首页 > 清静研究 > 清静转达 > 清静简讯

【报告分享】卡巴斯基 - 2018下半年ICS威胁景观

宣布时间 2019-04-26

一、2018下半年主要攻击事务

1.1 针对工业行业的APT攻击

1.1.1 犯法团伙Leafminer的APT攻击

2018年8月一份新报告披露了犯法团伙Leafminer（又称RASPITE）的网络特工活动。。。。。该组织主要针对美国、欧洲、中东和东亚地区的政府机构以及商业和工业公司，，，其目的行业包括能源、政府、金融、航运和运输等。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

Leafminer攻击目的的行业漫衍（泉源：赛门铁克）

攻击者使用了多种果真或定制的工具、exploit以及水坑攻击和字典攻击，，，例如永恒之蓝的exploit和Mimikatz变体。。。。。

1.1.2 新恶意软件GreyEnergy

Eset研究职员报告了与犯法团伙BlackEnergy有关的多起攻击事务，，，在这些攻击中攻击者使用了一个新的恶意软件GreyEnergy。。。。。BlackEnergy先前已从APT研究职员的雷达上消逝，，，但这一次攻击者再次现身，，，主要针对中欧和东欧差别行业的工业网络，，，包括能源公司、运输公司等，，，并重点关注认真运营要害基础设施的企业。。。。。

研究职员发明GreyEnergy与2015年BlackEnergy用于攻击乌克兰电网的恶意软件保存看法上的相似之处。。。。。别的，，，研究职员还发明GreyEnergy与犯法团伙TeleBots的攻击活动保存关联。。。。。TeleBots以多起大规模攻击事务著名，，，例如2017年的NotPetya和BadRabbit。。。。。浚浚卡巴斯基研究职员随后发明GreyEnergy还与Sofacy（即APT28）的子团伙Zebrocy保存关联。。。。。

GreyEnergy具有模浚浚块化的系统结构，，，可允许攻击者通过加载相关DLL来组合差别的恶意软件功效。。。。。某些情形下，，，这些恶意模浚浚块从C&C效劳器下载并直接加载进内存（不写入磁盘文件，，，即无文件攻击）。。。。。GreyEnergy可网络受害者的凭证以渗透工控网络。。。。。该组织的工具包还包括开源工具Mimikatz、PsExec、WinExe和Nmap等。。。。。

GreyEnergy的初始攻击向量是垂纶邮件及企业的公共网络资源，，，虽然很有可能还包括其它攻击向量。。。。。

在之前的攻击活动中，，，该组织曾使用GE Cimplicity中的误差（CVE-2014-0751）在HMI效劳器上执行恶意.cim文件，，，并最终装置BlackEnergy。。。。。凭证卡巴斯基的研究，，，该组织还曾在2014年使用西门子WinCC中的误差（CVE-2014-8551）来渗透目的网络。。。。。在最近的攻击中该误差也曾被使用。。。。。

别的，，，已往该组织曾入侵目的企业的路由器并装置种种恶意模浚浚块和剧本，，，以举行横向移动。。。。。在最近的GreyEnergy攻击中尚未发明这种行为，，，但该行为很可能保存，，，由于该攻击向量对攻击者很是有利，，，可用于按期网络各个路由器型号保存的误差信息，，，包括0day。。。。。

1.1.3 攻击活动Sharpshooter

2018年12月McAfee检测到一个针对全球国防承包商、核能行业以及金融行业的攻击活动Sharpshooter。。。。。研究职员称Sharpshooter的主要目的是举行特工活动。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

Sharpshooter的目的行业和国家漫衍（泉源：McAfee）

熏染链始于包括恶意宏的Microsoft Word文档。。。。。该恶意宏作为一个典范的downloader，，，用于交付恶意植入物。。。。。攻击者通过Dropbox来分发受熏染的文件。。。。。该植入物（名为Rising Sun）是一个新的模浚浚块化后门，，，只在内存中运行，，，主要网络用户数据，，，包括盘算机名称、IP地点、系统信息等。。。。。网络到的数据被加密传输至攻击者的效劳器。。。。。浚浚卡巴斯基研究职员以为犯法团伙Lazarus与这些攻击活动保存关联。。。。。

1.1.4 攻击活动MuddyWater

2018年12月预赛门铁克报告了犯法团伙MuddyWater（又称Seed蠕虫）的特工攻击活动。。。。。攻击者主要针对中东、欧洲和北美地区的企业。。。。。凭证这项研究，，，2018年9月末至11月中旬时代共有30家企业的130名员工受到攻击，，，大大都受害者位于巴基斯坦和土耳其，，，尚有少数受害者位于俄罗斯、沙特阿拉伯、阿富汗、约旦等国家。。。。。攻击者主要瞄准的目的之一是油气行业。。。。。中东地区的大学和欧洲的中东大使馆同样遭到攻击。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

