《国利网安:工业控制系统安全威胁白皮书2024(36页).pdf》由会员分享,可在线阅读,更多相关《国利网安:工业控制系统安全威胁白皮书2024(36页).pdf(36页珍藏版)》请在三个皮匠报告上搜索。
1、工业控制系统安全威胁白皮书2024White Paper of Industrial Control System Threats-2024上海交通大学宁波人工智能研究院浙江国利网安科技有限公司极星工控安全联合实验室工业控制系统安全威胁白皮书目录前言.I一、工业控制系统安全概述.1二、工业控制系统安全事件.21、FrostyGoop 攻击事件.22、Cactus 勒索攻击事件.33、Fuxnet 攻击事件.44、Akira 勒索攻击事件.55、CMoon 蠕虫攻击事件.66、Ivanti VPN 攻击事件.7三、活跃的 APT 组织.71、Lifting Zmiy 组织.82、Libraria
2、n Ghouls 组织.93、29155 部队.104、Hellhounds 组织.11四、工业控制系统的安全漏洞.111、工业控制系统重点漏洞.112、工业控制系统漏洞统计分析.16(1)漏洞的类型和数量.16(2)漏洞的厂商分布.17(3)漏洞的危害统计.18(4)漏洞的产品分布.20五、极星实验室安全研究成果.201、ICS 漏洞挖掘.202、新型攻击方式.21(1)工控系统工程文件植入式攻击.22(2)基于闪存的设备物理毁伤攻击.24(3)DM-PLC 勒索软件攻击.29六、总结.32工业控制系统安全威胁白皮书I前言前言工业控制系统涉及到的行业包括了油气、炼化、矿产、水务、交通以及制造
3、业等行业,这些行业是国民经济的重要组成部分,关系到一个国家经济的健康发展,与人民的生活息息相关。保证工业控制系统的安全才能给国家基础设施提供有效的保障。2024 年工业和信息化部正式印发工业控制系统网络安全防护指南,立足我国工业控制系统发展和安全建设实际,围绕安全管理、技术防护、安全运营、责任落实四个方面,面向工业企业提出 33 项指导性安全防护基线要求,指导工业企业切实提升工控安全防护水平。尽管政府和企业投入了大量的人力物力来保证工业控制系统安全,仍然有许多知名工业企业遭受到了网络攻击。这一方面是由于在地缘政治冲突中,攻击工业控制系统所需要的成本远低于物理空间中的直接对抗,而给对手带来的影响
4、却是巨大的;另一方面是攻击者对工业控制系统研究的逐步深入为这些攻击行为提供了技术上的支持。“不知攻,焉知防?”,为了应对工业控制系统越来越严峻的安全形势,首先需要了解攻击者所使用的技战术,才能够有效地补齐防护策略中的短板,保障工业控制系统的安全。本白皮书选取了 2024 年工业控制系统的典型攻击事件,结合这些攻击所关联的背景事件,剖析了针对工业控制系统攻击所呈现出的新趋势,从攻击者的角度展示了在对工业企业的攻击中使用的技战术,给工业企业带来一定的安全启示。极星工控安全联合实验室工业控制系统安全威胁白皮书1一、工业控制系统安全概述一、工业控制系统安全概述2024 年工业控制系统安全依然面临着各种
5、挑战,勒索软件、供应链攻击和网络钓鱼等攻击方式持续威胁工业控制系统安全。工业控制系统作为关键基础设施的核心控制层,其安全性直接影响着国民经济、公共安全和社会稳定。也正因为如此,工业控制系统成为攻击者青睐的目标。同时,随着攻守双方对工业控制系统的深入研究,针对工业控制系统的新型攻击方式也不断涌现。总结 2024 年工业控制系统的安全威胁和攻击事件,不难发现以下特点。(1)相较于 2023 年,地缘政治冲突中的参与者已经充分认识到针对工业控制系统攻击的“性价比”,即攻击成本远低于物理空间中的直接冲突,而造成的破坏却能影响国家的正常经济活动和人民的日常生活攻击成本远低于物理空间中的直接冲突,而造成的
