【宁静陈诉】卡巴斯基 – ICS中的RAT风险

宣布时间 2018-10-12

原文链接：https://securelist.com/threats-posed-by-using-rats-in-ics/88011/

在进行审计、渗透测试和事件视察时，我们经常遇到工业企业的运营技术（OT）网络中安装有合法的远程管理工具（RAT）的情况。在我们视察的一些事件中，攻击者利用RAT来攻击工业企业。一些案例中攻击者偷偷地在受害企业的计算机上安装RAT，另一些案例中攻击者则是利用已经安装在企业计算机上的RAT。这些发现促使我们对相关威胁景观进行了分析，包罗工业网络中RAT的使用率以及使用它们的原因。

研究要领

本文中的统计数据是从受卡巴斯基宁静网络（KSN）�；さ腎CS计算机上收集而来�？ò退够笛槭襂CS CERT将ICS计算机归类为企业工业基础设施的一部门。这一类别包罗执行以下一个或多个功效的Windows计算机：

· 数据收罗与监控服务器（SCADA）
· 数据存储服务器（Historian）
· 数据网关（OPC）
· 工程师和操作员的牢固事情站
· 工程师和操作员的移动事情站

· 人机界面（HMI）

在我们的研究中，我们考虑并分析了Windows平台上的所有主流RAT，但Windows操作系统自带的远程桌面服务除外。对该RAT的研究还在进行之中，我们将在本系列的下一篇文章中进行介绍。

ICS中RAT的使用情况

凭据KSN的数据，在2018年上半年，有三分之一的ICS计算机安装/使用了合法的RAT法式（被归类为非病毒类的法式：远程管理（RemoteAdmin））。

安装合法RAT的ICS计算机的比例

统计数据与我们的视察结果相一致：RAT确实经常在工业企业的OT网络中使用。我们认为这可能与降低ICS的维护用度以及最大限度地减少故障发生时的响应时间有关。

凭据我们的视察，对OT网络中的计算机的远程访问并没有严格限制在企业网络界限内的管理员和工程师之中。企业网络界限外的用户也可以通过互联网访问它们。这些用户可能包罗第三方企业的代表 – 如系统集成商或ICS供应商的员工，他们利用RAT来进行ICS故障的诊断、维护和修复。正如我们的工业网络宁静审计所表明的，这类访问通常没有受到企业相关责任人的监督，尽管连接到OT网络的远程用户通常拥有过多的权限，例如当地管理员权限。这对确保工业自动化系统的信息宁静来说显然是一个严重的问题。

通过对差异工业系统的工程师和操作员的访谈，并凭据对ICS用户文档的分析，我们发现RAT最常被用于工业网络的以下场景：

1. 从操作员事情站控制/监控HMI（包罗在大屏幕上显示信息）
2. 从工程师事情站控制/监控HMI
3. 从操作员事情站控制SCADA
4. 从工程师事情站或承包商/供应商的计算机（外网）维护SCADA
5. 将多个操作员连接到一个操作员事情站（类似于精简客户端的架构，可以节省操作员事情站软件的许可证用度）

6. 从OT网络通过HMI访问办公网络的计算机并执行相关任务（如访问电子邮箱、上网、使用office文档办公等）

上面列出的一些场景表明，在OT网络中使用RAT是为了满足运营的需求。这也意味着放弃使用RAT将会不行制止地导致事情流程的变化。与此同时，要充实理解不宁静的RAT可能会导致攻击者能轻易地破坏和中断工业流程，因此与在OT网络中使用RAT有关的决策应该基于这种思想上去构建。严格控制在OT网络上使用RAT将有助于减小攻击面和减少远程管理系统受熏染的风险。

尊龙抖圈 - 为du而生

2018上半年期间至少使用了一次RAT的ICS计算机比例最高的国家（Top20）

ICS中RAT的安装场景

凭据我们的研究，在ICS计算机上有三种最常见的RAT安装场景：

1. ICS软件刊行包中包罗RAT（可能是差异的软件刊行包或ICS软件安装法式）。这种情况占所有安装RAT的ICS计算机的18.6%。

尊龙抖圈 - 为du而生

与ICS产物捆绑的RAT占所有ICS计算机上的RAT的比例

2. 个人或供应商（网络管理员、工程师、操作员或集成公司）故意安装的RAT。我们并没有去试图判断这些安装是否合法。凭据我们的工业网络宁静审计和事件视察的经验，很多这类安装并没有遵循企业的信息宁静计谋，一些安装甚至是各企业的相关卖力人员所不知情的。