MuddyWater攻击目的的行业漫衍（泉源：赛门铁克）

1.1.5 攻击活动Cloud Hopper

2018年12月中旬，，，德国联邦信息清静办公室（BSI）向一些德国企业宣布了据称与APT10有关的CloudHopper攻击警报。。。。。BSI称多家大型工程企业已经遭到攻击，，，攻击者还对修建和质料学领域的企业感兴趣。。。。。

攻击者并没有直接攻击目的企业，，，而是通过渗透目的企业使用的小型云效劳和托管效劳供应商提倡攻击。。。。。这类供应商通常清静性较差，，，攻击者可以使用它们渗透目的公司的企业网络。。。。。

1.1.6 恶意软件Shamoon v.3

2018年12月10日，，，意大利石油和自然气公司Siapem遭到网络攻击。。。。。攻击者主要针对该公司位于中东、印度、苏格兰和意大利的效劳器，，，使用的恶意软件是Shamoon蠕虫的新变体Shamoon v.3。。。。。约有300到400台效劳器及100台事情站在此次攻击事务中受到影响。。。。。

在Saipem宣布声明之后，，，赛门铁克发明险些在统一时间尚有两家位于沙特阿拉伯和阿联酋的石油和自然气公司遭到类似的攻击。。。。。

Shamoon蠕虫首次泛起于2012年针对沙特阿拉伯国家石油公司Aramco和卡塔尔自然气公司Rasgas的攻击活动中。。。。。在2016-2017年的新一轮攻击中，，，攻击者使用了Shamoon的变种（Shamoon v2）和恶意软件StoneDrill。。。。。

在2018年的攻击活动中，，，陪同着Shamoon v.3泛起的尚有新数据擦除器Filerase。。。。。Filerase可擦除（覆写）受熏染系统上的文件。。。。。2018年的Shamoon攻击活动由于使用了Filerase而更具破损性。。。。。Shamoon可以擦除受熏染系统的主指导纪录（MBR），，，但硬盘上的文件可被恢复，，，而使用了Filerase之后任何文件都不可恢复。。。。。

Filerase具有模浚浚块化结构，，，包括多个用于在外地网络上举行撒播的组件。。。。。这意味着Filerase自己可以作为一个单独的威胁。。。。。Filerase在受害者的外地网络上撒播时，，，依赖一个目的名单来选取目的。。。。。在初始熏染历程中，，，该名单是由OCLC.exe组件复制的，，，并发送给Spreader.exe工具，，，后者将Filerase复制到名单上的机械。。。。。该名单是一个包括差别受害者名字的文本文件，，，这些名字很有可能是攻击者在攻击的早期阶段网络的。。。。。

McAfee的研究职员以为Shamoon v3攻击活动可能与伊朗犯法团伙APT33有关，，，或是另外一个犯法团伙伪装成APT33。。。。。赛门铁克研究职员持相赞成见。。。。。

2018年12月尾，，，Anomali Labs报告了Shamoon的另一个变体，，，该变体于12月23日被上传至VirusTotal。。。。。该变体伪装成百度公司的一个系统设置和优化工具举行撒播。。。。。

1.2网络犯法活动

1.2.1 勒索软件攻击

凭证卡巴斯基的数据，，，遭受勒索软件攻击的ICS盘算机比例从1.6%上升至2%。。。。。

WannaCry依旧是工业企业面临的一个真实的威胁，，，也是一个常见的威胁。。。。。凭证卡巴斯基的数据，，，WannaCry（28.72%）是勒索软件威胁中的领头羊（2018年第三季度）。。。。。纵然是在大规模爆发的一年之后，，，WannaCry依旧继续熏染工业企业的ICS网络，，，例如，，，2018年8月3日台积电（TSMC）的多家工厂遭到WannaCry攻击。。。。。凭证现有信息，，，熏染是由一个供应商在新生产工具上装置了受损软件导致的：该供应商并未举行任何清静扫描就将软件连入生产网络，，，导致恶意软件在台南、新竹和台中的多家工厂之间迅速撒播，，，台湾工厂的生产被迫中止了3天。。。。。

其它攻击事务还包括2018年11月28日莫斯科缆车公司（MCC）遭到的勒索软件攻击。。。。。该公司称在攻击时代其主要电脑系统上的文件均被加密，，，员工迅速阻止了缆车并疏散了旅客。。。。。攻击者要求支付比特币才会解密。。。。。该公司在两天后恢复了运营。。。。。

