首页 > 安全钻研 > 安全传递 > 安全简讯

【汇报分享】卡巴斯基 - 2018下半年ICS威胁景观

颁布功夫 2019-04-26

一、2018下半年重要攻击事务

1.1 针对工业行业的APT攻击

1.1.1 犯罪团伙Leafminer的APT攻击

2018年8月一份新汇报披露了犯罪团伙Leafminer（又称RASPITE）的网络间谍活动。该组织重要针对美国、欧洲、中东和东亚地域确当局机构以及贸易和工业公司，其指标行业蕴含能源、当局、金融、航运和运输等。

GA黄金甲·(中国区)官方网站

Leafminer攻击指标的行业散布（起源：赛门铁克）

攻击者使用了多种公开或定造的工具、exploit以及水坑攻击和字典攻击，例如永恒之蓝的exploit和Mimikatz变体。

1.1.2 新恶意软件GreyEnergy

Eset钻研人员汇报了与犯罪团伙BlackEnergy有关的多起攻击事务，在这些攻击中攻击者使用了一个新的恶意软件GreyEnergy。BlackEnergy先前已从APT钻研人员的雷达上隐没，但这一次攻击者再次现身，重要针对中欧和东欧分歧业业的工业网络，蕴含能源公司、运输公司等，并沉点关注掌管运营关键基础设施的企业。

钻研人员发现GreyEnergy与2015年BlackEnergy用于攻击乌克兰电网的恶意软件存在概想上的类似之处。此表，钻研人员还发现GreyEnergy与犯罪团伙TeleBots的攻击活动存在关联。TeleBots以多起大规模攻击事务闻名，例如2017年的NotPetya和BadRabbit�？ò退够暄腥嗽彼婧蠓⑾諫reyEnergy还与Sofacy（即APT28）的子团伙Zebrocy存在关联。

GreyEnergy拥有�？榛南低辰峁�，可允许攻击者通过加载有关DLL来组合分歧的恶意软件职能。某些情况下，这些恶意�？榇覥&C服务器下载并直接加载进内存（不写入磁盘文件，即无文件攻击）。GreyEnergy可网络受害者的痛处以渗入工控网络。该组织的工具包还蕴含开源工具Mimikatz、PsExec、WinExe和Nmap等。

GreyEnergy的初始攻击向量是垂钓邮件及企业的公共网络资源，当然很有可能还蕴含其它攻击向量。

在之前的攻击活动中，该组织曾利用GE Cimplicity中的缝隙（CVE-2014-0751）在HMI服务器上执行恶意.cim文件，并最终装置BlackEnergy。凭据卡巴斯基的钻研，该组织还曾在2014年利用西门子WinCC中的缝隙（CVE-2014-8551）来渗入指标网络。在最近的攻击中该缝隙也曾被利用。

此表，从前该组织曾入侵指标企业的路由器并装置各类恶意�？楹途绫�，以进行横向移动。在最近的GreyEnergy攻击中尚未发现这种行为，但该行为很可能存在，由于该攻击向量对攻击者极度有利，可用于定期网络各个路由器型号存在的缝隙信息，蕴含0day。

1.1.3 攻击活动Sharpshooter

2018年12月McAfee检测到一个针对全球国防承包商、核能行业以及金融行业的攻击活动Sharpshooter。钻研人员称Sharpshooter的重要主张是进行间谍活动。

GA黄金甲·(中国区)官方网站

Sharpshooter的指标行业和国度散布（起源：McAfee）

习染链始于蕴含恶意宏的Microsoft Word文档。该恶意宏作为一个典型的downloader，用于交付恶意植入物。攻击者通过Dropbox来分发受习染的文件。该植入物（名为Rising Sun）是一个新的�？榛竺�，只在内存中运行，重要网络用户数据，蕴含推算机名称、IP地址、系统信息等。网络到的数据被加密传输至攻击者的服务器�？ò退够暄腥嗽币晕缸锿呕風azarus与这些攻击活动存在关联。

1.1.4 攻击活动MuddyWater

2018年12月初赛门铁克汇报了犯罪团伙MuddyWater（又称Seed蠕虫）的间谍攻击活动。攻击者重要针对中东、欧洲和北美地域的企业。凭据这项钻研，2018年9月末至11月中旬期间共有30家企业的130名员工受到攻击，大无数受害者位于巴基斯坦和土耳其，还有少数受害者位于俄罗斯、沙特阿拉伯、阿富汗、约旦等国度。攻击者重要对准的指标之一是油气行业。中东地域的大学和欧洲的中东大使馆同样遭到攻击。

