薦讀 | 工業領域的勒索攻擊態勢與應對思路

為了利用“阻斷訪問式攻擊”從而獲取巨額贖金，網絡罪犯使用了許多不同的技術方法，勒索病毒是一種最常見、最特殊的惡意軟件。近年來，頻繁應用在電力、水利、交通、制造業等領域的工業型勒索軟件，給相關企業和組織造成巨大的經濟損失，甚至威脅國家安全。勒索病毒導致工業企業停產已經不是個案，這充分說明工業企業網絡安全的脆弱性，同時也證實工業企業在數字化轉型過程中的網絡安全設計和建設環節嚴重缺失，工業企業已成為網絡黑客的重點攻擊目標。

關鍵詞：勒索攻擊;工業領域;網絡安全

01 工業行業面臨的勒索威脅態勢

2020年來，各種勒索病毒不斷涌現，新型黑客組織加入，導致勒索病毒攻擊越來越頻繁，企業及個人用戶都成為了勒索病毒的攻擊目標。據《騰訊安全2020上半年勒索病毒報告》顯示，傳統企業(42%)、教育(18%)、醫療(15%)、政府機構(15%)遭受勒索病毒攻擊最為嚴重，同時互聯網(5%)、金融(2%)、能源(1%)也遭受勒索病毒攻擊不同程度影響。

1.1?勒索軟件變種增多

今年以來，最常見的幾款勒索病毒十分活躍，仍是值得關注的安全風險。

WannaRen勒索病毒家族于2020年4月被發現，為WannaCry勒索病毒新變種，主要靠TXT文本和圖片兩種形式進行傳播。三年前，WannaCry勒索病毒肆虐全球150個國家，30多萬家機構的文件遭黑客加密攻陷，諸多行業運轉幾近停擺，直接經濟損失高達80多億美元。

Globelmposter勒索病毒家族占比22.85%，于2017年首次被發現，之后演化出多個知名變種。2020年上半年該勒索病毒攜C4H強勢來襲，利用RDP/SMB暴力破解方式進行攻擊。2月23日湖南某醫院系統被植入該病毒，導致文件被加密，所有醫院信息系統無法正常使用，黑客要求支付價值30萬元人民幣的比特幣才能恢復正常。

Sodinokibi勒索病毒占比26.7%，于2019年5月在意大利被發現，已在全球大范圍傳播。主要通過Oracle WebLogic漏洞、Flash UAF漏洞、網絡釣魚郵件、RDP端口等方式發起攻擊，已非法獲利數百萬美元。

Phobos勒索病毒占比19.65%，于2019年8月被發現。其傳播方式主要為RDP暴力破解和釣魚郵件。Phobos使用RSA+AES算法加密文件，攻擊者成功入侵后通常會關閉系統的安全軟件防護功能并運行勒索病毒，不僅加密文檔文件還會加密可執行文件，并在加密后創建勒索信件。

Ryuk勒索病毒占比19.6%，于2018年8月首次發現。其前身是Hermes勒索軟件家族，由黑客團伙GRIM SPIDER運營。Ryuk的傳播和TrickBot僵尸網絡有著密切聯系。2020年來，工業企業遭受數十起勒索軟件攻擊，Ryuk感染了鋼鐵制造商EVRAZ、EMCOR集團等多家工業企業，加密企業關鍵數據信息，導致企業停工停產，造成重大經濟損失。

1.2?勒索攻擊造成損失巨大

勒索病毒攻擊會給企業帶來嚴重危害。例如AMD的GPU源代碼被盜，攻擊者勒索1億美元贖金;GPS廠商Garmin遭勒索病毒勒索千萬美元贖金。2019年僅美國醫療機構就因勒索病毒損失約40億美元。

據COVEWARE公司報告，2020年一季度企業平均贖金支付額為11,1605美元，比2019年第四季度增長了33%，贖金中位數為44,021美元。據亞信安全預計，2021年全球因勒索病毒攻擊造成的損失將達到200億美元，是2015年的61倍。勒索病毒攻擊已經越來越嚴重，是一種發展最快、流行最廣、威脅最大、最常見的一款病毒，也是黑客組織牟取暴利的絕佳手段，被稱為“安全業界最頭疼的軟件”。