1.2.2 针对俄罗斯工业企业的垂纶攻击

2018年8月，，，卡巴斯基ICS CERT宣布针对俄罗斯工业企业的垂纶攻击的视察效果。。。。。攻击者的主要目的是从公司的账户中窃取款子。。。。。

攻击始于2017年11月，，，并且仍在一连。。。。。攻击者主要发送伪装成正当商业报价的垂纶邮件，，，邮件中的恶意附件受密码�；；；；；�，，，而密码附在邮件内容中。。。。。这类邮件自己经由高度伪装，，，切合公司的营业情形。。。。。在最近的一波攻击中，，，垂纶邮件伪装成受害企业的相助同伴。。。。。恶意附件中的剧本将在系统上装置恶意软件，，，然后毗连到攻击者的远程效劳器并下载之前偷窃的正当文档。。。。。

攻击者会在受熏染的系统上装置正当的远程治理工具（RAT）- 如TeamViewer和RMS。。。。。但恶意软件会隐藏这些RAT的图形界面，，，以在用户不知情的情形下控制受熏染的机械。。。。。

攻击者进而搜索系统上的财务和会计软件，，，并查找和剖析与采购相关的帐目文档、相助商的邮件地点以及与相助商的通讯往来，，，然后进一步使用这些私有数据举行财务诓骗，，，例如修改订单中的银行卡账号等。。。。。

更进一步地，，，攻击者会在须要的情形下装置更多的恶意软件（依受害者差别而差别），，，例如通过特工软件和Mimikatz窃取身份验证凭证，，，然后熏染企业网络中的更多机械。。。。。犯法分子还经常将恶意软件的组件伪装成Windows系统组件，，，以隐藏恶意活动的踪迹。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

攻击流程的整体示意图

卡巴斯基ICS CERT以为这些攻击很有可能是由俄语攻击者提倡的。。。。。

1.2.3 针对全球企业的垂纶攻击

2018年10月Yoroi CERT检测到几起针对意大利水师和国防企业的攻击活动。。。。。目的企业的员工吸收到携带恶意Excel文件的垂纶邮件。。。。。该恶意Excel旨在下载RAT木马MartyMcFly，，，攻击者可使用该木马控制目的机械及窃取数据。。。。。别的，，，攻击者还使用了另一个远程治理工具QuasarRAT（源代码在github上可用）的变体。。。。。

凭证卡巴斯基ICS CERT的说法，，，Yoroi报告中提到的垂纶邮件以差别的名称在全天下规模内撒播，，，目的国家包括德国、西班牙、保加利亚、哈萨克斯坦、印度、罗马尼亚等。。。。。目的企业涵盖多个笔直行业，，，从豆类供应商到咨询公司。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

垂纶邮件中恶意xlsx文件的漫衍（泉源：KSN）

卡巴斯基ICS CERT以为，，，此次攻击是由针对多个企业（有时包括要害基础设施）举行大规模垂纶攻击的相同犯法团伙提倡的。。。。。这些团伙专注于窃取款子和财务数据。。。。。

二、2018年ICS误差统计

ICS组件中的误差

本小节中的误差剖析是基于厂商通告、开源误差库（US ICS-CERT、CVE、西门子 CERT）的果真信息以及卡巴斯基ICS CERT的研究效果举行的。。。。。US ICS-CERT网站上的2018年误差信息被用作统计数据的泉源。。。。。

2.1 误差数目

2018年，，，US ICS-CERT网站上披露的ICS误差数目为415个 – 比2017年多了93个。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

US ICS-CERT披露的ICS误差数目

2.2 行业漫衍

ICS误差数目最多的行业是制造业（115）、能源业（110）及供水系统（63）。。。。。别的，，，食物加工/农业（49）和化学业（44）也排在前线。。。。。

2018年ICS误差的行业漫衍（基于US ICS-CERT的分类）

2.3 误差严重性漫衍

凌驾一半的ICS误差（284个，，，2017年为194个）的CVSS v.3.0评分高于7分，，，即为高危（high）或严重（critical）误差。。。。。

严重性评分	9 - 10 (严重)	7 - 8.9 (高危)	4 - 6.9 (中危)	0 - 3.9 (低危)
ICS误差数目	92	192	128	3

表1 – ICS误差的严重性漫衍

与前一年的数据相比，，，高危及严重误差的比例有所增添。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

2017 vs 2018，，，ICS误差的严重性漫衍（基于CVSS v3评分）

以下产品中包括评分为10分的误差：

Siemens TIM 1531 IRC Modules
Siemens SINUMERIK Controllers
Circontrol CirCarLife
NUUO NVRmini2 and NVRsolo
Emerson AMS Device Manager
Rockwell Automation RSLinx Classic
Schneider Electric U.motion Builder
Martem TELEM-GW6/GWM