GA黄金甲·(中国区)官方网站

MuddyWater攻击指标的行业散布（起源：赛门铁克）

1.1.5 攻击活动Cloud Hopper

2018年12月中旬，德国联国信息安全办公室（BSI）向一些德国企业颁布了据称与APT10有关的CloudHopper攻击警报。BSI称多家大型工程企业已经遭到攻击，攻击者还对构筑和资料学领域的企业感兴致。

攻击者并没有直接攻击指标企业，而是通过渗入指标企业使用的幼型云服务和托管服务供给商提议攻击。这类供给商通常安全性较差，攻击者能够利用它们渗入指标公司的企业网络。

1.1.6 恶意软件Shamoon v.3

2018年12月10日，意大利石油和天然气公司Siapem遭到网络攻击。攻击者重要针对该公司位于中东、印度、苏格兰和意大利的服务器，使用的恶意软件是Shamoon蠕虫的新变体Shamoon v.3。约有300到400台服务器及100台工作站在这次攻击事务中受到影响。

在Saipem颁布申明之后，赛门铁克发现险些在统一功夫还有两家位于沙特阿拉伯和阿联酋的石油和天然气公司遭到类似的攻击。

Shamoon蠕虫初次出现于2012年针对沙特阿拉伯国度石油公司Aramco和卡塔尔天然气公司Rasgas的攻击活动中。在2016-2017年的新一轮攻击中，攻击者使用了Shamoon的变种（Shamoon v2）和恶意软件StoneDrill。

在2018年的攻击活动中，陪伴着Shamoon v.3出现的还有新数据擦除器Filerase。Filerase可擦除（覆写）受习染系统上的文件。2018年的Shamoon攻击活动由于使用了Filerase而更具粉碎性。Shamoon能够擦除受习染系统的主疏导纪录（MBR），但硬盘上的文件可被复原，而使用了Filerase之后任何文件都不成复原。

Filerase拥有�？榛峁�，蕴含多个用于在本地网络上进行传布的组件。这意味着Filerase自身能够作为一个单独的威胁。Filerase在受害者的本地网络上传布时，依赖一个指标名单来拔取指标。在初始习染过程中，该名单是由OCLC.exe组件复造的，并发送给Spreader.exe工具，后者将Filerase复造到名单上的机械。该名单是一个蕴含分歧受害者名字的文本文件，这些名字很有可能是攻击者在攻击的早期阶段网络的。

McAfee的钻研人员以为Shamoon v3攻击活动可能与伊朗犯罪团伙APT33有关，或是另表一个犯罪团伙假装成APT33。赛门铁克钻研人员持一样定见。

2018年12月底，Anomali Labs汇报了Shamoon的另一个变体，该变体于12月23日被上传至VirusTotal。该变体假装成百度公司的一个系统配置和优化工具进行传布。

1.2网络犯罪活动

1.2.1 勒索软件攻击

凭据卡巴斯基的数据，遭逢勒索软件攻击的ICS推算机比例从1.6%上升至2%。

WannaCry仍旧是工业企业面对的一个真实的威胁，也是一个常见的威胁。凭据卡巴斯基的数据，WannaCry（28.72%）是勒索软件威胁中的领头羊（2018年第三季度）。即便是在大规模发作的一年之后，WannaCry仍旧持续习染工业企业的ICS网络，例如，2018年8月3日台积电（TSMC）的多家工厂遭到WannaCry攻击。凭据现有信息，习染是由一个供给商在新出产工具上装置了受损软件导致的：该供给商并未进行任何安全扫描就将软件连入出产网络，导致恶意软件在台南、新竹和台中的多家工厂之间迅快传布，台湾工厂的出产被迫中断了3天。

其它攻击事务还蕴含2018年11月28日莫斯科缆车公司（MCC）遭到的勒索软件攻击。该公司称在攻击期间其重要电脑系统上的文件均被加密，员工迅快终场了缆车并分散了乘客。攻击者要求支付比特币才会解密。该公司在两天后复原了运营。