1.3?勒索方法呈現新特點

勒索病毒主要攻擊方式仍以RDP和網釣郵件為主，能源、制造業、運輸、醫療機構等關鍵基礎設施為重點攻擊對象。針對性、復雜化和高傷害成本是勒索病毒加速進化的主要特征。攻擊者以投遞釣魚郵件展開攻擊，在前期對目標用戶進行深入調研，選取與目標用戶所屬領域相關內容來構造郵件和惡意文檔。隨后將精心編寫的主題如“采購訂單”等文檔添加在郵件附件中發送給目標用戶，誘使其下載附件。一旦打開惡意文檔，惡意代碼會在后臺靜默下載和執行惡意軟件，從而竊取目標用戶的敏感信息并對其主機進行控制。受害者遍布于美國、加拿大、德國、中國、英國、法國、西班牙等國家。

02 針對工業行業的勒索攻擊路徑分析

勒索病毒和其他惡意軟件的最大區別在于，惡意軟件主要目的是通過發送惡意指令來損壞設備，造成工廠停產甚至事故;但勒索病毒的主要目的是對受害者的設備數據進行加密，然后向用戶索要解密贖金。雖然目的不同，但是針對工控系統，勒索病毒與惡意軟件的傳播方式是相似的。勒索軟件在工業網絡的攻擊行為主要以郵件、程序木馬、網頁掛馬的形式進行傳播，該病毒性質惡劣，危害大，一旦感染將給用戶帶來無法估量的損失。

2.1?利用設備漏洞

勒索病毒與其他惡意軟件一樣，會利用工控環境的脆弱性實施惡意行為。工控系統在最初設計時并沒有考慮到互聯網環境，因此主要通過隔離實現其安全性。但隨著互聯網迅速發展及效率的提高，IT/OT一體化迅速發展，工控系統中越來越多設備與互聯網互連，開放性與日俱增，系統暴露、系統漏洞、遠程維護成為導致勒索病毒入侵的主要因素。例如FPGA芯片中的高危漏洞Starbleed可導致多個關鍵基礎設施遭受攻擊。Starbleed可被用來完全入侵控制芯片，使用惡意代碼對芯片進行重新編程，影響多達數十億臺設備。

據CNVD統計，截至2019年12月收錄的工控系統相關的漏洞高達2306個，2019年新增的漏洞數量達到413個，且大多為中高危漏洞。據Claroty8月發布的《2020上半年度ICS風險和漏洞報告》顯示，2020年上半年披露的工業控制系統(ICS)漏洞中，可以遠程利用的超過60%。在ICS-CERT發布的2020年上半年139條ICS公告中，包括385個常見漏洞和披露(CVE)。能源、關鍵制造以及水和廢水基礎設施領域，是ICS-CERT公告中發布的漏洞影響最大的領域，其中能源占236個，關鍵制造業有197個，水務和廢水處理行業有171個。美國國家漏洞庫NVD在2020年上半年發布了365個ICS漏洞，與2019年上半年發布的331個相比，增長了10.3%。其中超過75%的漏洞被指定為CVSS嚴重等級或嚴重等級，這些漏洞涉及到53個廠商。安全形勢可謂十分嚴峻。

2.2?操控遠程入侵

配置錯誤或者管理問題可能會導致一些工控系統設備直接暴露在互聯網中，惡意軟件就可以通過遠程操作利用漏洞來感染工控系統設備，達到其惡意目的。尤其是當前大力推進借助互聯網基礎構建物聯網，企業可因此遠程監控自身生產數據，甚至執行遠程操作，這同時也給黑客遠程攻擊、操控生產網絡提供了理論上的可能。

2020年3月，網絡設備制造商DrayTek的企業路由器存在嚴重遠程命令注入漏洞CVE-2020-8515，允許黑客將腳本下載到受影響的設備中獲取用戶網絡信息，收集數據上傳至服務器。