大大都评分为10分的误差都是身份验证或缓冲区溢出问题。。。。。

应该注重的是，，，CVSS评分并未思量到ICS系统特有的清静性和差别企业工业流程的差别性，，，因此在评估ICS误差的严重性时，，，我们建议除了CVSS评分之外还要关注误差使用的可能效果，，，例如导致工业流程的中止或部分中止等。。。。。

2.4 类型漫衍

最常见的ICS误差类型是缓冲区溢出（栈缓冲区溢出、堆缓冲区溢出、典范缓冲区溢出）及不准确的输入验证。。。。。同时，，，16%的误差是身份验证问题（不准确的身份验证、身份验证绕过、要害功效缺失身份验证）和会见控制问题（会见控制、不准确的默认权限、不准确的权限治理、凭证治理），，，10%的误差是Web相关误差（注入、路径遍历、CSRF、XSS、XXE）。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

2018年ICS误差类型的漫衍

与前一年相比，，，缓冲区溢出误差的比例显著增添。。。。。我们以为这与清静研究职员对ICS组件中的误差越来越感兴趣有关，，，也与fuzzing等自动化测试手段的使用有关。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

2017 vs 2018, ICS误差类型的漫衍

攻击者可使用ICS组件中的误差触发恣意代码执行、工业装备的未授权控制及拒绝效劳（DoS）。。。。。主要的是，，，大大都误差（342个）可被远程使用，，，并且无需身份验证和专业知识/高级手艺。。。。。凭证US ICS-CERT的数据，，，23个误差的exploit果真可用，，，这增添了它们被恶意使用的危害。。。。。

2.5 受影响的ICS组件漫衍

误差数目最多的ICS组件包括：

工程软件（143个）
SCADA/HMI组件（81个）
专为工业情形设计的网络装备（66个）
PLC（47个）

受影响的ICS组件还包括工业盘算机和效劳（5%）、工业视频监控系统（4%）、种种场级装备和�；；；；；ぜ痰缙�。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

2018年ICS误差影响的组件漫衍

2.6 工程软件中的误差

易受攻击的工程软件包括差别的HMI/SCADA开发平台、控制器编程工具等。。。。。

工程软件中的清静问题通常是由第三方软件导致的。。。。。由于第三方组件的普遍使用，，，一旦泛起误差就会影响大宗工业产品。。。。。例如，，，西门子楼宇科技产品和西门子SIMATIC WinCC插件由于集成了包括误差的Sentinel LDK RTElicense治理器而易受攻击。。。。。别的，，，西门子的整个工业产品线都受到OpenSSL误差的影响。。。。。类似地，，，作为Floating License Manager的一部分，，，Flexera Publisher软件中的误差同时影响了施耐德的多个电气产品。。。。。

别的，，，应特殊注重用于会见ICS系统的移动APP（Android或iOS平台的智能手机、平板等）。。。。。易受攻击的此类产品案例包括SIMATIC WinCC OA iOS App、IGSS Mobile、SIMATIC WinCC OA UIMobile App、General Motors及OnStar (SOS) iOS客户端。。。。。此类移动APP越来越多地应用于ICS基础设施，，，但其清静水平仍有待提高，，，通过入侵移动APP可能导致整个ICS基础设施面临被入侵的危害。。。。。

另一个类似的清静问题与ICS和云手艺的连系有关。。。。。例如，，，2018年MindConnect Nano和MindConnect IoT2040（IoT硬件网关，，，用于毗连工业装备和西门子MindSphere云平台）就被发明易受攻击。。。。。

2.7 工业盘算机和效劳器中的误差

2018年工业盘算机和效劳器中的清静问题主要与主流供应商的芯片误差有关，，，例如熔毁和幽灵误差，，，尚有Spectre-NG误差。。。。。另一个影响大宗工业盘算机的误差是可信平台模浚浚块（TPM）中的RCE误差。。。。。这再一次证实晰，，，古板手艺（即非ICS特有的手艺）中的误差可以影响工业系统。。。。。

2.8 工业网络清静解决计划中的误差

除了ICS的硬件和软件组件中的误差之外，，，2018年研究职员还在工业网络的清静解决计划中发明了误差，，，例如Nortek的会见控制平台Linear eMerge E3 Series和罗克韦尔自动化的网络清静装备Allen-Bradley Stratix 5950。。。。。这再次提醒了我们，，，工业系统的清静不但与ICS硬件和软件组件有关，，，还与工业清静解决计划中的误差有关。。。。。

