久久久91-久久久91精品国产一区二区-久久久91精品国产一区二区三区-久久久999国产精品-久久久999久久久精品

2020年3月23日，知名安全廠商火眼公司的研究人員Jeffrey Ashcraft、Daniel Kapellmann Zafra、Nathan Brubaker在其官網(wǎng)上發(fā)布了題為《監(jiān)視ICS網(wǎng)絡(luò)行動(dòng)工具和軟件利用模塊以預(yù)測(cè)未來的威脅》博文。文章指出，專用于ICS的入侵和攻擊工具的普遍可用性正在擴(kuò)大，使得針對(duì)運(yùn)營(yíng)技術(shù)（OT）網(wǎng)絡(luò)和工業(yè)控制系統(tǒng)（ICS）的攻擊者群體更加方便行動(dòng)。之前人們對(duì)OT威脅和攻擊的認(rèn)識(shí)，還停留在“對(duì)這些系統(tǒng)的成功入侵和攻擊通常需要專門的知識(shí)，成功攻擊OT/ICS系統(tǒng)是有很高門檻的”這種層面?，F(xiàn)在看來，對(duì)于經(jīng)驗(yàn)不那么老道的威脅行為者，由于入侵和攻擊工具通常是由具有專業(yè)知識(shí)的人開發(fā)的，因此這些工具的易得性可以幫助其繞開獲取某些專業(yè)知識(shí)的障礙，或者可以幫助他們更快地獲取必要的知識(shí)。而對(duì)于經(jīng)驗(yàn)豐富的威脅行為者，他們可能會(huì)傾向于使用已知的工具和漏洞來掩飾和隱藏自己的身份，也使其TTP甚至攻擊軌跡“大隱于市”不易暴露。這也再次警示眾多OT/ICS供應(yīng)商和運(yùn)營(yíng)者，相關(guān)攻擊技術(shù)的低門檻、攻擊工具易獲得，將加劇工業(yè)企業(yè)網(wǎng)絡(luò)安全的威脅態(tài)勢(shì)，而且高能力的攻擊對(duì)手將變更加難以發(fā)現(xiàn)和追蹤。

在過去的數(shù)十年中，針對(duì)運(yùn)營(yíng)技術(shù)（OT）/工業(yè)控制系統(tǒng)（ICS）的網(wǎng)絡(luò)攻擊僅有很少量的被記錄在案。雖然攻擊數(shù)量少是一件好事，但缺乏足夠的樣本量來確定風(fēng)險(xiǎn)閾值可能會(huì)使防御者難以理解威脅環(huán)境，確定網(wǎng)絡(luò)安全工作的優(yōu)先級(jí)并證明資源分配的合理性。

為了解決這個(gè)問題，F(xiàn)ireEye Mandiant威脅情報(bào)部門發(fā)布一系列報(bào)告，專注于不同指標(biāo)來預(yù)測(cè)未來的威脅。來自暗網(wǎng)論壇上的活動(dòng)的洞察力、現(xiàn)場(chǎng)軼事、ICS漏洞研究以及概念驗(yàn)證等等研究，使得即使在事件數(shù)據(jù)有限的情況下，也可以說明威脅的情況。此篇博客文章重點(diǎn)介紹了其中一種來源，面向ICS的入侵和攻擊工具，在本文中將其統(tǒng)稱為網(wǎng)絡(luò)行動(dòng)工具。

面向ICS的網(wǎng)絡(luò)行動(dòng)工具是指具有利用ICS弱點(diǎn)或與設(shè)備進(jìn)行交互的能力的硬件和軟件，威脅者可以利用這種方式來支持入侵或攻擊行動(dòng)。在此博客文章中，研究人員將漏洞利用模塊與其他網(wǎng)絡(luò)行動(dòng)工具分離開來，這些漏洞利用模塊被開發(fā)為可在Metasploit、Core Impact或Immunity Canvas之類的框架上運(yùn)行，因?yàn)檫@些框架的的數(shù)量很多。

網(wǎng)絡(luò)行動(dòng)工具降低了攻擊者所需ICS專業(yè)知識(shí)的門檻

由于ICS是信息和計(jì)算機(jī)技術(shù)的一個(gè)獨(dú)特子域，因此，針對(duì)這些系統(tǒng)的成功入侵和攻擊通常需要專門的知識(shí)，從而為成功攻擊樹立了更高的門檻。由于入侵和攻擊工具通常是由具有專業(yè)知識(shí)的人開發(fā)的，因此這些工具可以幫助威脅行為者繞過自己獲取某些專業(yè)知識(shí)的需求，或者可以幫助他們更快地獲取必要的知識(shí)。另外，經(jīng)驗(yàn)豐富的行為者可能會(huì)訴諸使用已知的工具和漏洞來掩飾自己的身份或最大化其預(yù)算。