1.2.2 针对俄罗斯工业企业的垂钓攻击

2018年8月，卡巴斯基ICS CERT颁布针对俄罗斯工业企业的垂钓攻击的调查了局。攻击者的重要指标是从公司的账户中窃取金钱。

攻击始于2017年11月，并且仍在持续。攻击者重要发送假装成合法贸易报价的垂钓邮件，邮件中的恶意附件受密码�；�，而密码附在邮件内容中。这类邮件自身经过高度假装，切合公司的业务情况。在最近的一波攻击中，垂钓邮件假装成受害企业的合作同伴。恶意附件中的剧本将在系统上装置恶意软件，而后衔接到攻击者的远程服务器并下载之前偷窃的合法文档。

攻击者会在受习染的系统上装置合法的远程治理工具（RAT）- 如TeamViewer和RMS。但恶意软件会暗藏这些RAT的图形界面，以在用户不知情的情况下节造受习染的机械。

攻击者进而搜索系统上的财政和管帐软件，并查找和分析与采购有关的帐目文档、合作商的邮件地址以及与合作商的通讯往来，而后进一步利用这些私罕见据进行财政诓骗，例如批改订单中的银行卡账号等。

更进一步地，攻击者会在必要的情况下装置更多的恶意软件（依受害者分歧而分歧），例如通过间谍软件和Mimikatz窃取身份验证痛处，而后习染企业网络中的更多机械。犯罪分子还时时将恶意软件的组件假装成Windows系统组件，以暗藏恶意活动的踪影。

GA黄金甲·(中国区)官方网站

攻击流程的整体示意图

卡巴斯基ICS CERT以为这些攻击很有可能是由俄语攻击者提议的。

1.2.3 针对全球企业的垂钓攻击

2018年10月Yoroi CERT检测到几起针对意大利水师和国防企业的攻击活动。指标企业的员工接管到携带恶意Excel文件的垂钓邮件。该恶意Excel旨鄙人载RAT木马MartyMcFly，攻击者可利用该木马节造指标机械及窃取数据。此表，攻击者还使用了另一个远程治理工具QuasarRAT（源代码在github上可用）的变体。

凭据卡巴斯基ICS CERT的说法，Yoroi汇报中提到的垂钓邮件以分歧的名称在全世界领域内传布，指标国度蕴含德国、西班牙、保加利亚、哈萨克斯坦、印度、罗马尼亚等。指标企业涵盖多个垂直行业，从豆类供给商到征询公司。

GA黄金甲·(中国区)官方网站

垂钓邮件中恶意xlsx文件的散布（起源：KSN）

卡巴斯基ICS CERT以为，这次攻击是由针对多个企业（有时蕴含关键基础设施）进行大规模垂钓攻击的一样犯罪团伙提议的。这些团伙专一于窃取金钱和财政数据。

二、2018年ICS缝隙统计

ICS组件中的缝隙

本幼节中的缝隙分析是基于厂商布告、开源缝隙库（US ICS-CERT、CVE、西门子 CERT）的公开信息以及卡巴斯基ICS CERT的钻研了局进行的。US ICS-CERT网站上的2018年缝隙信息被用作统计数据的起源。

2.1 缝隙数量

2018年，US ICS-CERT网站上披露的ICS缝隙数量为415个 – 比2017年多了93个。

GA黄金甲·(中国区)官方网站

US ICS-CERT披露的ICS缝隙数量

2.2 行业散布

ICS缝隙数量最多的行业是造作业（115）、能源业（110）及供水系统（63）。此表，食品加工/农业（49）和化学业（44）也排在前列。

2018年ICS缝隙的行业散布（基于US ICS-CERT的分类）

2.3 缝隙严沉性散布

超过一半的ICS缝隙（284个，2017年为194个）的CVSS v.3.0评分高于7分，即为高危（high）或严沉（critical）缝隙。

严沉性评分	9 - 10 (严沉)	7 - 8.9 (高危)	4 - 6.9 (中危)	0 - 3.9 (低危)
ICS缝隙数量	92	192	128	3

表1 – ICS缝隙的严沉性散布

与前一年的数据相比，高危及严沉缝隙的比例有所增长。

GA黄金甲·(中国区)官方网站

2017 vs 2018，ICS缝隙的严沉性散布（基于CVSS v3评分）

以下产品中蕴含评分为10分的缝隙：

Siemens TIM 1531 IRC Modules
Siemens SINUMERIK Controllers
Circontrol CirCarLife
NUUO NVRmini2 and NVRsolo
Emerson AMS Device Manager
Rockwell Automation RSLinx Classic
Schneider Electric U.motion Builder
Martem TELEM-GW6/GWM