三、常见威胁

3.1 针对工业企业的垂纶攻击

包括恶意附件的垂纶邮件仍是渗透工业企业的主要攻击向量。。。。。在已往数年中，，，这类威胁已成为工业事情站的常见威胁。。。。。

许多垂纶邮件都经由了全心伪装：它们伪装成真实公司发出的商业信函、营业报价、约请函等。。。。。别的，，，一些垂纶攻击使用了正当的真实文档资料。。。。。这意味着垂纶攻击者将窃取正当信息作为准备活动的一部分。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

垂纶邮件样例

一样平常说来，，，针对工业企业的垂纶攻击其最终目的都是为了窃取款子。。。。。虽然，，，也有一些伪装成“标准”垂纶攻击的针对性攻击。。。。。

凭证鉴黑担保网统计，，，工业垂纶攻击不但针对企业网络中的效劳器，，，还针对工业基础设施中的一些盘算机。。。。。在全球规模内，，，至少4.3%的ICS盘算机曾检出过特工软件、后门和键盘纪录木马。。。。。这些恶意软件常由垂纶邮件举行分发。。。。。我们以为这些恶意软件的规模可能越发普遍，，，由于垂纶攻击者常更新或按期转换其恶意工具，，，使得一些最新样本未被统计到。。。。。

由于垂纶攻击者起劲使用垂纶邮件举行攻击，，，我们视察到受垂纶邮件攻击的ICS盘算机比例一直攀升。。。。。（与IT盘算机一样，，，OT盘算机通常也装置了邮件客户端，，，以跨公司交流信息 – 通�；；；；；故褂昧讼嗤挠始驶�。。。。。我们很少看到OT网络中使用了与IT差别的邮件帐户）。。。。。2018年下半年我们在全天下规模内都发明了这一增添。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

受垂纶邮件攻击的ICS盘算机比例

如上图所示，，，西欧地区意外地排名Top3：该地区的数字增添了2.7个百分点，，，其中增添幅度最大的是德国，，，该地区的数字险些翻番。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

西欧地区受垂纶邮件攻击的ICS盘算机比例

这导致了德国在全球排名中以6.5%位列第十三，，，而意大利（6.8%）则是唯一排名比德国高的欧洲国家。。。。。

值得注重的是，，，垂纶邮件中的许多恶意附件现在都是加密的压缩文件，，，密码附在邮件的正文之中。。。。。此举是为了逃避检测，，，通常情形下恶意软件只有在收件人翻开附件时才华检测到。。。。。

我们建议，，，所有公司都要提醒员工这一真正的威胁，，，并逊们识别攻击迹象，，，不要翻开可疑文件或点击链接，，，并将任何潜在事务通知网络清静部分。。。。。

3.2 检测样本

2018年下半年卡巴斯基的清静产品共在40.8%的ICS盘算机上检测到恶意样本。。。。。

这些恶意样本可归类于以下种别，，，列表中还标出了受此类样本攻击的ICS盘算机的比例。。。。。请注重由于统计数据接纳了基于署名和启发式的检测要领，，，一些无法区分的恶意软件样本被归类于Generic（通用）种别，，，这意味着某些类别的恶意软件的比例现实上要更高。。。。。

检测到的恶意样本归类及其比例：

15.9% - 列入黑名单的互联网资源

这类恶意样本通常是用户在浏览器中翻开一个恶意或受熏染的网页时下载得来。。。。。这些网页已被列入黑名单，，，因此大大都情形下清静产品通过检测URL即可发明攻击。。。。。这类资源常用于分发木马、特工软件和勒索软件，，，且通常伪装成各厂家控制器的破解工具或密码重置工具，，，也可能是伪装成工业/工程软件的破解版或补丁。。。。。

8.7% - 恶意剧本，，，网页重定向（JS和HTML），，，以及浏览器误差使用 – 0.17%
6.36% - 蠕虫，，，包括通过可移动媒体和网络共享撒播的蠕虫（Worm）、通过电子邮件撒播的蠕虫（Email-Worm）、通过网络误差撒播的蠕虫（Net-Worm）和即时谈天应用中的蠕虫（IM-Worm）。。。。。从网络基础设施的角度来看，，，大大都蠕虫都是过时的。。。。。

这一种别中的家族包括：

Worm.Win32.VBNA (0.2%)，，，泛起于2009年。。。。。
Worm.Win32.Vobfus (0.05%)，，，泛起于2012年，，，用于下载其它恶意软件（Zbot、Fareit、Cutwail等）。。。。。
Andromeda/Gamarue (0.69%)，，，该恶意软件构建的巨型僵尸网络于2017年被祛除。。。。。

尤其值得注重的是一个过时但耐久不衰的恶意软件NetWorm.Win32.Kido(3.14%)。。。。。自2010年问世以来，，，它一直是排名最高的检测样本之一。。。。。