3. 恶意软件偷偷安装的RAT。下文中我们视察的一个最近的攻击事件就是一个案例。

ICS中的RAT风险

在工业网络中使用RAT带来的风险并不总是那么明显，也不是最初使用这些RAT所期望的。

我们在工业系统中发现的大多数RAT都具有以下特征（这些特征显著降低了主机系统的宁静水平）：

· 提升的权限 – RAT的服务器部门常作为具有系统权限（例如NT SYSTEM）的服务来运行；
· 不支持对系统/客户端的活动设置严格的当地访问限制；
· 单因素认证；
· 客户端活动没有日志；
· 存在漏洞（我们会在年底宣布关于主流RAT（被许多ICS供应商所使用的）中的零日漏洞的陈诉）；

· 使用中继服务器（用于反向连接）使得RAT能够绕过网络界限上的NAT和防火墙的限制

与使用RAT有关的最严重的问题是，其使用了提升的权限而且缺少对这些权限进行限制的手段（或者是限制远程用户的当地访问权限）。实际上，这意味着如果攻击者（或是恶意软件）获取了远程用户的计算机的访问权限，窃取了其身份验证数据（登录名/密码），劫持了活动的远程管理会话或是乐成攻击了RAT服务器端的漏洞，他们将会获得不受限制的ICS系统访问权限。通过使用反向连接的中继服务器，攻击者可以从世界上任何一个地方连接到这些RAT。

ICS软件刊行包中内置的RAT还会受到以下问题的影响：

· RAT组件和刊行包几乎从不更新（即使宣布了新版本的ICS软件刊行包）。这意味着它们很有可能包罗漏洞。

· 绝大多数情况下，它们都使用默认密码 – ICS软件供应商要么把默认密码硬编码在RAT中，要么在文档中把它们标为“推荐使用”

RAT是工业网络中经常使用的合法软件/工具，这意味着很难将合法的使用活动与攻击活动区离开来。此外，由于卖力ICS宁静的信息宁静服务和其他员工经常不知道RAT被安装了，大多数情况下RAT的配置在工业网络的宁静审计过程中是被忽略掉的。这使得限制工业网络中的RAT的使用工具、使用场景和使用目的尤其重要，以及一定要确保OT网络的信息宁静卖力人知晓所有的RAT使用情况。

ICS中的RAT攻击

上述所有内容都适用于与RAT有关的潜在威胁。

凭据对KSN统计数据的分析，我们发现许多与ICS计算机中的RAT有关的攻击和恶意软件熏染实验。大多数情况下，这些攻击都是基于以下场景（以攻击频率的降序排列）：

1. 来自于当地网络或互联网的暴力破解攻击（破解用户名/密码）；
2. 攻击者或恶意软件通过窃取或破解的身份验证凭据访问RAT，并下载和执行恶意软件；
3. 远程用户（可能是合法的用户，但被攻击者所诱骗）通过RAT在ICS计算机上下载木马，然后执行；木马可能是伪装成office文档、非工业场景的软件（游戏、多媒体软件等）、office/应用法式/工业软件等的破解器或密钥生成器等。
4. 利用exploit针对RAT服务器端提倡的网络攻击，可能是来自于当地网络或互联网。

暴力破解类的网络攻击（破解用户名/密码）是最常见的；因为这种攻击不需要什么高深的知识和技术，而且相关软件果然可用。

现有数据无法分析出连接到ICS计算机上的RAT服务器的用户到底是谁 – 可能是合法的用户，也可能是攻击者或恶意软件 – 以及其目的。因此，我们只能推测这个活动代表了有针对性的攻击、破坏性的实验还是客户的失误。

来自于互联网的网络攻击最有可能通过恶意软件、渗透测试工具或僵尸网络来实现。

而来自于当地网络的网络攻击则意味着攻击者已经进入了网络（有可能是内部人员）。另一种可能性是当地网络中的一台计算机要么已被恶意软件熏染，要么已被攻击者入侵而且看成跳板（身份验证凭据可能之前已经泄露）。