大无数评分为10分的缝隙都是身份验证或缓冲区溢出问题。

应该把稳的是，CVSS评分并未思考到ICS系统特有的安全性和分歧企业工业流程的差距性，因而在评估ICS缝隙的严沉性时，我们建议除了CVSS评分之表还要关注缝隙利用的可能后果，例如导致工业流程的中断或部门中断等。

2.4 类型散布

最常见的ICS缝隙类型是缓冲区溢出（栈缓冲区溢出、堆缓冲区溢出、典型缓冲区溢出）及不正确的输入验证。同时，16%的缝隙是身份验证问题（不正确的身份验证、身份验证绕过、关键职能缺失身份验证）和接见节造问题（接见节造、不正确的默认权限、不正确的权限治理、痛处治理），10%的缝隙是Web有关缝隙（注入、蹊径遍历、CSRF、XSS、XXE）。

GA黄金甲·(中国区)官方网站

2018年ICS缝隙类型的散布

与前一年相比，缓冲区溢露马脚的比例显著增长。我们以为这与安全钻研人员对ICS组件中的缝隙越来越感兴致有关，也与fuzzing等自动化测试伎俩的使用有关。

GA黄金甲·(中国区)官方网站

2017 vs 2018, ICS缝隙类型的散布

攻击者可利用ICS组件中的缝隙触发肆意代码执杏注工业设备的未授权节造及回绝服务（DoS）。沉要的是，大无数缝隙（342个）可被远程利用，并且无需身份验证和专业知识/高级技术。凭据US ICS-CERT的数据，23个缝隙的exploit公开可用，这增长了它们被恶意利用的风险。

2.5 受影响的ICS组件散布

缝隙数量最多的ICS组件蕴含：

工程软件（143个）
SCADA/HMI组件（81个）
专为工业环境设计的网络设备（66个）
PLC（47个）

受影响的ICS组件还蕴含工业推算机和服务（5%）、工业视频监控系统（4%）、各类场级设备和�；ぜ痰缙�。

GA黄金甲·(中国区)官方网站

2018年ICS缝隙影响的组件散布

2.6 工程软件中的缝隙

易受攻击的工程软件蕴含分歧的HMI/SCADA开发平台、节造器编程工具等。

工程软件中的安全问题通常是由第三方软件导致的。由于第三方组件的宽泛使用，一旦出现缝隙就会影响大量工业产品。例如，西门子楼宇科技产品和西门子SIMATIC WinCC插件由于集成了蕴含缝隙的Sentinel LDK RTElicense治理器而易受攻击。此表，西门子的整个工业产品线都受到OpenSSL缝隙的影响。类似地，作为Floating License Manager的一部门，Flexera Publisher软件中的缝隙同时影响了施耐德的多个电气产品。

此表，应出格把稳用于接见ICS系统的移动APP（Android或iOS平台的智能手机、平板等）。易受攻击的此类产品案例蕴含SIMATIC WinCC OA iOS App、IGSS Mobile、SIMATIC WinCC OA UIMobile App、General Motors及OnStar (SOS) iOS客户端。此类移动APP越来越多地利用于ICS基础设施，但其安全水平仍有待提高，通过入侵移动APP可能导致整个ICS基础设施面对被入侵的风险。

另一个类似的安全问题与ICS和云技术的结合有关。例如，2018年MindConnect Nano和MindConnect IoT2040（IoT硬件网关，用于衔接工业设备和西门子MindSphere云平台）就被发现易受攻击。

2.7 工业推算机和服务器中的缝隙

2018年工业推算机和服务器中的安全问题重要与主流供给商的芯片缝隙有关，例如熔毁和鬼魂缝隙，还有Spectre-NG缝隙。另一个影响大量工业推算机的缝隙是可信平台�？椋═PM）中的RCE缝隙。这再一次证了然，传统技术（即非ICS特有的技术）中的缝隙能够影响工业系统。

2.8 工业网络安全解决规划中的缝隙

除了ICS的硬件和软件组件中的缝隙之表，2018年钻研人员还在工业网络的安全解决规划中发现了缝隙，例如Nortek的接见节造平台Linear eMerge E3 Series和罗克韦尔自动化的网络安全设备Allen-Bradley Stratix 5950。这再次提醒了我们，工业系统的安全不仅与ICS硬件和软件组件有关，还与工业安全解决规划中的缝隙有关。

