OT网络深层攻防技术专题之三：定向ICS/OT勒索软件攻击的演进

勒索软件攻击是指在收到赎金之前拒绝用户访问系统的一类网络攻击，它已迅速成为全球最有利可图的网络犯罪之一，主要针对企业、政府机构和关键基础设施。与专注于数据窃取或服务中断的传统恶意软件不同，勒索软件独特的商业模式是拒绝访问数据和系统，直到收到付款。

勒索软件通过安装程序植入系统，利用侦察模块绘制目标，传播代理扩大感染，逃避模块禁用安全工具，加密引擎封锁数据，赎金界面施压受害者，命令和控制进行远程管理，加密货币模块处理支付，解密框架和擦除模块完成勒索过程，其复杂性远超传统恶意软件，需专门防御。

1、何为定向ICS/OT勒索？

勒索软件攻击者传统上专注于典型的IT系统，但在过去十年中，他们已经将攻击能力扩展到ICS环境。RaaS的普及也降低了瘫痪交通、水利、制造业和医疗保健等关键基础设施的技术门槛。然而，大多数影响工业设施的勒索软件在最初的攻击后仍然依赖于传统的传播方法，缺乏定制的OT攻击功能。尽管如此，由于IT/OT融合而不断扩大的攻击面为勒索软件渗透到关键任务系统提供了更大的机会。一旦进入ICS环境，即使是传统的勒索软件也会对可用性和安全性造成严重影响。

OT恶意软件是针对操作技术（OT）环境设计的专用软件，主要攻击对象包括工业控制系统、监控和数据采集系统（SCADA）以及其他与关键基础设施相关的设备。其最终目的是破坏、操纵或中断关键业务流程，从而导致生产浪费、数据损失或安全隐患，可能引发广泛的经济和社会影响。攻击者通过OT恶意软件能够实现对基础设施的渗透，进而实现其破坏性目的。

借鉴OT恶意软件的定义，这里对尝试对定向ICS/OT勒索攻击进行界定，即ICS/OT定向勒索软件攻击（OT-Directed Ransom Attack，ICS-OT Directed Ransomware）是指专门针对工业控制系统/运营技术环境实施的勒索软件攻击。此类攻击的主要目标是关键基础设施和工业运营，攻击者通过渗透OT网络，控制关键设备或系统，威胁停工、数据泄露或系统破坏，以受害者支付赎金。如果从普渡模型的层次上看，对于Level 3至Level 0层中非IT设备的勒索攻击视为OT定向的勒索软件攻击。

基于OT系统中也有IT有事实，本文的定向OT勒索软件攻击是从攻击目标上进行了区分，即以对典型控制系统/控制设备（包含楼宇自动化（BAS）、物理接入控制系统（PACS）等）、通信设备、SIS设备的勒索。

IT勒索软件攻击是一种高利润的商业操作，专业攻击者期望通过上述三板斧（加密受害者的数据、威胁泄露受害者的隐私数据、威胁攻击受害者的客户）获得高额赎金。但IT勒索者的套路在OT/ICS定向勒索中却难以得逞。从技术上讲，如果加密正确，且攻击者提供了可靠的解密密钥，则解密ICS-OT数据库和进程文件是可能的。但是攻击者先前加密的ICS-OT系统的任何部分，在解密后都可能无法安全运行。用户可以根据需要获取解密密钥，但不能将其用于控制关键的面向安全（safety）流程的系统。显然，这一点适用于面向安全（safety）的系统。故仅凭用户数据实施勒索对攻击者而言可能没有收益。

勒索软件的攻击方式不断演变，不再局限于传统的数据加密，不再用于敲诈勒索，而是蓄意破坏工业设备、破坏流程，以及直接操纵物理安全系统参数和设置。大量有记录的活动表明，攻击者有意操纵、破坏控制逻辑，迫使涡轮机和发动机等设备处于安全控制之外的物理危险状态，并禁用那些检测和自动缓解不安全状况的内置故障保险装置和人为警报。

攻击者对安全仪表系统、保护继电器、紧急关闭阀和其他网络物理安全机制表现其极大的兴趣，尝试、探索以了解响应情况并评估造成现实世界损害的能力。攻击者还表现出对操纵化学品、石油、天然气和水的物理流量和储罐液位的兴趣，以评估作为环境攻击媒介的潜力。这些技术超越了传统的数据加密，可以故意制造工业事故和损害场景。

在2014年的Black Hat USA安全会议上，佐治亚理工学院（GIT）的研究团队提出了针对ICS/SCADA系统的概念验证（PoC）勒索软件LogicLocker，其概念验证（PoC）展示了勒索软件对工业控制系统的潜在威胁。LogicLocker能够识别其在装有PLC软件的计算机上的运行情况、锁定设备并在后台更改PLC参数。

该勒索软件主要针对三种PLC系统：Schneider Modicon M221、Allen Bradley MicroLogix 1400和Schneider Modicon M241。它利用API接口扫描ICS系统内已知安全漏洞设备，通过感染和绕过方式突破安全机制，锁定设备合法用户，并在程序中设置逻辑炸弹，作为赎金勒索之用。