别的，，，也保存像Worm.Win32.Zombaque (0.02%)这样的P2P网络架构的蠕虫，，，攻击者可以随时激活它们。。。。�；；；；；贡４媸褂肏TTP协议的活跃蠕虫，，，它们常由VBS编写，，，用于下载其它恶意软件，，，例如后门和特工木马等。。。。。

6.35% - 运行在浏览器中的挖矿木马

0.76% - Windows挖矿木马

5.78% - 恶意LNK文件

这类样本主要在可移动媒体上检测到，，，常作为其它恶意软件家族的撒播机制的一部分，，，例如Andromeda/Gamarue、Dorkbot、Jenxcus/Dinihou等。。。。。这一种别还包括CVE-2010-2568（该误差最早用于分发震网病毒）误差使用的LNK文件（0.66%）。。。。。该误差还被用于撒播Sality、Nimnul/Ramnit、ZeuS和Vobfus等家族。。。。。

现在，，，伪装成正当文档的LNK文件被用作多阶段垂纶攻击的一部分，，，用于运行PowerShell剧本并下载恶意payload。。。。。在少少数情形下，，，PowerShell剧本会下载一个Metasploit模浚浚块（Metasploit中的TCP后门）的特定变体。。。。。

2.85% - 包括exploits、恶意宏或恶意链接的恶意文档（MSOffice + PDF）
2.31% - 系统启动时或插入可移动媒体时自动运行的恶意文件（可执行文件、剧本、autorun.inf、.LNK文件等）

这类样原来自于多个家族，，，但都有一个配合点 – 自动运行。。。。。有害水平最低的样本是使用预界说的主页自动启动浏览器。。。。。许多使用autorun.inf的家族在网络基础设施方面都已过时（Palevo、 Sality和 Kido等）。。。。。

2.28% - 病毒

这类程序包括Virus.Win32.Sality (1.22%)、Virus.Win32.Nimnul (0.87%)和Virus.Win32.Virut (0.61%)家族（已一连多年）等。。。。。只管这些家族的网络基础设施都已失效，，，但由于自我撒播的特征和完全阻止它们的清静步伐的缺乏，，，它们仍在统计数据中占有大头。。。。。

2% - 勒索软件
1.26% - 银行木马
0.9% - AutoCad恶意软件

值得注重的是，，，AutoCad恶意软件，，，尤其是病毒，，，主要在东亚地区的ICS盘算机上检测到。。。。。该类恶意软件常在网络文件夹和工程事情站中发明。。。。。只管AutoCad恶意软件的熏染岑岭在2000年至2010年早期泛起，，，目今仍可发明活跃的样本。。。。。

0.61% - 针对移动装备的恶意文件（在装备毗连到盘算机时检测到）

3.3 针对汽车制造业的威胁Top3

从这份报告最先，，，我们将每六个月对一个行业的Top3威胁举行剖析。。。。。

针对汽车行业的攻击主要试图使用汽车的制造/诊断工业流程或车载系统，，，今天我们并没有发明这样的攻击。。。。。

但在2018年下半年，，，卡巴斯基的产品阻止了大宗针对汽车工厂装配线和市肆以及针对一级供应商工厂（包括运行汽车行业多种软件产品的Windows盘算机）的“通俗”恶意软件。。。。。这些恶意软件自己并不是针对ICS情形的，，，它们包括已知的病毒、挖矿软件、常见的特工软件等。。。。。只管这些恶意软件的目的是造成物理网络的损害，，，但其副作用可能会对ICS和OT系统的可用性和完整性造成重大影响。。。。。

主要的是要关注未来攻击的潜在危害，，，这些威胁的无邪性和针对性（多阶段恶意软件攻击）加剧了这一点。。。。。

3.3.1 Sality僵尸网络

其中一个最常见的威胁是Sality，，，它是一个着名的模浚浚块化多态病毒/蠕虫，，，最早泛起于2003年，，，并在2015年还在维护。。。。。

在已往，，，Sality的C&C效劳器用于下载下一阶段的恶意软件及窃取用户的账户凭证。。。。。但现在这些C&C已经不再可用，，，并且所有的Sality样本都可通过常见的AV手艺检测到。。。。。

只管云云，，，该恶意软件仍在全球网络继续撒播。。。。。浚浚卡巴斯基在汽车行业的大宗OT盘算机上检测到了Sality，，，我们以为现实受到熏染的OT盘算机数目更多。。。。。