三、常见威胁

3.1 针对工业企业的垂钓攻击

蕴含恶意附件的垂钓邮件仍是渗入工业企业的重要攻击向量。在从前数年中，这类威胁已成为工业工作站的常见威胁。

很多垂钓邮件都经过了精心假装：它们假装成真实公司发出的贸易信函、业务报价、约请函等。此表，一些垂钓攻击利用了合法的真实文档资料。这意味着垂钓攻击者将窃取合法信息作为筹备活动的一部门。

GA黄金甲·(中国区)官方网站

垂钓邮件样例

通常寺反，针对工业企业的垂钓攻击其最终主张都是为了窃取金钱。当然，也有一些假装成“尺度”垂钓攻击的针对性攻击。

凭据GA黄金甲统计，工业垂钓攻击不仅针对企业网络中的服务器，还针对工业基础设施中的一些推算机。在全球领域内，至少4.3%的ICS推算机曾检出过间谍软件、后门和键盘纪录木马。这些恶意软件常由垂钓邮件进行分发。我们以为这些恶意软件的领域可能越发宽泛，由于垂钓攻击者常更新或定期转换其恶意工具，使得一些最新样本未被统计到。

由于垂钓攻击者积极使用垂钓邮件进行攻击，我们观察到受垂钓邮件攻击的ICS推算机比例不休攀升。（与IT推算机一样，OT推算机通常也装置了邮件客户端，以跨公司互换信息 – 通�；故褂昧艘谎挠始驶�。我们很少看到OT网络中使用了与IT分歧的邮件帐户）。2018年下半年我们在全世界领域内都发现了这一增长。

GA黄金甲·(中国区)官方网站

受垂钓邮件攻击的ICS推算机比例

如上图所示，西欧地域意表地排名Top3：该地域的数字增长了2.7个百分点，其中增长幅度最大的是德国，该地域的数字险些翻番。

GA黄金甲·(中国区)官方网站

西欧地域受垂钓邮件攻击的ICS推算机比例

这导致了德国在全球排名中以6.5%位列第十三，而意大利（6.8%）则是唯一排名比德国高的欧洲国度。

值妥贴心的是，垂钓邮件中的很多恶意附件此刻都是加密的压缩文件，密码附在邮件的正文之中。此举是为了逃避检测，通常情况下恶意软件只有在收件人打开附件时能力检测到。

我们建议，所有公司都要提醒员工这一真正的威胁，并训练他们鉴别攻击迹象，不要打开可疑文件或点击链接，并将任何潜在事务通知网络安全数门。

3.2 检测样本

2018年下半年卡巴斯基的安全产品共在40.8%的ICS推算机上检测到恶意样本。

这些恶意样本可归类于以下类别，列表中还标出了受此类样本攻击的ICS推算机的比例。请把稳由于统计数据选取了基于署名和启发式的检测步骤，一些无法分辨的恶意软件样本被归类于Generic（通用）类别，这意味着某些类此外恶意软件的比例现实上要更高。

检测到的恶意样本归类及其比例：

15.9% - 列入黑名单的互联网资源

这类恶意样本通常是用户在浏览器中打开一个恶意或受习染的网页时下载得来。这些网页已被列入黑名单，因而大无数情况下安全产品通过检测URL即可发现攻击。这类资源常用于分发木马、间谍软件和勒索软件，且通常假装成各厂家节造器的破解工具或密码沉置工具，也可能是假装成工业/工程软件的破解版或补丁。

8.7% - 恶意剧本，网页沉定向（JS和HTML），以及浏览器缝隙利用 – 0.17%
6.36% - 蠕虫，蕴含通过可移动媒体和网络共享传布的蠕虫（Worm）、通过电子邮件传布的蠕虫（Email-Worm）、通过网络缝隙传布的蠕虫（Net-Worm）和即时谈天利用中的蠕虫（IM-Worm）。从网络基础设施的角度来看，大无数蠕虫都是过期的。

这一类别中的家族蕴含：

Worm.Win32.VBNA (0.2%)，出现于2009年。
Worm.Win32.Vobfus (0.05%)，出现于2012年，用于下载其它恶意软件（Zbot、Fareit、Cutwail等）。
Andromeda/Gamarue (0.69%)，该恶意软件构建的巨型僵尸网络于2017年被扑灭。

尤其值妥贴心的是一个过期但经久不衰的恶意软件NetWorm.Win32.Kido(3.14%)。自2010年问世以来，它一向是排名最高的检测样本之一。

此表，也存在像Worm.Win32.Zombaque (0.02%)这样的P2P网络架构的蠕虫，攻击者能够随时激活它们�；勾嬖谑褂肏TTP和谈的活跃蠕虫，它们常由VBS编写，用于下载其它恶意软件，例如后门和间谍木马等。