攻击案例一（通过RMS和TeamViewer攻击工业企业）

2018上半年，卡巴斯基实验室ICS CERT发现伪装成合法商业报价的新一波钓鱼邮件攻击。尽管这些攻击活动主要针对俄罗斯境内的工业企业，但其攻击计谋和工具也可用于攻击全球其它地域的工业企业。

这些攻击活动中使用的恶意软件会在系统上安装合法的远程管理软件 – TeamViewer或远程操作系统/远程工具（RMS）。

无论是哪种情况，恶意软件都市将一个系统DLL替换成恶意代码，以在合法进程中注入恶意代码。这使得攻击者可以获得受熏染系统的远程控制权限。攻击者还使用了多种技术来掩盖熏染和安装软件的痕迹。

如有须要，攻击者会在系统中下载一个特别的恶意软件包，该恶意软件包针对差异的受害者进行定制，其可能包罗间谍软件、其它远程管理工具、漏洞利用工具以及用于获取Windows账户密码的Mimikatz等。

凭据现有数据，攻击者的主要目的是从企业的账户中窃取金钱，但潜在的攻击场景并不仅限于此。在攻击过程中，攻击者还会窃取目标组织及其合作伙伴和客户的敏感数据，对员工进行秘密的监视，并利用连接到受熏染计算机的设备录制视频和音频。显然，除了经济损失之外，这些攻击还会导致受害企业的敏感数据泄露。

攻击案例二（针对汽车制造商的多次攻击）

第二种攻击场景的一个典型的例子是一家汽车制造与服务商的工业网络遭到的攻击。具体来说，是该企业的用于诊断卡车和重型车辆的引擎和车载系统的计算机遭到的攻击�？ò退够笛槭业牟镒手柚沽硕啻未死喙セ�。

该企业的工业网络中至少一台计算机被安装了RAT，而且该RAT被间歇性地使用。自2017年底以来，通过该RAT安装恶意软件的无数次攻击实验被我们阻止了。几个月内这些熏染实验定期泛起 – 一周2到3次，漫衍在一天的各个时候。再加上其它间接指标，我们认为该RAT的身份验证数据泄露了，攻击者（恶意软件）利用该凭据通过互联网来攻击该企业的计算机。

在通过RAT访问潜在受害者的基础设施之后，攻击者一直在实验差异的恶意软件包，试图逃避杀毒软件的检测。

其中一个被卡巴斯基产物检测到的恶意软件及其变体是Net-Worm.Win32.Agent.pm。一旦开始运行，该蠕虫就会立刻利用永恒之蓝漏洞在当地网络上进行扩散 – 该漏洞利用（MS17-010）于2017年春季被ShadowBrokers披露，并被污名昭著的勒索软件WannaCry和ExPetr所利用。

被检测到的恶意软件还包罗木马家族Nymaim。该家族常被用于下载僵尸网络Necus家族的变体，而Necus回过来又常被用于流传勒索软件家族Locky。

结论

远程管理工具被广泛地用于工业网络的ICS监控、控制和维护流程中�？梢栽冻滩僮鱅CS的能力大大降低了维护成本，但与此同时，不受控制的远程访问权限、无法100%地验证远程客户端的合法性以及RAT代码和配置中的漏洞大大增加了攻击面。而另一方面，RAT等其它合法工具也越来越多地被攻击者所利用，使得其行踪被隐藏和归因越来越困难。

为了减少RAT网络攻击的风险，我们建议接纳以下高优先级的措施：

· 审计工业网络中的系统及第三方远程管理工具，例如VNC、RDP、TeamViewer和RMS / RemoteUtilities等。卸载所有工业流程不需要的远程管理工具。
· 审计并禁用ICS软件附带的远程管理工具（详细指南请参考软件的相关文档），虽然前提是工业流程不需要这些工具。
· 即使是工业流程所需的远程管理操作，也要密切监控和记录远程管理会话的事件日志；默认情况下应将远程访问服务禁用，仅在需要使用时启用，而且只启用一段时间。

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

抖圈为赌而生

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系抖圈为赌而生

宁静研究

【宁静陈诉】卡巴斯基 – ICS中的RAT风险

关于抖圈为赌而生

解决方案

宁静研究

联系抖圈为赌而生

7*24小时服务热线