Sality的自我撒播特征使得它成为OT/ICS基础设施的严重威胁，，，它可以触发拒绝效劳及由于恶意流量导致外地网络的性能下降。。。。。

3.3.2 Bladabindi/njRAT僵尸网络

针对汽车行业的另一个重大威胁是Bladabindi – 一个模浚浚块化的多功效僵尸网络署理，，，其形式是编译好的一组AutoIT剧本。。。。。它的后门/特工功效十分强盛，，，可允许攻击者窃取多种敏感信息。。。。。该僵尸网络还具有类似蠕虫的功效，，，可通过可移动媒体撒播。。。。。

它的C&C效劳器处于活跃状态，，，用于窃取敏感信息、分发下令和下载下一阶段恶意软件（恶意矿工、DDoS署理、勒索软件等）。。。。。攻击者使用动态DNS手艺来逃避检测和恶意软件剖析。。。。。由于功效强盛，，，Bladabindi可能对OT网络爆发重大影响。。。。。

3.3.3 AutoCAD僵尸网络

基于AutoCAD的僵尸网络是由AutoLISP (FAS)木马构建的，，，其C&C效劳器首次泛起于2013年。。。。。该僵尸网络仍然由攻击者举行维护。。。。。

FAS木马会改动AutoCAD的设置，，，使得每次用户翻开AutoCAD工程时都会执行该木马，，，这也导致每一个新建的项目都会受到熏染。。。。。

其C&C仍处于活跃状态,用于向受熏染的盘算机分发下一阶段恶意软件。。。。。目今，，，已知的唯逐一个这种payload的样例是一个VB剧本，，，该剧本用于修改浏览器的主页设置和将浏览器导航至恣意URL。。。。。

该木马主要针对亚洲（尤其是中国）的工业和工程企业，，，并且可能对OT网络造成严重影响。。。。。

可能的初始熏染路径：

附件中包括木马下载器acad.fas（隐藏在AutoCAD制图中）的电子邮件，，，该邮件由不受嫌疑的承包商/分包商正当工程师发送。。。。。
攻击者发送的垂纶邮件，，，同样携带包括acad.fas的附件
携带acad.fas的可移动媒体（如U盘）
外地网络上的共享文件（包括隐藏的acad.fas）

值得注重的是，，，在盘算机被熏染后，，，受害者会在不知情的情形下通过USB、电子邮件、外地和云共享文件继续撒播受熏染的AutoCAD工程文件。。。。。
希奇的是，，，C&C效劳器端的代码对传入的请求做了一些检查（例如IP地点的国家过滤），，，若是检查失败，，，则不会交付第二和第三阶段payload（例如IP地点所在的国家不切合攻击者的兴趣）。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

可能的初始熏染路径

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

攻击杀戮链

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

第一阶段FAS木马的代码片断

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

第二阶段FAS木马的代码片断

第三阶段VB 剧本样例

四、威胁统计

本报告中的统计数据都是经由允许从KSN用户的盘算机上匿名网络得来。。。。。

4.1 研究要领

卡巴斯基ICS CERT将企业中的工业基础设施归类为ICS盘算机。。。。。相关统计数据从这一类别的盘算机上网络得来。。。。。这些盘算机包括运行以下功效的Windows盘算机：

? 数据收罗与监控效劳器（SCADA）；；；；；
? 数据存储效劳器（Historian）；；；；；
? 数据网关（OPC）；；；；；
? 工程师和操作员的牢靠事情站；；；；；
? 工程师和操作员的移动事情站；；；；；

? 人机界面（HMI）。。。。。

还包括从工控网络治理员以及工业自动化系统开发职员的盘算机上网络到的数据。。。。。

在本报告中，，，遭受攻击的盘算机是指在报告时代鉴黑担保网清静解决计划至少被触发一次的盘算机。。。。。遭受攻击的盘算机的比例是指遭受攻击的盘算机（去重）占所有样本盘算机（在报告时代向我们发送了匿名数据的盘算机）的比例。。。。。

通常情形下，，，由于工业网络的限制，，，ICS效劳器和工程师/操作员的牢靠事情站不是24小时联网的。。。。。这类盘算机可能只在，，，例如维护时代，，，才华联网。。。。。

系统/网络治理员、工程师、工业自动化系统的开发职员和集成职员的事情站可能会经常联网，，，甚至可能是24小时联网。。。。。

因此，，，2018年下半年鉴黑担保网样本盘算机中约有40%的盘算机是按期或全天联网的。。。。。其余机械的联网时间不凌驾一个月，，，其中许多是远远少于这个时间的。。。。。

4.2遭受攻击的ICS盘算机比例

2018年整年遭受攻击的ICS盘算机比例相比2017年增添了3.2个百分点，，，达47.2%。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

2017 vs 2018，，，遭受攻击的ICS盘算机比例

2018年下半年（H2），，，全球遭受攻击的ICS盘算机比例与上半年（H1）相比稍微下降，，，下降了0.37个百分点，，，至40.8%.

