导语:在进行代码审计、渗透测试和漏洞调查时,研究人员经常遇到安装在工业企业操作技术(OT)网络上的个人电脑的合法远程管理工具(remote administration tool,RAT)。在卡巴斯基研究人员调查的一些安全事件中,攻击者经常使用RAT攻击各种工业组
前言
在进行代码审计、渗透测试和漏洞调查时,研究人员经常遇到安装在工业企业操作技术(OT)网络上的个人电脑的合法远程管理工具(remote administration tool,RAT)。在卡巴斯基研究人员调查的一些安全事件中,攻击者经常使用RAT攻击各种工业组织。在某些情况下,攻击者会在受害目标的计算机上偷偷安装RAT,而在另一些情况下,他们能够巧妙利用组织已经安装的RAT。这些观察结果,使得研究人员认为分析在ICS中使用RAT进行的攻击,显得非常必要,包括RAT在工业网络上的发生概率以及发生的原因。
分析方法
本文提供的统计数据是使用卡巴斯基安全网络(KSN)从卡巴斯基实验室产品保护的工业领域(Industrial control system, ICS)
计算机收集来的,卡巴斯基实验室ICS CERT将其归类为工业基础设施的一部分,它们负责执行以下具有一个或多个功能的Windows计算机:
1. 监控和数据采集(SCADA)服务器;
2.数据存储服务器(Historian);
3.数据网关(OPC);
4.工程师和操作员的固定工作站;
5.工程师和操作员的移动工作站;
6.人机界面(人机界面);
为了让研究更有代表性,研究人员考虑并分析了目前所有流行的Windows RAT,除了属于Windows操作系统的远程桌面之外,这是因为研究人员对此RAT的研究还未完成,故特此说明。
攻击者如何在ICS中使用RAT
根据KSN收集的数据,在2018年上半年,合法的RAT(分类为“非病毒:RemoteAdmin”的程序)被安装并在三分之一的ICS计算机上使用。
安装合法RAT的ICS计算机的百分比
以上的统计数据和研究人员的观察相吻合,即RAT确实经常用于工业企业的OT网络。研究人员认为,这可能是由于工业组织试图减少维护ICS相关的成本,并在出现故障时将响应时间降到最低。
正如研究人员已经观察到的那样,对处于OT网络上的计算机的远程访问并不仅限于企业网络内部的管理员和工程师。该权限还可以通过互联网提供给企业外围的用户。此类用户可以包括第三方企业的代表,比如系统集成商或ICS供应商的员工,他们使用RAT进行诊断,维护和解决任何ICS故障。正如研究人员对工业网络的安全代码进行审计所发现的那样,这种访问的安全性保护通常都执行不到位,且连接到OT网络的远程用户通常拥有过多的权限,例如本地管理员权限,这在确保安全方面显然是一个严重的问题。
通过对各种工业系统的工程师和操作员的实际访问调查,并根据对研究人员审计过的ICS用户文档的分析,研究人员确定了在工业网络中最常用的场景,比如:
1.从操作员工作站控制或监控人机界面(包括在大屏幕上显示信息);
2.从工程工作站控制或维护人机界面;
3.从操作员工作站控制SCADA;
4.从工程工作站或承包商或供应商的计算机(外部网络)提供SCADA维护;
5.将多个操作员连接到一个操作员工作站(类似瘦客户端的架构,用于节省运营商工作站上使用的软件的许可证);
6.通过人机界面从OT网络连接到办公室网络中的计算机,并在该计算机上执行各种任务,比如访问电子邮件,访问互联网,使用office文档等;
上面列出的一些场景表明,在OT网络上使用RAT可以通过操作要求来解释,这意味着放弃使用RAT将不可避免的需要对工作流程进行修改。同时,重要的是要认识到对受保护较差的RAT的攻击很容易导致工业进程的中断,因此,在OT网络上使用RAT的任何决定都应该考虑到这一点。所以,严格控制在OT网络上使用RAT将有助于减少攻击面和远程管理系统的感染风险。