標(biāo)準(zhǔn)化網(wǎng)絡(luò)行動(dòng)工具的開發(fā)和隨后采用，通常表明其對(duì)抗能力不斷增強(qiáng)。無論這些工具是由研究人員開發(fā)的概念驗(yàn)證工具，還是在過去的事件中使用的工具，對(duì)它們的訪問都可以降低各種參與者學(xué)習(xí)和發(fā)展未來技能或自定義攻擊框架的障礙。在此前提下，對(duì)于那些使用各種已知攻擊工具就能達(dá)到攻擊意圖的設(shè)備，就成了攻擊者唾手可得的目標(biāo)。

ICS網(wǎng)絡(luò)行動(dòng)工具分類

Mandiant Intelligence跟蹤了大量公開可用的ICS專用網(wǎng)絡(luò)行動(dòng)工具。使用的術(shù)語(yǔ)“特定于ICS”沒有硬性規(guī)定。盡管跟蹤的絕大多數(shù)網(wǎng)絡(luò)行動(dòng)工具都是明確的案例，但在某些情況下，已經(jīng)考慮了工具創(chuàng)建者的意圖以及該工具對(duì)ICS軟件和設(shè)備的合理可預(yù)見的影響。同時(shí)，也排除了基于IT的工具，但這些工具可能會(huì)影響OT系統(tǒng)，例如商用惡意軟件或已知的網(wǎng)絡(luò)實(shí)用程序。僅包含少數(shù)例外，其中識(shí)別了使工具能夠與ICS進(jìn)行交互的特殊修改或功能，例如nmap腳本。

根據(jù)功能，研究人員將每個(gè)工具分配給十個(gè)不同類別或類中的至少一個(gè)。這十個(gè)類別分別是軟件漏洞利用、網(wǎng)絡(luò)發(fā)現(xiàn)、無線電、Fuzzer、惡意軟件、硬件、在線偵察、紅外、知識(shí)庫(kù)、勒索軟件。

雖然列表中包含的某些工具早在2004年就已創(chuàng)建，但大多數(shù)開發(fā)都發(fā)生在過去10年中。大多數(shù)工具也與供應(yīng)商無關(guān)，或針對(duì)某些最大的ICS原始設(shè)備制造商（OEM）的產(chǎn)品而開發(fā)。西門子在這一領(lǐng)域脫穎而出，其中有60％的特定于供應(yīng)商的工具可能針對(duì)其產(chǎn)品。其他工具也針對(duì)施耐德電氣、GE、ABB、Digi International、羅克韋爾自動(dòng)化和Wind River Systems的產(chǎn)品而開發(fā)。

圖2按類型描述了工具數(shù)量。值得注意的是，網(wǎng)絡(luò)發(fā)現(xiàn)工具占工具的四分之一以上。強(qiáng)調(diào)指出，在某些情況下，軟件開發(fā)工具可以托管擴(kuò)展的模塊存儲(chǔ)庫(kù)，以定位特定的產(chǎn)品或漏洞。

軟件利用模塊

考慮到軟件漏洞利用模塊的整體簡(jiǎn)單性和可訪問性，它們是網(wǎng)絡(luò)行動(dòng)工具中數(shù)量最多的子組件。開發(fā)漏洞利用模塊的最常見方式是利用特定漏洞并自動(dòng)執(zhí)行漏洞利用過程。然后將該模塊添加到漏洞利用框架。該框架用作存儲(chǔ)庫(kù)，其中可能包含數(shù)百個(gè)針對(duì)各種漏洞、網(wǎng)絡(luò)和設(shè)備的模塊。最受歡迎的框架包括Metasploit、Core Impact和Immunity Canvas。此外，自2017年以來，研究人員已經(jīng)確定了較年輕的ICS專用漏洞利用框架的開發(fā)，例如自動(dòng)部署、工業(yè)漏洞利用框架（ICSSPLOIT）和工業(yè)安全漏洞利用框架。