2.3?繞過外部防火墻

管理員通常會在工控系統與外部網絡之間安裝防火墻等安全設施進行防護，惡意軟件不能直接攻擊，則會利用郵件、U盤等存儲設備通過運營人員所攜帶的設備進入工控網絡，以繞過工控系統的外部防火墻，給病毒傳播帶來了機會。企業內部人員有意或無意的行為皆可能破壞工業環境、傳播惡意軟件、忽略工作異常等。特別是針對人的社會工程學、釣魚攻擊、郵件掃描攻擊等大量攻擊，都利用了員工無意泄露信息的行為。

例如2018年2月國內各大醫院爆發的Globelmposter勒索病毒變種2.0版本，可能是通過RDP爆破、社會工程等方式進行傳播，采用RSA2048加密算法，導致加密文件無法解密。

2.4?實施供應鏈攻擊

除了運營管理人員，可將設備帶入工控系統的還有軟硬件供應商。勒索病毒可通過預先感染供應商設備，在工控系統安裝新設備時將勒索病毒融入到工控系統中，再利用勒索蠕蟲病毒內置漏洞在內網中進行橫向滲透，一旦發現存在漏洞，對設備進行感染。根據ESG和Crowstrike的2019年供應鏈安全報告，16%的公司購買的IT設備被做過手腳，90%的公司沒有做好應對供應鏈攻擊的準備。

3月初，美國精密零件制造商Visser遭受勒索軟件DoppelPayment攻擊，對其文件進行加密，并要求支付贖金。由于沒有收到勒索款項，DoppelPaymer在網上公開了有關SpaceX、Lockheed-Martin、Tesla、Boeing等公司的機密信息。

03 工業行業勒索攻擊的影響與后果

如今勒索病毒攻擊目標多元化、攻擊手段復雜化、解密數據難度大、危害影響難估量。勒索病毒數量增幅快，特別是針對關鍵基礎設施和重要信息系統的勒索攻擊，影響更為廣泛。被勒索組織既要承受巨額經濟損失，其數據也有可能無法恢復。勒索攻擊的危害遠不止贖金造成的經濟損失，更嚴重的是會給組織帶來額外的復雜性，造成數據損毀或遺失、生產力破壞、正常業務中斷、企業聲譽損害，甚至會影響到國計民生大計。工業領域作為近年來地緣政治增多和網絡空間對抗的主戰場，一旦被攻擊可能會造成災難性后果。因此，工控系統安全事關經濟發展、社會穩定和國家安全。

加密文件。勒索病毒一般通過Windows設備對用戶的文件進行加密、覆蓋或破壞掉原始文件，且大部分勒索病毒都具備了蠕蟲病毒的特性，會主動掃描其他被感染的設備，然后尋找有漏洞和脆弱性的設備進行擴散。

竊取機密。惡意軟件在攻克并進入工控系統后，根據需求去搭不同的攻擊載荷。可將硬盤整個加密或鎖死，從內存或者本地文件系統里提取密碼、控制列表等機密信息，并進行加密，以便將信息傳回惡意軟件的作者用于勒索或其他惡意目的。

鎖定設備。工控系統的漏洞或弱口令等脆弱性問題，一直都讓人頭疼。勒索病毒可以輕易的利用這些問題控制PLC等工控系統設備，然后修改認證口令或者利用固件驗證直接繞過漏洞，刷入惡意固件并禁用設備固件更新功能，達到獲取設備控制權目的。

物理攻擊。在某特殊場景下，勒索病毒控制PLC后可以執行對物理世界造成威脅的操作，如鎖定閥門或修改上報的參數，來“欺騙”操作人員。研究人員已經在模擬環境中實現勒索病毒控制水處理廠，關閉城市供水或增加氯濃度污染城市用水等攻擊行為。

雙重勒索。攻擊者首先竊取大量敏感商業信息，然后對受害者的數據進行加密，并威脅受害者如果不支付贖金就會公開這些數據，這種勒索策略被稱為“雙重勒索”。傳統的勒索軟件基本信守支付贖金即提供解密密鑰的策略，逐漸演變到從用戶攻擊到有針對性的商業攻擊，現在又增加了數據勒索的雙重危險。這使受害者被迫支付贖金的可能性大幅提高，同時受害者承受著支付贖金后仍被公開數據的風險，以及監管機構對其數據泄露進行處罰的雙重壓力。

