为设施创建威胁信息防御
演示了一个威胁场景,以解释资产所有者如何使用MITRE ATT&CK用于ICS矩阵,从利用不同的数据收集中受益。
ICS矩阵的MITRE ATT&CK提供了一个通用的术语,允许资产所有者、安全研究人员和顾问、内部防御者和产品供应商更好地沟通对手的技术。对于有经验的人来说,这里面没有什么新鲜的,但革命性的是技术的分类和有用的指导,比如用于检测的数据源。它有助于规范这些不同小组之间的讨论,以帮助检测和响应的自动化,以及更普遍的总体风险讨论。
使用下面概述的威胁场景,我们将以MITRE ATT&CK用于ICS技术为例,演示资产所有者如何从利用不同的数据收集方法中受益,以创建威胁知情防御。
情况简介
观察:
由于工厂冷却过程中更换了交流电机驱动,第三方在现场更新一些控制逻辑。作为此更新的一部分,第三方带来了一块可移动媒体。根据策略,由于停机即将结束,为了方便起见,我们选择了快速病毒扫描,而物理驱动器更换所需的时间比预期的要长。这些文件大多采用专有的控制系统可执行格式,AV引擎无法理解,并且由于担心误报导致停机,因此根据原始制造商的建议进行了实际扫描。恶意软件扫描的结果没有任何警告。
根据控制系统操作手册的要求,技术人员以域管理员身份登录保存所有控制代码的主要工程工作站上。然后他们插入USB驱动器并开始将文件从USB驱动器复制到主代码存储库文件共享中。同样,所有目录和文件扩展名都不受正常恶意软件扫描的影响,这个过程也不受任何白名单的影响,因为这是更新系统的唯一方法。作为工厂和现场验收测试(FAT/SAT)的一部分,已由所有适当的权威机构进行风险评审/验收。
然后技术人员通过系统软件更新所有控制器,这实际上只是使用FTP/SMB将文件复制到其他工作站和控制器。然后开始系统初始化,并运行所有正常的启动序列。在这一点上,每个人都很高兴。技术人员前往机场,工厂启动并开始工作。
工厂的维护工作在旺季前一个季度完成。这使电厂有时间运行,并在负载管理小组在关键天气期间将其置于必须运行的状态之前进行审查。在此期间没有发现任何问题。
然后,在一年中最热的一天,事情变得非常糟糕。电网在平衡发电和不断增长的负荷需求方面已经遇到了麻烦。电网监管机构已经在自愿减负荷协议下利用了其容量管理。
在工厂运行的现场,所有四个机组都在顺利运行。事实上,对炎热的夏天经验丰富的工厂负责人注意到,考虑到所有的环境压力,水厂的运行温度比预期的要低。几个月前的升级肯定效果很好。然后,所有四个装置都进入紧急关闭状态。一旦冷却系统完全失效,就会发出警报,安全系统就会启动,以防止机组发生灾难性故障。
不幸的是,突然失去发电和惯性会导致本已紧张的电网电压崩溃,并导致区域停电。由于冷却系统的维修,这些机组将需要几天或几周的时间才能恢复运行。
未被注意的:
第三方供应商的网络遭到了未被发现的破坏,更具体地说,他们的中央代码库系统遭到了破坏。作为该应用最流行的控制系统的主要增值经销商(VAR),他们是主要目标。坏人已经在那里呆了几个月了,他们一直在代码库中寻找高价值的客户文件。他们知道标准程序是在进行系统更新时发布整个代码分支,因此复制的文件比需要的要多,而且技术人员从不审查实际复制的文件。
他们利用这一点来植入假文件,这些文件实际上是恶意软件,但实际上是合法代码。同样,没有人会计算或检查实际的文件名。这样做的好处是,所有正常的制衡都被绕过了。没有必要担心恶意软件检查,因为文件总是豁免的。没有理由担心权限升级,因为代码已经是域管理员了。
没有理由担心被复制,因为它已经在白名单网络进程下被复制了,该进程使用可信协议来自可信源。作为维护工作的一部分,人工智能算法不会尖叫或被抑制。再说一次,这是正常的,被认可的工作。与较大的数据集相比,恶意软件文件很小,因此没有人会注意到传输过程中额外的几千字节。
这个恶意软件有定时器。自从被安装到系统中,它就在等待着做自己的事情。它所做的第一件事是联系到控制系统的活动目录控制器(DC),该控制器恰好运行在工程服务器上——it不监视它,因为它们被排除在这些系统之外——并开始查询组。它会自动创建几个熟悉的组和帐户,都具有高度特权访问。
它还查看主机上的本地防火墙规则,并确定允许向外访问53。由于这是一个DC,它也是一个正向域名系统(DNS)查找服务器,因此可以通过DNS访问互联网。同样,这里没有什么值得怀疑的。由于没有由于不幸的防火墙规则设置而违反防火墙,因此不会向安全操作中心发送警报。
一旦恶意软件接触伪造的DNS主机,它就开始利用DNS导入新的代码并导出关键的系统数据。他们导出的第一件事是所有AD组的加密包。恶意分子利用这一点来确定有一个管理组在180天内没有更改密码或登录。
他们重置了这个账户的密码然后用它多出了几条通道。它们还包括对网络上使用的控制协议的访问,以及用于为该冷却系统加载固件的控制器管理协议。
参与者在此期间还发现,虽然每个单元都有自己的冷却设置,但它们都被方便地绑定到来自同一供应商的同一监控基础设施中。这使得操作人员可以通过一个人机界面(HMI)管理所有4个单元,但也允许恶意分子轻松地在整个站点复制他们的攻击。
在接下来的几个月里,恶意分子会花时间用新的可执行文件替换工程服务器上的可执行文件,改变可编程逻辑控制器(plc)的操作模式以接受新的代码和固件,并慢慢地推出可用于掩盖实际情况的新固件。例程操作实际上承担了大部分在正常例程下推出新代码的繁重工作,因此由不良行为者自己执行的高风险活动非常少。
关键时刻到了,坏演员们已经准备好了。他们一直在观察热浪向你所在地区移动时对其他公用电网的影响。即使没有任何额外的帮助,老式的不太复杂的设备也一直在故障。攻击首先向控制器发送一个命令,让控制器开始隐藏温度和压力读数,降低冷却系统的性能。机械冷却塔上的风扇被告知以应有的比例运行。水泵被告知要比应有的力度更大、速度更快,所有这些都导致水温和水压缓慢而稳定地上升。最终,这将推动所有系统中最薄弱的点在很短的时间内失效。
-本文最初发表于工业卫士网站.工业的后卫是CFE Media的内容合作伙伴。由Chris Vavra编辑,web内容经理,CFE Media,cvavra@cfemedia.com.
原始内容可以在www.industrialdefender.com.
您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献,并获得你和你的公司应得的认可。点击在这里开始这个过程。