在2018年上半年至少使用一次RAT的ICS计算机百分比排名前20的国家
在ICS计算机上安装RAT的场景
根据研究人员的调查,在ICS计算机上有三种最常见的RAT安装场景:
1.安装包含RAT的ICS软件分发包(使用单独的分发包或ICS软件安装程序)。 ICS软件分发包中包含的RAT,占研究人员在卡巴斯基实验室产品保护的ICS计算机上识别的所有RAT中的18.6%。
与ICS产品捆绑的RAT与ICS计算机上发现的所有RAT的百分比
2.由网络管理员、工程师、操作员或集成商公司的工作人员故意安装的RAT,根据研究人员在工业网络代码审计和安全事件调查方面的经验,研究人员认为此类安装不符合组织的信息安全政策,之所以不说是恶意的,是因为有些安装是由于工作人员不了解公司政策导致的。
3.恶意软件在用户不知情的情况下安装RAT,详情请见下文。
利用RAT发起ICS攻击
在工业网络上使用RAT发起攻击的案例是很难被发现的,且使用RAT的原因目前也不是很清楚。
研究人员在工业系统中发现的大多数RAT具有以下特点,这些特点会显着降低主机系统的安全级别:
1.提升权限:RAT的服务器端通常作为具有系统权限的服务执行,即NT SYSTEM;
2.不支持限制本地访问系统或客户端活动;
3.单因素认证;
4.没有记录客户活动;
5.在流行的RAT系统中发现的0 day漏洞;
6.使用中继服务器(用于反向连接),使RAT能够绕过NAT和防火墙限制;
与RAT相关的最关键问题是使用了提升的特权,并且没有任何方法来限制这些特权(或限制远程用户的本地访问)。这意味着在实践中,如果攻击者或恶意软件获得对远程用户计算机的访问权限,窃取身份验证数据(登录凭证或密码),劫持活动远程管理会话或成功攻击RAT服务器端中的漏洞,他们将获得对ICS系统的无限制控制。通过使用中继服务器进行反向连接,攻击者还可以从世界上任何地方连接到这些RAT。
还有其他问题会影响ICS软件分发包中内置的RAT:
1.即使发布了新版本的ICS分发包,RAT组件和分发包也很少更新,这使它们更容易包含漏洞;
2.在绝大多数情况下,使用默认密码,默认密码是由ICS软件供应商硬编码到RAT中的,或者在文档中指定为“推荐”。
RAT是经常在工业网络上使用的合法软件工具,这意味着将涉及RAT的攻击与RAT产生的合法活动区分开来可能非常困难。此外,由于信息安全服务和负责ICS安全的其他员工通常不知道安装了RAT,因此在审核工业网络的安全性时,大多数情况下不会对RAT病毒的配置进行分析。这就使得在工业网络上使用RAT时,对人员的培训,使用目的进行控制尤为重要,并确保在不了解OT网络信息安全的情况下,完全禁用RAT。
利用RAT发起攻击
上述所有内容都适用于和RAT相关的潜在攻击,根据研究人员对KSN统计数据的分析,研究人员目前已经能够在ICS中识别出许多和RAT相关的攻击和恶意软件感染。在大多数情况下,攻击场景如下(按攻击发生概率的降序排列):
1.来自本地网络或互联网的暴力网络攻击,旨在破解登录凭证或密码;
2.使用被盗或破解的认证凭证,利用RAT下载和执行恶意软件的攻击者或恶意软件;
3.远程用户(可能是被攻击者欺骗的合法用户)使用RAT将木马下载到ICS计算机,然后执行,木马可以伪装成办公文件、非工业软件(游戏、多媒体软件等)、办公、应用或工业软件的破解或密钥等;
4.来自本地网络或互联网的网络攻击者在RAT服务器端利用漏洞进行攻击;
旨在破解登录或密码的暴力类型网络攻击是最常见的,因为它们的实现不需要任何特殊知识或技能,并且此类攻击中使用的软件是公开可用的。
目前研究人员还不能根据收集的数据确定是谁(合法用户,攻击者或恶意软件)连接了安装在ICS计算机上的RAT服务器端,也无法确定攻击发生的原因。因此,研究人员只能猜测此攻击活动是有针对性的攻击,旨在尝试利用RAT服务器端司机发起破坏。