04 勒索攻擊的發展趨勢

當前，勒索病毒在攻擊手段、對抗溯源、目標選擇、勒索策略等方面顯示出越來越強的針對性。勒索病毒攻擊越來越頻繁，不僅是企業，個人用戶也已經成為勒索病毒黑客組織攻擊的目標，有些病毒目前都無法解密。在很長一段時間內，勒索病毒仍是工業行業安全的頭號敵人，勒索病毒攻擊的趨勢是如下：

(1)新勒索病毒不斷涌現，舊勒索病毒不斷演變進化

未來可能會有更多的勒索病毒家族出現或成熟的新的黑客組織加入，同時國外一些主流勒索病毒運營團隊已在國內尋找勒索病毒運營商，通過暗網與國內運營商進行合作傳播。云服務將是新的攻擊目標，針對Windows服務器和Linux平臺的勒索病毒攻擊可能會更多。

(2)攻擊精準，針對性更強

勒索病毒團伙越來越多地將高價值大型政企機構作為重點打擊對象。為了追求利益最大化，多數情況下，攻擊者在攻陷企業一臺網絡資產后，會利用該資產持續滲透更多資產，從而迫使受害者在業務系統大面積癱瘓的情況下，強迫受害者交付贖金，不付贖金就在暗網“恥辱墻”頁面公開企業機密，進一步勒索。

(3)攻擊手段多變，勒索病毒技術升級

經過長期演變，勒索病毒技術越發成熟，攻擊者也在加密流程的細節上進行優化，從早期的單線程文件加密到針對每個磁盤分區進行多線程加密;從單一的X86可執行病毒版本到增加X64可執行版本等，受害者更加難以察覺。

(4)多病毒投放，實行“聯合”攻擊

攻擊者為避免病毒單一導致加密失敗，開始與多個勒索病毒家族合作。同時更多的勒索病毒開始針對國內市場做優化，如增加中文版的勒索信件等。國內依然是勒索病毒團伙關注最為密切的市場之一。

(5)僵尸網絡成勒索病毒傳播中間力量

為了對目標進行精準打擊，更多勒索病毒會利用僵尸網絡龐大的感染基數進行迅速擴張。新型軟件為了快速切入市場，也會選擇與僵尸網絡進行合作，以獲得市場知名度。

(6)企業數據安全是最重要的關注方向

今后針對企業的勒索病毒可能會更多，新型竊密木馬會隨著勒索病毒一起發放，竊取企業數據。通過“勒索+竊取”的方式對企業數據進行攻擊。全球數據泄露的安全事件中大部分是通過惡意軟件進行網絡攻擊造成的。

(7)各個不同的勒索病毒組織之間競爭越來越激烈

這將促使勒索病毒黑客組織不斷更新，開發更多新型勒索病毒，同時也會加大勒索病毒方面的運營手段。

隨著制造強國戰略全面推進，我國工業領域的數字化、網絡化、智能化水平加快提升，遭受勒索病毒攻擊的形勢也會愈發嚴峻，因此構建有效的勒索病毒防御體系迫在眉睫。

05 勒索病毒防御建議

攻擊和防御在信息安全領域一直是一個不變的話題。工業企業不僅面臨民間黑客攻擊，一些基礎設施也成為有組織犯罪甚至國家級網絡攻擊的重點目標。勒索病毒攻擊已成為工業企業面臨的最大安全問題之一，在今后一段時間內仍是政府、企業、個人共同面對的主要安全威脅。勒索病毒的攻擊方式，隨著技術的應用發展不斷變化，有針對性的勒索病毒事件給不同行業和地區的企業帶來了破壞性攻擊威脅。勒索攻擊產業化、場景多樣化、平臺多元化的特征會更加突出。在工業場景中，勒索病毒慣用的攻擊向量主要是弱口令、被盜憑據、 RDP服務、USB設備、釣魚郵件等，面對被勒索病毒攻擊的棘手問題，有效防范措施仍是有針對性地做好基礎防御工作，構建和擴張深度防御，從而保障企業數據安全，促進企業良性發展。針對勒索病毒的攻擊防護建議如下：