攻击者可能通过复杂的恶意软件注入攻击至少这三种设备，被攻击的设备随后被用来签署恶意交易。一种可能的攻击场景是，勒索软件感染水处理设施的关键网络，改变水处理参数，在饮用水中添加更多的氯或其他化学物质，然后要求巨额赎金来解锁和恢复PLC。

该勒索软件的触发器可能包括对联网ICS设备的初始感染，以及通过内网和感染设备发现存在漏洞和脆弱性的PLC设备。攻击者可以利用这些脆弱性进行横向和纵向渗透，最终锁定目标PLC并索要赎金。

2017年4月初，以色列工业网络安全公司CRITIFENCE发布了勒索软件验证模型，基于清除PLC的梯形逻辑图的勒索软攻击的原型，又名能源清除（ClearEnergy）。

ClearEnergy以强大的加密算法感染计算机并加密其内容，然后要求受害者支付赎金来解密该数据。该勒索软件旨在破坏关键基础设施，SCADA和工业控制系统中的过程自动化逻辑。如核电厂和设备厂，水和废物设施，运输基础设施等。一旦在受害机器上执行ClearEnergy，它将搜索易受攻击的可编程逻辑控制器（PLC），以便从PLC抓取梯形图逻辑图，并尝试将其上传到远程服务器。最后，ClearEnergy将启动一个定时器，它将触发一个进程，在一小时后从所有PLC中擦除逻辑图，除非受害者愿意支付赎金来停止攻击。

ClearEnergy的影响范围包括Schneider Electric Unity系列PLC和2.6版以及更高版本的Unity OS，其他领先供应商的PLC型号包括GE和Allen-Bradley（MicroLogix系列），这些产品也被发现易受ClearEnergy攻击的破坏。

CRITIFENCE公司的科研人员发在2017年还发现两个PLC漏洞：CVE-2017-6032和漏洞CVE-2017-6034。施耐德电气已经证实，Modicon系列PLC产品容易受到CRITIFENCE发现的漏洞所攻击，并发布了重要的网络安全通知。美国国土安全部的ICS-CERT也发布了一项重要的通知表示：施耐德电气确认的基本缺陷允许攻击者轻松猜测一个弱（1字节长度）的会话密钥（256种可能性），甚至可以嗅探。使用会话密钥，攻击者能够完全控制控制器，读取控制器的程序并用恶意代码重写。

3、锁死固件更新的勒索--Scythe

2017年4月27日在SecurityWeek新加坡ICS网络安全会议上，ICS安全顾问Alexandru Ariciu提出了一个名为“Scythe”的勒索软件概念。概念验证则是由安全公司CRITIFENCE和佐治亚理工学院的研究人员共同开发的，Scythe勒索软件主要针对的是专用逻辑控制器（PLC）和其他通常被认为风险较低的SCADA设备。

Ariciu在会议上警告说，这些不构成明显风险的任务关键型控制系统可能会被利益驱动的网络犯罪分子和其他威胁行为者劫持并利用进行攻击。他指出，这些设备位于现场设备和OPC服务器（例如远程终端单元或RTU）之间，负责各种类型的输入/输出（I/O）系统。这些设备由嵌入式操作系统驱动，并运行Web服务器，且数以千计的此类系统可以通过互联网轻松访问，攻击者可以通过使用非法版本替换其固件来劫持它们。

Scythe勒索软件的攻击目标是那些能够通过互联网访问的、缺乏身份验证机制的SCADA设备。攻击者通过扫描网络寻找潜在目标，并利用搜索引擎如Shodan或Google来识别这些设备。一旦确定目标，攻击者会通过硬件调试了解设备的工作原理，并开发针对特定产品的漏洞利用。

Scythe的触发器是攻击者成功入侵目标设备并安装恶意固件的时刻。受害者在尝试访问设备时会收到勒索通知，要求支付赎金以恢复设备功能。如果受害者支付赎金，攻击者声称能够恢复设备及其配置，但实际上固件更新功能会被禁用，使得受害者难以自行恢复设备。

Ariciu强调，这种攻击可能会造成严重破坏，因为这些设备通常是任务关键型系统的一部分，受害者支付赎金的可能性较大。他还提到，许多组织承认他们从未考虑过备份配置，尤其是因为这些设备一旦部署就很少重新配置，这可能导致在设备受到攻击时产生严重的后果。

4、ICS拒绝服务的勒索-DM-PLC

DM-PLC（Dead Man’s PLC）是一种针对操作技术（OT）环境设计的新型网络勒索攻击技术。它利用OT环境中现有的功能和通信机制，创建一个隐蔽的监控网络，将PLC（可编程逻辑控制器）和工程工作站（EW）连接起来，使它们能够相互轮询，监控攻击行为的任何偏差。DM-PLC通过在PLC上部署特殊设计的恶意代码，使得一旦受害者尝试更改受攻击者控制的环境或未及时支付赎金，就会触发类似于“死亡开关”的机制，导致所有PLC将输出设置为“ON”状态，可能在物理环境中造成严重混乱。这种攻击方式规避了现有的响应和恢复策略，因为它不需要对PLC进行系统级访问或修改，而是通过现有的通信和安全功能来实施勒索。