但根据经验,来自互联网的网络攻击很可能是由使用恶意软件、渗透测试工具或僵尸网络的攻击者实施的。来自本地网络的网络攻击可能表明网络上存在攻击者(可能包括内部人员)。另一种可能性是,本地网络上存在受感染的计算机,该计算机已经受到恶意软件感染或被攻击者用作肉鸡(如果验证凭据先前已被泄露)。
使用RMS和TeamViewer攻击工业企业
在2018年上半年,卡巴斯基实验室ICS CERT发现了新一轮的网络钓鱼电子邮件伪装成合法软件的攻击。虽然攻击主要针对俄罗斯境内的工业公司,但同样的策略和工具可用于攻击世界任何国家的工业公司。
经调查,这些攻击中使用的恶意软件会诱导用户安装合法的远程管理软件——TeamViewer(TeamViewer是一个能在任何防火墙和NAT代理的后台用于远程控制的应用程序,桌面共享和文件传输的简单且快速的解决方案。)或远程操纵器系统/远程实用程序(RMS)。在这两种情况下,系统DLL都被恶意库替换,这样恶意代码就会被注入合法程序的进程。这样攻击者对受感染系统就实现了远程控制,不过攻击者会使用各种技术来掩盖系统上安装的软件的感染和活动。
如有必要,攻击者会向受感染系统下载一个额外的恶意软件包,该系统专门针对每个受害者的攻击而定制。这些恶意软件可能包含间谍软件、附加的远程管理工具以扩展攻击者对受感染系统的控制,恶意软件利用操作系统和应用软件的漏洞,以及Mimikatz实用工具,使获取Windows帐户数据成为可能。
根据现有的样本,攻击者的主要目标是从受害组织的帐户中窃取资金,但研究人员分析攻击目的不仅限于窃取资金。在攻击目标的过程中,攻击者更愿意窃取目标组织及其合作伙伴和客户的敏感数据,以实现对受害公司员工的秘密监控,并使用受感染设备录制音频和视频。显然,除了经济损失之外,这些攻击还会导致受害组织的敏感数据泄露。
利用RAT对汽车制造商发起的多次攻击
基于第二种场景(以上所讲的三种最常见的RAT安装场景)的攻击的一个典型例子是对汽车制造和服务公司的工业网络的攻击,特别是对用于诊断卡车和重型车辆的发动机和车载系统的计算机的攻击,卡巴斯基实验室产品已经阻止了多次进行此类攻击的尝试。
在汽车制造商的工业网络中,至少有一台电脑被安装了RAT,并间歇性地进行运行。从2017年底开始,卡巴斯基实验室产品在计算机上已经阻止了许多使用RAT发起各种恶意程序的尝试。
在通过RAT进入潜在受害者的基础设施后,攻击者一直试图选择一个能够让他们逃避杀毒软件的恶意打包器。
被阻止的程序包括将卡巴斯基实验室产品检测到的恶意软件修改为Net-Worm.Win32.Agent.pm。在进行恶意传播时,这种木马会立即开始在本地网络上扩散,利用MS17-010漏洞,这个漏洞是由ShadowBrokers在2017年春天公布的,并被臭名昭著的WannaCry和ExPetr加密攻击使用。
Nymaim木马家族目前也被禁用了,这个家族的木马经常被用来下载来自Necus家族的僵尸网络代理,Necus家族则反过来经常被用来感染来自Locky家族的勒索软件的计算机。
总结
远程管理工具广泛用于工业网络,用于ICS监控、控制和维护。远程操作ICS的能力大大降低了工业系统的维护成本,但与此同时,失控的远程访问客户端以及RAT代码和配置中的漏洞,大大增加了攻击面,攻击者越来越多的使用RAT以及其他合法工具来掩盖恶意活动,并使安全检查变得更加困难。
为降低RAT的网络攻击风险,研究人员建议采取以下高优先级安全措施:
1. 审核应用程序和系统远程管理工具在工业网络(如VNC、RDP、TeamViewer和RMS 或远程实用程序)上的使用情况,删除工业生产过程不需要的所有远程管理工具;
2. 审计并禁用ICS软件附带的远程管理工具;
3.密切监控和记录工业过程所需的每个远程控制会话的事件,默认情况下应禁用远程访问,只能在请求时启用,且启用时间段也要进行设置;