关键基础设施与工业控制系统：多阶段加密勒索软件攻击的新兴网络威胁

⃝⃝可在www.sciencedirect.com上在线ScienceDirectICT Express 4（2018）14www.elsevier.com/locate/icte多阶段加密勒索软件攻击：对关键基础设施和工业控制系统的新兴网络威胁Aaron Zimba，王兆顺，陈红松北京科技大学计算机科学与技术系，北京，中国接收日期：2017年11月3日;接受日期：2017年12月27日在线提供2018年摘要关键基础设施与公共网络的不可避免的集成使底层工业控制系统暴露于各种攻击媒介。在本文中，我们对多阶段加密勒索软件攻击进行了建模，这是当今对关键基础设施的新兴网络威胁。我们使用臭名昭著的WannaCry勒索软件的多阶段攻击来评估我们的建模方法。静态恶意软件分析结果揭示了勒索软件用于发现不同SCADA和生产网络中的脆弱节点以及随后的网络传播的技术。基于未发现的工件，我们推荐级联网络分段方法，该方法优先考虑生产网络设备的安全性。c2018韩国通信信息科学研究所。出版社：Elsevier B.V.这是一篇开放获取的文章，CC BY-NC-ND许可证（http://creativecommons.org/licenses/by-nc-nd/4.0/）。关键词：关键基础设施;网络攻击;工业控制系统;加密勒索软件;漏洞1. 介绍工业控制系统（ICS）负责监管当今许多关键基础设施（CI），包括智能电网、电力发电厂、核电厂、空中交通管制、水和废物处理厂、交通运输等。CI提供人类基本需求所需的基本服务和资源。由于其重要性，它们传统上受到保护并与其他公共可用系统隔离[1]。就安全而言，重点是人身安全和环境安全。几乎所有关键基础设施都有严密的实体安保和安全系统，这就证明了这一点。尽管如此，强大而先进的技术，特别是互联网的出现，已经逐渐消除了CI和公共系统之间的“空气间隙”。的*通讯作者。电子邮件地址：azimba@xs.ustb.edu.cn（A. Zimba），zhswang@sohu.com（Z. Wang），chenhs@ustb.edu.cn（H.Chen）。同行评审由韩国通信信息科学研究所负责https://doi.org/10.1016/j.icte.2017.12.007通过降低制造和运营成本来提高生产力的需求已经导致了技术的采用，这些技术最终导致了CI集成到公共系统（如Internet）中[2]。此外，整合企业和公司系统与因特网的连接为实时数据获取提供了新的途径，大大提高了效率。然而，考虑到CI部门的多样性，CI与公共或企业网络的集成是多种多样的，并且缺乏标准的安全框架[3]。因此，保护这些集成系统的方法在很大程度上取决于组织的不同安全目标，这些目标无意中由基本业务目标决定。由于IP协议（构建私有和公共网络的协议）是不安全的，网络攻击已经进入CI，长期以来一直被认为是孤立和安全的。这导致了网络威胁，其中CI中的不同网络设计模式导致了CI中的许多攻击图1描述了针对CI和ICS的威胁模型，其中显示了各种攻击入口点。2405-9595/c2018韩国通信信息科学研究所。Elsevier B. V.的出版服务。这是CC BY-NC-ND许可证下的开放获取文章（http://creativecommons.org/licenses/by-nc-nd/4.0/）。A. Zimba et al. / ICT Express 4（2018）1415Fig. 1. 针对CI和ICS的威胁模型。生产网络类似于物理世界，包括传感器、执行器、可编程逻辑控制器（PLC）、用于远程访问的远程终端单元（RTU）以及通用Wi-Fi和RF网络。在某些网络设计模式中，这些底层组件直接连接到Internet [4]。这是勒索软件等恶意软件的一个入口点。某些网络设计模式只有一个监控 网 络 ， 其 中 包 含 连 接 到 Internet 的 监 控 和 数 据 采 集（SCADA）系统。因此，攻击者可以在发现漏洞后渗透到监管网络，并在可能的情况下将攻击提升到一些网络设计模式通过级联方法连接公司和企业网络，如Purdue模型[5]。在这种情况下，攻击必须渗透到公司网络才能到达底层ICS，前提是这种设计通过深度防御策略绝对安全。最坏的情况是三个网络没有被正确地分段，而是被设计在一个没有适当分界点的广播域中。因此，给定某个网络设计模式，攻击者可以在发现漏洞时在对应的CI网络中放置恶意软件。在这项研究中，我们的目标是建立一个模型，并描述网络攻击者通过可公开访问的网络渗透CI所为了验证我们的建模方法，我们通过逆向工程（静态恶意软件分析）使用勒索软件攻击。我们对臭名昭著的WannaCry勒索软件进行了源代码分析，该软件也没有放过CI，并揭示了潜在的网络攻击技术。