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

遭受攻击的ICS盘算机比例

2018年5月至8月时代这一数字曾下降趋势，，，但从9月最先又泛起了新的增添，，，最终一直稳固在22%之上。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

2018年遭受攻击的ICS盘算机比例（月度漫衍）

与2017年相比，，，2018年每个月份的数字都要更高。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

2017 vs 2018，，，遭受攻击的ICS盘算机比例（月度漫衍）

4.3 恶意软件的种别漫衍

2018年下半年，，，卡巴斯基共检测到2700个家族的1.91万个ICS恶意软件变体。。。。。与以前一样，，，绝大大都针对ICS的攻击案例都是随机攻击，，，而不是针对性攻击。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

遭受攻击的ICS盘算机比例（恶意软件种别漫衍）

木马仍是最常见的威胁，，，与2018年上半年相比，，，后门（Backdoor）的份额增添了1个百分点，，，勒索软件（Trojan-Ransom）则增添了0.44个百分点。。。。。

2017 – 2018，，，遭受攻击的ICS盘算机比例（恶意软件种别漫衍）

4.4 地理漫衍

下面的地图显示了差别国家的ICS盘算机遭受攻击的比例。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

2018年下半年，，，ICS攻击*的地理漫衍

*该国家遭受攻击的ICS盘算机比例

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

2018年下半年，，，ICS攻击比例最高的国家/地区（Top 15）

与2018年上半年相比，，，ICS攻击比例国家排名的前五名没有变换，，，但Morocco（现在处于第三名）和Tunisia（第四名）交流了位置。。。。。

2018年下半年俄罗斯遭受攻击的ICS盘算机比例是45.3%，，，和上半年（44.7%）处于统一水平。。。。。俄罗斯的排名是第16名。。。。。

排名中较为清静的国家/地区是爱尔兰（11.7%）、瑞士（14.9%）、丹麦（15.2%）、中国香港（15.3%）、英国（15.7%）和荷兰（15.7%）。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

2018年下半年ICS攻击比例最低的国家/地区

若是凭证地理区域来划分，，，差别区域之间的数字同样相差很大。。。。。非洲、东南亚和东亚一直是排名较高的地区。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

2018年H1和H2，，，ICS攻击比例的地理区域漫衍

4.5 熏染源

已往数年间，，，互联网、可移动媒体和电子邮件成为ICS盘算机的主要威胁泉源。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

ICS盘算机*的主要威胁泉源（以六个月为统计周期）

* 遭受攻击的ICS盘算机比例

2018年下半年，，，互联网是26.1%的ICS攻击的威胁泉源。。。。。与2018年上半年相比，，，这一数字稍微下降，，，而与之相反的是电子邮件威胁的比例稍微增添。。。。。其它主要熏染源的份额与2018年上半年的水平相差不大。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

ICS盘算机的主要威胁泉源（以六个月为统计周期）

4.6 主要熏染源的地区漫衍

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

2018年下半年，，，ICS盘算机主要威胁泉源的地理漫衍

4.6.1 互联网

在所有的差别地区，，，互联网都是主要的威胁泉源。。。。。但整体而言北欧、西欧和北美的威胁数字较低。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

2018年下半年，，，遭受互联网威胁攻击的ICS盘算机比例（按地区漫衍）

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

2018年下半年，，，互联网威胁排名较高的国家/地区Top15

4.6.2 可移动媒体

针对ICS的可移动媒体威胁比例较高的地区是非洲、南亚和东南亚，，，较低的地区是北美、澳大利亚和北欧。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

2018年下半年，，，遭受可移动媒体威胁攻击的ICS盘算机比例（按地区漫衍）

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

2018年下半年，，，可移动媒体威胁排名较高的国家/地区Top15

4.6.3 邮件客户端

针对ICS的电子邮件威胁比例较高的地区是拉丁美洲、南欧和西欧，，，但整体而言各个地区的数字相差不大。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

2018年下半年，，，遭受恶意邮件威胁攻击的ICS盘算机比例（按地区漫衍）

德国在电子邮件威胁比例较高的国家/地区Top15中上榜，，，值得注重的是该国家在其它方面都未上榜。。。。。

2018年下半年，，，电子邮件威胁排名较高的国家/地区Top15

原文链接：
https://securelist.com/threat-landscape-for-industrial-automation-systems-in-h2-2018/90041/

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究

【报告分享】卡巴斯基 - 2018下半年ICS威胁景观

关于鉴黑担保网

解决计划

联系鉴黑担保网

7*24小时效劳热线