6.35% - 运行在浏览器中的挖矿木马

0.76% - Windows挖矿木马

5.78% - 恶意LNK文件

这类样本重要在可移动媒体上检测到，常作为其它恶意软件家族的传布机造的一部门，例如Andromeda/Gamarue、Dorkbot、Jenxcus/Dinihou等。这一类别还蕴含CVE-2010-2568（该缝隙最早用于分发震网病毒）缝隙利用的LNK文件（0.66%）。该缝隙还被用于传布Sality、Nimnul/Ramnit、ZeuS和Vobfus等家族。

目前，假装成合法文档的LNK文件被用作多阶段垂钓攻击的一部门，用于运行PowerShell剧本并下载恶意payload。在极少数情况下，PowerShell剧本会下载一个Metasploit�？椋∕etasploit中的TCP后门）的特定变体。

2.85% - 蕴含exploits、恶意宏或恶意链接的恶意文档（MSOffice + PDF）
2.31% - 系统启动时或插入可移动媒体时自动运行的恶意文件（可执行文件、剧本、autorun.inf、.LNK文件等）

这类样正本自于多个家族，但都有一个共同点 – 自动运行。有害水平最低的样本是使用预约义的主页自动启动浏览器。很多使用autorun.inf的家族在网络基础设施方面都已过期（Palevo、 Sality和 Kido等）。

2.28% - 病毒

这类法式蕴含Virus.Win32.Sality (1.22%)、Virus.Win32.Nimnul (0.87%)和Virus.Win32.Virut (0.61%)家族（已持续多年）等。只管这些家族的网络基础设施都已失效，但由于自我传布的个性和齐全阻止它们的安全措施的不及，它们仍在统计数据中占据大头。

2% - 勒索软件
1.26% - 银行木马
0.9% - AutoCad恶意软件

值妥贴心的是，AutoCad恶意软件，尤其是病毒，重要在东亚地域的ICS推算机上检测到。该类恶意软件常在网络文件夹和工程工作站中发现。只管AutoCad恶意软件的习染顶峰在2000年至2010年早期出现，当前仍可发现活跃的样本。

0.61% - 针对移动设备的恶意文件（在设备衔接到推算机时检测到）

3.3 针对汽车造作业的威胁Top3

从这份汇报起头，我们将每六个月对一个行业的Top3威胁进行分析。

针对汽车行业的攻击重要试图把持汽车的造作/诊断工业流程或车载系统，今天我们并没有发现这样的攻击。

但在2018年下半年，卡巴斯基的产品阻止了大量针对汽车工厂装配线和商店以及针对一级供给商工厂（蕴含运行汽车行业多种软件产品的Windows推算机）的“通常”恶意软件。这些恶意软件自身并不是针对ICS环境的，它们蕴含已知的病毒、挖矿软件、常见的间谍软件等。只管这些恶意软件的主张是造成物理网络的侵害，但其副作用可能会对ICS和OT系统的可用性和齐全性造成沉大影响。

沉要的是要关注将来攻击的潜在风险，这些威胁的矫捷性和针对性（多阶段恶意软件攻击）加剧了这一点。

3.3.1 Sality僵尸网络

其中一个最常见的威胁是Sality，它是一个驰名的�？榛嗵《�/蠕虫，最早出现于2003年，并在2015年还在守护。

在从前，Sality的C&C服务器用于下载下一阶段的恶意软件及窃取用户的账户痛处。但此刻这些C&C已经不再可用，并且所有的Sality样本都可通过常见的AV技术检测到。

只管如此，该恶意软件仍在全球网络持续传布�？ò退够谄敌幸档拇罅縊T推算机上检测到了Sality，我们以为现实受到习染的OT推算机数量更多。

Sality的自我传布个性使得它成为OT/ICS基础设施的严沉威胁，它能够触发回绝服务及由于恶意流量导致本地网络的机能降落。

3.3.2 Bladabindi/njRAT僵尸网络

针对汽车行业的另一个沉大威胁是Bladabindi – 一个�？榛亩嘀澳芙┦绱�，其大局是编译好的一组AutoIT剧本。它的后门/间谍职能极度壮大，可允许攻击者窃取多种敏感信息。该僵尸网络还拥有类似蠕虫的职能，可通过可移动媒体传布。