在第二节中，我们提出了相应的威胁模型的基础上勒索软件对CI的攻击模型。我们执行静态代码反汇编和恶意软件图二. 针对CI和ICS的攻击模型。第三节分析。第4节提供了基于观察到的攻击模式和结论的建议最佳做法。2. 攻击模型如图1所示，CI和ICS一旦直接或以其他方式连接到互联网，就会提供三个入口点，攻击者可以通过这些入口点传递勒索软件有效载荷。入口点表示为：(1) 企业网络（CN）(2) 可信第三方（TTP），即云外包或技术支持(3) 直接互联网连接（DIC）。我们使用攻击图表示三个渗透源的三个入口节点的攻击过程建模。图的其他三个部分表示在图1所示的典型CI和ICS中发现的三种网络类型中的易受攻击节点实例。节点实例之间的边表示对漏洞的利用，这进一步增强了勒索软件在网络中的遍历。我们的攻击模型的威胁行为者是具有蠕虫样功能的勒索软件（如WannaCry中所见），其能够在可扩展性利用时将有效载荷传播到相邻网络[6]。图2显示了生成的攻击模型。任何加密勒索软件攻击的目标都是通过加密受害者的文件来破坏可用性在我们的模型中，勒索软件试图攻击SCADA或生产网络，使CI和ICS数据无法访问。因此，即使勒索软件攻击是不分青红皂白的，在实施Purdue模型的CI的公司或企业网络中存在勒索软件也不构成实际攻击。相反，网络被用作遍历底层SCADA或生产网络的枢纽。我们区分了CN、TTP和DIC三个浸润源，分别用三个源S0i、S0i+和S0i++表示。攻击边e0i， 0表示通过内部或外部攻击对公司网络的渗透。我们假设马尔可夫假设[7]，因此限制了企业网络如何被渗透的历史。然而，漏洞利用工具包和16A. Zimba et al. / ICT Express 4（2018）14⎩⎩⎪⎩→电子邮件附件在这方面并不少见[8]。很明显，攻击边e0， 1和e0， 2将企业网络的利用描述为监管网络的枢纽当公司子网与监管网络共享信任关系时，这是可能的。在具有防火墙和严格访问策略的环境在节点n1处，恶意软件检查被利用的主机是否已经被感染，如果没有，则继续加密目标文件。然后，它扫描当前（SCADA）和相邻（生产）网络以寻找网络漏洞，这分别由攻击边e1， 2和e1， 3表示。在发现易受攻击节点3时，其重复与节点n1处的过程相同的过程。另一方面，如果节点n1已经被感染，则恶意软件经由攻击边e0， 2和e2， 4前进到已经发现的网络。从第一渗透源CN生成的攻击路径为：图三. 静态恶意软件分析工作流。中文（简体）S0i→n0→n1S0 i→n0→n2→ n4。S0i→n0→n1→n3→n4值得注意的是，攻击边e1 Particip2和e3 Particip4是双向的，表示两个不同的攻击实例，一个是被利用的节点已经被感染，另一个在前者中，恶意软件不会扫描本地和相邻网络，因为感染的存在是网络已经被扫描的指示符。综上所述，第二渗透源TTP按照相同逻辑生成的攻击路径为：3. 说明性数据和分析考虑到攻击恶意软件的性质，我们对代码进行逆向工程，以提取三个感兴趣的特征，使勒索软件能够对CI实施多阶段DOS攻击。图 3显示了我们为实现上述目标而实施的步骤。在第1阶段，我们指定勒索软件家族和菌株。选择了加密勒索软件变体WannaCry，而不是储物柜勒索软件。WannaCry只加密特定扩展名的数据文件，不像Locker勒索软件那样攻击系统文件。在第2阶段，我们通过运行相应的加密哈希来确定勒索软件我们TTP：中国S0i+→n2S0 i+→n2→ n4。通过使用www.example.com验证样本的真实性来结束外部特征提取的这一阶段，Virustotal.comS0i+→n2→n3→n4虽然CN中生成的一些攻击路径似乎与TTP的攻击路径具有相同的权重，但值得注意的是，后者的路径源自CI和ICS管辖范围之外的域因此，它们没有相同程度的缓解办法。由上可知，源自DIC渗透源的恶意软件生成的攻击路径为：得分58/64。示例MD5：5333fdb8a34f790538a9bd70de1011403SHA-1：f7c1a3b4e856eb523ae35eebcb7e9847ccda19e5SHA256 ：5adbd3f97a9c106aef9d9d6456c3fee0622ee9392be323f42da0e41f5e7d5189我们检查包装以确定样本的内部逻辑是否被混淆以掩饰其在阶段3中的操作。我们在阶段4中检查字符串以找到一些加密例程DIC：中国S0i++→n2S 0 i++→n 2 → n 4。并找出该样本是否使用了一个双向开关域。元数据提取的示例在阶段5中解析，源代码在S0i++→n2→n3→n4S0i++→n 4攻击路径S0i++n4是攻击者最感兴趣的，因为它通过面向Internet的设备将恶意软件直接传递到CI的核心。