将ICS网络视为下一个潜在的受害者,因为这些系统很少受到特别的保护。

针对工控系统里的勒索软件发展速度如此的快,在两个月的时间里:从LogicLocker到ClearEnergy的功能已经比较完善了,再到Scythe的出现。这是值得引起我们警示的。设备商、用户、安全厂商都要提前做好防御措施,才能在未来打好这场硬仗。