它的C&C服务器处于活跃状态，用于窃取敏感信息、分发号令和下载下一阶段恶意软件（恶意矿工、DDoS代理、勒索软件等）。攻击者使用动态DNS技术来逃避检测和恶意软件分析。由于职能壮大，Bladabindi可能对OT网络产生沉大影响。

3.3.3 AutoCAD僵尸网络

基于AutoCAD的僵尸网络是由AutoLISP (FAS)木马构建的，其C&C服务器初次出现于2013年。该僵尸网络依然由攻击者进行守护。

FAS木马会篡改AutoCAD的设置，使得每次用户打开AutoCAD工程时城市执行该木马，这也导致每一个新建的项目城市受到习染。

其C&C仍处于活跃状态,用于向受习染的推算机分发下一阶段恶意软件。当前，已知的唯逐一个这种payload的样例是一个VB剧本，该剧本用于批改浏览器的主页设置和将浏览器导航至肆意URL。

该木马重要针对亚洲（尤其是中国）的工业和工程企业，并且可能对OT网络造成严沉影响。

可能的初始习染蹊径：

附件中蕴含木马下载器acad.fas（暗藏在AutoCAD造图中）的电子邮件，该邮件由不受疑惑的承包商/分包商合法工程师发送。
攻击者发送的垂钓邮件，同样携带蕴含acad.fas的附件
携带acad.fas的可移动媒体（如U盘）
本地网络上的共享文件（蕴含暗藏的acad.fas）

值妥贴心的是，在推算机被习染后，受害者会在不知情的情况下通过USB、电子邮件、本地和云共享文件持续传布受习染的AutoCAD工程文件。
奇怪的是，C&C服务器端的代码对传入的要求做了一些查抄（例如IP地址的国度过滤），若是查抄失败，则不会交付第二和第三阶段payload（例如IP地址地点的国度不切合攻击者的兴致）。

GA黄金甲·(中国区)官方网站

可能的初始习染蹊径

GA黄金甲·(中国区)官方网站

攻击杀戮链

GA黄金甲·(中国区)官方网站

第一阶段FAS木马的代码片段

GA黄金甲·(中国区)官方网站

第二阶段FAS木马的代码片段

第三阶段VB 剧本样例

四、威胁统计

本汇报中的统计数据都是经过许可从KSN用户的推算机上匿名网络得来。

4.1 钻研步骤

卡巴斯基ICS CERT将企业中的工业基础设施归类为ICS推算机。有关统计数据从这一类此外推算机上网络得来。这些推算机蕴含运行以下职能的Windows推算机：

? 数据采集与监控服务器（SCADA）；
? 数据存储服务器（Historian）；
? 数据网关（OPC）；
? 工程师和操作员的固定工作站；
? 工程师和操作员的移动工作站；

? 人机界面（HMI）。

还蕴含从工控网络治理员以及工业自动化系统开发人员的推算机上网络到的数据。

在本汇报中，遭逢攻击的推算机是指在汇报期间GA黄金甲安全解决规划至少被触发一次的推算机。遭逢攻击的推算机的比例是指遭逢攻击的推算机（去沉）占所有样本推算机（在汇报期间向我们发送了匿名数据的推算机）的比例。

通常情况下，由于工业网络的限度，ICS服务器和工程师/操作员的固定工作站不是24幼时联网的。这类推算机可能只在，例如守护期间，能力联网。

系统/网络治理员、工程师、工业自动化系统的开发人员和集成人员的工作站可能会时时联网，甚至可能是24幼时联网。

因而，2018年下半年GA黄金甲样本推算机中约有40%的推算机是定期或全天联网的。其余机械的联网功夫不超过一个月，其中好多是远远少于这个功夫的。

4.2遭逢攻击的ICS推算机比例

2018年整年遭逢攻击的ICS推算机比例相比2017年增长了3.2个百分点，达47.2%。

GA黄金甲·(中国区)官方网站

2017 vs 2018，遭逢攻击的ICS推算机比例

2018年下半年（H2），全球遭逢攻击的ICS推算机比例与上半年（H1）相比轻微降落，降落了0.37个百分点，至40.8%.