由于恶意软件使用不同节点中的易受攻击节点作为枢轴节点来到达目标，因此这些攻击被归类为多阶段攻击。在定义了从渗透源到CI核心的攻击路径之后，我们现在对攻击部分CI和ICS的WannaCry勒索软件进行恶意软件分析[9]。从观察到的攻击技术中，我们进一步推断出上述攻击路径中的哪些是适用的。A. Zimba et al. / ICT Express 4（2018）1417}{{}第六阶段。在运行时，勒索软件导入外部DLLADVAPI32.dll、KERNEL32.dll、MSVCP60.dll、MSVCRT.dll、WININET.dll 、 WS 2 32.dll 、 iphlpapi.dll 并 加 载 库secur32.dll 、 shell32.dll 、 wsock 32 、 ws 2 32 、rpcrt4.dll 、 ad-vapi32.dll 。 显 然 ， 该 示 例 使 用 了Windows API，因此与Windows操作系统绑定在一起。这意味着运行Windows操作系统的CI中的设备容易受到此勒索软件的影响。并不少见连接到互联网的CI设备将运行Microsoft Windows，例如CERN的示波器运行Windows XP [10]。勒索软件会检查互斥锁的存在18A. Zimba et al. / ICT Express 4（2018）14\=||见图4。 本地和公共IP地址扫描。加密前全局MsWinZonesCacheCounterMutexA，检查被利用的主机是否已被感染。这相当于恶意软件在节点集n0、n1、n2、n3、n4中的设备渗透时执行的第一次攻击动作，如攻击模型中所示。如果互斥体存在，勒索软件不会加密目标文件，而是使用GetAdapterInfo（）函数获取子网信息，以便扫描整个本地子网范围。这相当于攻击模型中的攻击操作e1Participate 2和e3Participate 4勒索软件利用EternalBlue漏洞，利用SMB协议在端口445上的实现。这意味着具有运行Windows操作系统的设备的CI网络通过SMBv1进行文件共享是WannaCry的此漏洞利用 CVE 漏 洞 CVE-2017-0144 [12] 。 我 们 可 以 将 这 个CVSS基本得分值转换为概率：Pr（ni|εc∈Ri）=BSi/10。（一）这给出了感染表现出脆弱性Pr（n i）0的脆弱节点的边际概率值。81.因此，在CI的核心中渗透设备的最高可能性是Pr（n4|S0 i++）经由攻击边e0 i++，4.以来对于攻击网络中的节点，Pr（n i）≤ 1，Pr（n4|S0i ++）> Pr（n4S0i），Pr（n4S0i+）对于监督网络和生产网络总是成立的.这意味着CI中直接连接到公共互联网的设备对上述勒索软件构成最高的渗透威胁值得注意的是，虽然本地IP子网扫描是多线程的，但勒索软件将其限制为10个IP地址每次扫描，以避免CPU开销的检测此外，为了扫描外部IP网络，勒索软件产生了128个线程来扫描公共IP地址。这将是攻击模型中描述的扫描相邻网络的子集。 图 4显示了WannaCry的本地和外部IP网络扫描的代码片段。勒索软件示例使用混合密码系统来实现文件加密。它使用对称AES-128密码进行实际文件加密，并使用非对称RSA-2048公钥对对称密钥进行加密。相应的主RSA私钥由攻击者持有，而公共RSA密钥由攻击者持有。密钥被植入勒索软件有效载荷中恶意软件使用操作系统这些是最新的弹性密码，如果没有相应的解密密钥，在计算上不可能破解[13]。只有在满足赎金要求的情况下，才允许通过随后的解密访问加密文件，一个保证。否则，网络的受影响部分仍然无法工作。通过使用上述技术，WannaCry能够对CI设备实施多阶段攻击，无论是直接连接到互联网的设备还是通过其他中间网络连接的设备对医院[14]和公共交通系统[15]的袭击就是明证，这导致CI的几个系统故障。4. 结论在这项研究中，我们模拟了CI中各种渗透源发出的不同加密勒索软件多阶段攻击。我们用WannaCry攻击验证了我们的建模方法。静态恶意软件分析结果显示了勒索软件在各个网络分区中传播和攻击CI组件所由于CI和ICS与Internet的集成似乎是不可避免的，因此保护CI和ICS的层次结构应该首先优先考虑生产网络，然后是监督/SCADA网络。具有DMZ的级联网络分段将最大限度地减少生产网络设备对网络威胁的暴露，前提是此类组件不面向互联网。这种深度防御的安全策略应该在每个网段中补充入侵检测系统。利益冲突作者声明，本文中不存在利益冲突引用[1] E. Byres，J. Lowe，工业控制系统网络安全风险背后的神话和事实，在：Proc.的VDE Kongress，卷。