(1)強化端點防護。

及時加固終端、服務器，所有服務器、終端應強行實施復雜口令策略，杜絕弱口令;安裝殺毒軟件、終端安全管理軟件并及時更新病毒庫;及時安裝漏洞補丁;服務器開啟關鍵日志收集功能，為安全事件的追溯提供基礎。

(2)關閉不需要的端口和服務。

嚴格控制端口管理，盡量關閉不必要的文件共享權限以及不必要的端口(RDP服務的3389端口)，同時使用適用的防惡意代碼軟件進行安全防護，采取適當隔離和其他最佳實踐，是限制勒索病毒和其他惡意程序橫向擴散的最有效方法之一，一旦發現中毒機器立即斷網。

(3)采用多因素認證。

利用被盜員工憑據來進入網絡并分發勒索軟件是一種常見的攻擊方式。這些憑據通常是通過網絡釣魚收集的，或者是從過去的入侵活動中獲取的。為了減少攻擊的可能性，需在所有技術解決方案中采用多因素身份驗證(MFA)。

(4)全面強化資產細粒度訪問。

重點關注工業主機資產，做好工業主機防護。增強資產可見性，細化資產訪問控制。員工、合作伙伴和客戶均以身份和訪問管理為中心。合理劃分安全域，采取必要的微隔離，落實好最小權限原則。

(5)深入掌控威脅態勢。

持續加強威脅監測和檢測能力，依托資產可見能力、威脅情報共享和態勢感知能力，具有識別OT資產中存在哪些安全漏洞以及準確評價每個漏洞帶來的風險級別的能力，形成有效的威脅早發現、早隔離、早處置機制。

(6)制定業務連續性計劃。

強化業務數據備份，對業務系統及數據進行及時備份，并驗證備份系統及備份數據的可用性。建立安全災備預案。同時做好備份系統與主系統的安全隔離，避免主系統和備份系統同時被攻擊，影響業務連續性。

(7)加強安全意識培訓和教育。

員工安全意識淡漠是一個重要問題。必須經常開展網絡安全培訓，以確保員工嚴格使用U盤、移動硬盤等可執行攻擊設備，發現并避免潛在的勒索攻擊網絡釣魚電子郵件。將該培訓與網絡釣魚演練相結合來掌握員工的薄弱點，并且為最薄弱的員工提供更多支持或安全保障以降低風險。

(8)持續檢測生產風險。

每三到六個月對網絡衛生習慣、威脅狀況、業務連續性計劃以及關鍵資產訪問日志進行一次審核，并不斷改善安全計劃，及時了解風險，主動防御勒索軟件攻擊并減輕其影響。

(9)建立低位、中位、高位能力“三位一體”的工業互聯網信息安全產品體系。

傳統的安全防御產品已逐漸無法應對越來越嚴重的安全威脅。構建防護監測層、安全運營層、態勢感知層分別實現不同安全功能，融合聯動發展的互聯網安全產品體系將成為未來發展的重要趨勢。

此外，無論是企業還是個人受害者，都不建議支付贖金。支付贖金不僅變相鼓勵了勒索攻擊行為，解密的過程還可能會帶來新的安全風險。

工業信息安全不是一個單純的技術問題，而是一個從意識培養開始，涉及到管理流程、架構、技術、產品等各方面的系統工程，是事關國家經濟社會可持續發展、長治久安、人民群眾福祉的重大戰略問題。工業網絡安全整個行業需要在維度上提升，僅關注信息安全、電腦安全、系統安全遠遠不夠，還要推動整個工業網絡安全能力增強，需要站在更高的角度守護國家安全、社會安全、城市安全、基礎設施安全及人身安全。需要探索性地研究如何借助護網行動的模式，打開強化企業安全能力的新思路。

作者簡介

李江寧(1977-)，女，陜西大荔人，碩士，現任北京天地和興科技有限公司威脅情報分析師，研究方向為工業領域網絡攻擊與安全。

覃汐赫(1990-)，女，北京人，碩士，現任北京天地和興科技有限公司威脅情報分析師，研究方向為威脅情報分析。

為便于排版，已省去參考文獻。

摘自《自動化博覽》2021年1月刊暨《工業控制系統信息安全專刊(第七輯)》

來源：工業安全產業聯盟