GA黄金甲·(中国区)官方网站

遭逢攻击的ICS推算机比例

2018年5月至8月期间这一数字曾降落趋向，但从9月起头又出现了新的增长，最终一向不变在22%之上。

GA黄金甲·(中国区)官方网站

2018年遭逢攻击的ICS推算机比例（月度散布）

与2017年相比，2018年每个月份的数字都要更高。

GA黄金甲·(中国区)官方网站

2017 vs 2018，遭逢攻击的ICS推算机比例（月度散布）

4.3 恶意软件的类别散布

2018年下半年，卡巴斯基共检测到2700个家族的1.91万个ICS恶意软件变体。与以前一样，绝大无数针对ICS的攻击案例都是随机攻击，而不是针对性攻击。

GA黄金甲·(中国区)官方网站

遭逢攻击的ICS推算机比例（恶意软件类别散布）

木马仍是最常见的威胁，与2018年上半年相比，后门（Backdoor）的份额增长了1个百分点，勒索软件（Trojan-Ransom）则增长了0.44个百分点。

2017 – 2018，遭逢攻击的ICS推算机比例（恶意软件类别散布）

4.4 地理散布

下面的地图显示了分歧国度的ICS推算机遭逢攻击的比例。

GA黄金甲·(中国区)官方网站

2018年下半年，ICS攻击*的地理散布

*该国度遭逢攻击的ICS推算机比例

GA黄金甲·(中国区)官方网站

2018年下半年，ICS攻击比例最高的国度/地域（Top 15）

与2018年上半年相比，ICS攻击比例国度排名的前五名没有改观，但Morocco（此刻处于第三名）和Tunisia（第四名）互换了地位。

2018年下半年俄罗斯遭逢攻击的ICS推算机比例是45.3%，和上半年（44.7%）处于统一水平。俄罗斯的排名是第16名。

排名中较为安全的国度/地域是爱尔兰（11.7%）、瑞士（14.9%）、丹麦（15.2%）、中国香港（15.3%）、英国（15.7%）和荷兰（15.7%）。

GA黄金甲·(中国区)官方网站

2018年下半年ICS攻击比例最低的国度/地域

若是依照地理区域来划分，分歧区域之间的数字同样相差很大。非洲、东南亚和东亚一向是排名较高的地域。

GA黄金甲·(中国区)官方网站

2018年H1和H2，ICS攻击比例的地理区域散布

4.5 习染源

从前数年间，互联网、可移动媒体和电子邮件成为ICS推算机的重要威胁起源。

GA黄金甲·(中国区)官方网站

ICS推算机*的重要威胁起源（以六个月为统计周期）

* 遭逢攻击的ICS推算机比例

2018年下半年，互联网是26.1%的ICS攻击的威胁起源。与2018年上半年相比，这一数字轻微降落，而与之相反的是电子邮件威胁的比例轻微增长。其它重要习染源的份额与2018年上半年的水平相差不大。

GA黄金甲·(中国区)官方网站

ICS推算机的重要威胁起源（以六个月为统计周期）

4.6 重要习染源的地域散布

GA黄金甲·(中国区)官方网站

2018年下半年，ICS推算机重要威胁起源的地理散布

4.6.1 互联网

在所有的分歧地域，互联网都是重要的威胁起源。但整体而言北欧、西欧和北美的威胁数字较低。

GA黄金甲·(中国区)官方网站

2018年下半年，遭逢互联网威胁攻击的ICS推算机比例（按地域散布）

GA黄金甲·(中国区)官方网站

2018年下半年，互联网威胁排名较高的国度/地域Top15

4.6.2 可移动媒体

针对ICS的可移动媒体威胁比例较高的地域长短洲、南亚和东南亚，较低的地域是北美、澳大利亚和北欧。

GA黄金甲·(中国区)官方网站

2018年下半年，遭逢可移动媒体威胁攻击的ICS推算机比例（按地域散布）

GA黄金甲·(中国区)官方网站

2018年下半年，可移动媒体威胁排名较高的国度/地域Top15

4.6.3 邮件客户端

针对ICS的电子邮件威胁比例较高的地域是拉丁美洲、南欧和西欧，但整体而言各个地域的数字相差不大。

GA黄金甲·(中国区)官方网站

2018年下半年，遭逢恶意邮件威胁攻击的ICS推算机比例（按地域散布）

德国在电子邮件威胁比例较高的国度/地域Top15中上榜，值妥贴心的是该国度在其它方面都未上榜。

2018年下半年，电子邮件威胁排名较高的国度/地域Top15

原文链接：
https://securelist.com/threat-landscape-for-industrial-automation-systems-in-h2-2018/90041/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

【汇报分享】卡巴斯基 - 2018下半年ICS威胁景观

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线