116，2004，pp.213-218[2] L. Obstanion，工业控制系统的安全架构，SANS Institute InfoSecReading Room，2015年。[3] E.D.纳普，J.T. Langill，《工业网络安全：保护智能电网、SCADA和其他工业控制系统的关键基础设施网络》，Syngress，2014。[4] H. Ghani，A. Khelil，N. Suri，G.切尔坦湖Gönczy，G. Urbanics，J.Clarke，AssessingtheSecurityofInternetConnectedCriticalInfrastructure，Secur. Commun.网络7（12）（2014）2713-2725。[5] S. Marrone ， Towards a unified definition of cyber and physicalaccessibilityin critical infrastructures ， in ： Security and PrivacyWorkshops（Eu-roS& PW），2017 IEEE European Symposium on，IEEE，2017，pp. 167 - 173。[6] K. Ganame，文学硕士阿莱尔湾扎格代内岛Boudar，零日恶意软件检测的网络行为分析-案例研究，在：分布式和云环境中的智能，安全和依赖系统国际会议，施普林格，Cham，2017年，pp。169-181。[7] D. Gonzales，J.M.Kaplan，E.Saltzman，Z.Winkelman，D.Woods，Cloud-信任-基础设施即服务（IaaS）云的安全评估模型，IEEETrans. Cloud Comput. 5（3）（2017）523-536。A. Zimba et al. / ICT Express 4（2018）1419[8] R. Brewer，勒索软件攻击：检测，预防和治愈，Netw。 安全2016（9）（2016）5-9.[9] G. Swenson，加强政府网络安全从WannaCry学到的经验教训，NIST，2017年。[10] S.Lüders ， WhyControlSystemCyber-Security ， BlackHatConference，2014年8月。[Online] Available：https：//www. blackhat.com/docs/us-14/materials/us-14-Luders-Why-Control-System-Cyber-Security-Sucks. pdf.[11] S.绍角，澳-地Tunc，P. Satam，S. Hariri，实时IRC威胁检测框架，在：Self* Systems（FAS* W）的基础和应用，2017年IEEE第二届国际研讨会，IEEE，2017年，pp。318-323[12] CVE-2017-0144详细信息，2017年10月。[Online] Available：https：//nvd. nist. GOV/VULN/DEE-2017-0144.[13] A. Al Hasib，A.A.M.M. Haque，AES和RSA密码学的性能和安全问题的比较研究，在：融合和混合信息技术，2008 ICCIT 505-510[14] T.A. Mattei，隐私，保密和医疗保健信息的安全：最近WannaCry网络攻击的教训，在：世界神经外科，第104卷，爱思唯尔，2017年，第104页。972-974.[15] N.胡克河，巴西-地Vosseler，Morton Swimmer，Cyberattacks againstintelligent transportation systems，TrendMicro TrendsLabs，2017 。[Online] Avail- able：https：//documents. 我的意思是，我的意思是，CC OM/ASSETS/WHHTE_PPERS/WP- C Y B E R A C S - A GA I N S- I N T E L I G E N T- T R A NS P ORTA TI NSS/W P- C Y BE RA CS - A G A I NS- INTE NSPO R A T A T O N S S/W P-C Y B ER A C S-T A S-I N S-T S P P O R A T A T O S S-T S S P OR A T O SS/W P-CY B E A S-T A S-T P P O S S P O S S P O S P O S S P O S PO S S P O S P OS pdf.