DM-PLC成功实施后的后果：

物理环境混乱：DM-PLC激活后，所有PLC的输出可能被设置为“ON”状态，这可能导致物理设备如电机、传送带、阀门等的非预期操作，进而在工业环境中造成混乱和潜在的物理损害。

要求支付赎金：攻击者可能会要求受害者支付赎金以换取停止攻击和恢复系统正常运行的密钥。

系统恢复困难：由于DM-PLC使用现有功能和通信机制，受害者很难在不触发恶意代码的情况下恢复系统。攻击者还可能通过设置密码保护和加密来阻止受害者访问或更改PLC和EW上的配置和代码。

合规性和信任问题：受影响的组织可能面临监管机构的审查，特别是如果它们负责关键基础设施或处理敏感数据。此外，客户和合作伙伴的信任可能受损。

为了防范未来的攻击，组织可能需要加强其OT环境的安全措施，包括改进监控、加强访问控制、定期进行安全审计和更新安全策略。DM-PLC代表了一种新的、更为隐蔽和具有破坏性的网络勒索攻击方式，对OT环境的安全性提出了新的挑战。

5、中断工业进程后加密的勒索--EKANS

EKANS勒索软件于2019年12月首次被发现，代表了针对工业控制系统(ICS)和监控与数据采集(SCADA)环境的网络威胁的显著发展。与主要影响IT网络的传统勒索软件不同，EKANS 专门包含一个旨在终止与ICS操作相关的进程的“终止列表”。这种有针对性的方法反映了一种令人担忧的趋势，即攻击者展示了对ICS特定功能的理解，标志着勒索软件策略的转变。

EKANS勒索实施的前序步骤，通常是通过网络钓鱼或利用漏洞利用渗透到企业网络。一旦进入，恶意软件就可以手动或通过脚本执行。这种方法有利于大规模入侵，使攻击者能够在整个网络中传播勒索软件。

EKANS的主要目标是关键的ICS进程，包括与数据历史数据库和人机界面 (HMI) 相关的进程。通过终止这些进程，EKANS可能导致工业运营的可见性和控制力丧失，这可能对制造业和能源行业造成不利影响。例如，终止与GE的Proficy数据历史数据库相关的进程可能会导致大量数据丢失和运营停机，从而影响整体效率和安全性。据Accenture Security MegaCortex 勒索软件报告，EKHANS拟终止进程列表上有252个进程名。

执行后，EKANS会加密文件并留下勒索信，要求支付解密费用。此类攻击的后果不仅限于直接的经济损失。ICS运营中断可能会导致长时间停机、监管罚款和潜在的安全隐患。组织可能会被迫恢复手动操作，从而导致额外的运营效率低下和风险。

此外，EKANS的广泛影响凸显了资产所有者迫切需要加强其网络安全态势。了解和规划 ICS 资产和连接对于减轻此类勒索软件带来的风险至关重要。EKANS的特殊性强调了主动措施在防御针对关键基础设施的新兴网络威胁方面的重要性。随着勒索软件不断发展，警惕和准备对于保障工业运营至关重要。

6、加密RTU系统文件的勒索--GhostSec勒索

2023年1月，GhostSec黑客组织声称成功加密了历史上第一个RTU（远程终端单元），引发了对工业勒索软件关注的新一轮讨论。尽管这一声明的真实性受到质疑，但它确实突显了工业控制系统（ICS）面临的潜在威胁。RTU勒索软件的出现，预示着攻击者可能从传统的IT系统转向针对操作技术（OT）的攻击，尤其是那些对关键基础设施至关重要的系统。

网络安全公司Red Balloon研究人员在后续的分析中指出了RTU勒索的一些挑战，在警告和常规的基础上指出了一个相当极端的步骤：禁用或以其他方式修改工业设备。这表明RTU勒索在技术上是可能的，只不过多数专家认为RTU或PLC级别的“真正”工业勒索软件的要求和影响都使得犯罪分子参与其中的可能性很小。因为回报似乎太微薄，无法证明与此类行动相关的技术投资和政治风险是否合理。

一种更为合理的解释，或者可能代表了一种更隐匿的趋势，国家支持的攻击者使用类似勒索软件的操作作为破坏性网络攻击的掩护。这种伪装成勒索软件的行为已经发生过多次，其效果、影响和误导程度各不相同。

RTU勒索软件的潜在影响是巨大的。它不仅可能导致生产中断和经济损失，还可能引发安全事故和环境风险。与传统的IT勒索软件不同，针对RTU和PLC（可编程逻辑控制器）的攻击可能直接影响到物理过程，造成更严重的后果。