鑒于漏洞利用模塊的簡(jiǎn)單性和可訪問性，它們對(duì)具有各種技能水平的威脅行為者有吸引力。即使是不太熟練的威脅行為是也可能會(huì)利用漏洞利用模塊，而無需完全了解漏洞的工作原理或不知道利用漏洞所需的每個(gè)命令。盡管跟蹤的大多數(shù)利用模塊可能是為研究和滲透測(cè)試開發(fā)的，但它們也可以在整個(gè)攻擊生命周期中使用。

利用模塊統(tǒng)計(jì)

自2010年以來，Mandiant Intelligence跟蹤了三個(gè)主要利用框架的利用模塊：Metasploit、Core Impact和Immunity Canvas。研究人員目前跟蹤與超過500個(gè)漏洞相關(guān)的數(shù)百個(gè)ICS專用漏洞利用模塊，其中71％是潛在的零日漏洞。如圖3所示。目前，Immunity Canvas的利用最多，主要是由于俄羅斯安全研究公司 GLEG的努力。

Metasploit框架漏洞利用模塊值得特別關(guān)注。盡管模塊數(shù)量最少，但Metasploit是免費(fèi)提供的，并且廣泛用于IT滲透測(cè)試，而Core Impact和Immunity Canvas都是商業(yè)工具。這使得Metasploit在這三個(gè)框架中最為方便利用。但是，這意味著模塊開發(fā)和維護(hù)由社區(qū)提供，這很可能導(dǎo)致模塊數(shù)量減少。

同樣值得由ICS產(chǎn)品供應(yīng)商檢查漏洞利用模塊的數(shù)量。分析結(jié)果如圖4所示，其中顯示了利用模塊數(shù)量最多（超過10個(gè)）的供應(yīng)商。

圖4不是針對(duì)某個(gè)供應(yīng)商，而是哪些產(chǎn)品受到漏洞利用作者的最多關(guān)注。造成這種情況的因素有很多，其中包括可供測(cè)試的軟件的可用性，針對(duì)特定漏洞編寫漏洞利用程序的總體難度，或者漏洞如何與漏洞利用者的專業(yè)知識(shí)相匹配。

圖中包括的一些供應(yīng)商已被其他公司收購(gòu)，但是由于在收購(gòu)之前已發(fā)現(xiàn)漏洞，因此分別進(jìn)行了跟蹤。施耐德電氣就是一個(gè)例子，該公司于2011年收購(gòu)了7-Technologies，并更改了其產(chǎn)品組合的名稱。特別強(qiáng)調(diào)，該圖僅計(jì)算漏洞利用模塊，而不考慮漏洞利用的程度。來自不同框架的模塊可以針對(duì)同一漏洞，并且每個(gè)模塊都應(yīng)單獨(dú)計(jì)數(shù)。

ICS網(wǎng)絡(luò)行動(dòng)工具和軟件開發(fā)框架彌補(bǔ)了知識(shí)和專業(yè)技能的空白

研究人員和安全從業(yè)人員經(jīng)常發(fā)布的ICS專用網(wǎng)絡(luò)行動(dòng)工具是有用的資產(chǎn)，可幫助組織了解持續(xù)存在的威脅和產(chǎn)品漏洞。但是，由于是公開可用的內(nèi)容，它們也可以降低對(duì)以O(shè)T網(wǎng)絡(luò)為目標(biāo)的威脅參與者的門檻。盡管成功地對(duì)OT環(huán)境進(jìn)行攻擊通常需要威脅參與者具備高水平的技能和專業(yè)知識(shí)，但本文中討論的工具和漏洞利用模塊使得彌合這種知識(shí)差距變得更加容易。

意識(shí)到ICS網(wǎng)絡(luò)行動(dòng)工具的泛濫，應(yīng)該成為不斷演變的威脅格局的重要風(fēng)險(xiǎn)指標(biāo)。這些工具為防御者提供了在測(cè)試環(huán)境中進(jìn)行風(fēng)險(xiǎn)評(píng)估并利用匯總數(shù)據(jù)進(jìn)行溝通并從公司高管獲得支持的機(jī)會(huì)。那些不關(guān)注可用的ICS網(wǎng)絡(luò)行動(dòng)工具的組織，對(duì)于尋求新功能的老練攻擊者和缺乏經(jīng)驗(yàn)的威脅參與者而言，都有可能成為容易得手的目標(biāo)。

來源：網(wǎng)信防務(wù)