6、破坏却能影响国家的正常经济活动和人民的日常生活。因此,越来越重视对工业控制系统控制的基础设施的攻击。(2)随着攻击组织对工业控制系统的深入了解,其攻击的技战术也比去年更专业,更是提出一些具有创造性的攻击方式。这是因为这些攻击组织大都受到国家背景力量的支持,能够花费大量的时间和精力对工业控制系统进行深入研究。(3)攻击组织针对工业控制系统的定制化工具逐渐流行。继震网病毒、PIPEDREAM 和 BlackEnergy 等针对工业控制系统的恶意软件之后,针对工业控制系统的定制化攻击工具进一步流行,这些工具充分利用工业控制系统提供的公共库或者协议等,实现对工业控制系统的攻击这些工具充分利用工业控制系
7、统提供的公共库或者协议等,实现对工业控制系统的攻击。(4)勒索软件攻击仍是工业企业面临的一个巨大风险,2024 年勒索软件针对工业控制系统的攻击出现了新的研究方向,更加强调结合工业控制系统本身的特点进行定制化的勒索攻击结合工业控制系统本身的特点进行定制化的勒索攻击,将企业的生产过程纳入勒索软件攻击的范围,给企业的生产过程带来了严重威胁。(5)运维通道成为攻击者获取对系统初始访问权限的一个重要途径运维通道成为攻击者获取对系统初始访问权限的一个重要途径,这些运维通道包括远控软件、VPN、浏览器等运维人员常用的工具。这些运维通道一般具备直达工业企业核心网络的权限,一旦被攻击者入侵,会严重影响工业企业
8、的系统安全。(6)工业控制系统安全漏洞数量依旧保持在高位,对工业企业形成安全威工业控制系统安全威胁白皮书2胁。随着工控网与互联网的逐渐融合,工业控制系统中老旧版本的软件也更容易暴露在互联网的环境中,加之工控系统安全漏洞的在野利用,对工业企业的安全生产带来了严重威胁。二、工业控制系统安全事件二、工业控制系统安全事件2024 年针对工业控制系统的攻击事件依然层出不穷,这些攻击活动涉及到了能源、炼化、电力、水务、交通等行业的基础设施。除了具备传统网络攻击的特点外,也呈现出了一些针对工业控制系统的特有攻击方式,如攻击者开发的利用 Modbus 协议进行通信的攻击工具 FrostyGoop,该工具针对工
9、业控制系统进行了定制化开发。这些攻击事件给相关的工业企业带来了巨大的安全威胁,我们选取了 2024年工业控制系统安全攻击事件中代表了相应的攻击趋势的事件,简要分析了攻击活动的过程以及造成的影响,以此来引起工业企业对工业控制系统安全的关注。1、FrostyGoop 攻击事件1、FrostyGoop 攻击事件Dragos 于 2024 年 4 月发现了 FrostyGoop 恶意软件,该恶意软件是一款全新的针对工业控制系统开发的攻击工具,它可以直接使用 Modbus 与 ICS 进行交互,Modbus 是全球所有工业企业中使用的标准协议。该恶意软件与 2022 年发现的针对工业控制系统的恶意软件
10、PIPEDREAM 不同,PIPEDREAM 在其组件中使用 Modbus通讯进行枚举。而 FrostyGoop 是用 Golang 编写的工业控制系统专用恶意软件,通过 502 端口使用 Modbus TCP 直接与工业控制系统交互而 FrostyGoop 是用 Golang 编写的工业控制系统专用恶意软件,通过 502 端口使用 Modbus TCP 直接与工业控制系统交互。该恶意软件是针对Windows 系统编译的,且具有一定的免杀特性,躲过了杀毒软件的查杀。FrostyGoop 被用于针对乌克兰市政区能源公司的攻击,该公司为利沃夫的600 多栋公寓楼提供集中供暖。此次攻击针对的是公用事
11、业公司的 ENCO 温度控制器。攻击者首先是将设备的固件降级为不发送遥测数据的版本,其次是向控制器发送命令,导致它们报告不准确的读数,这会导致供暖系统断电。FrostyGoop能够读取和写入控制设备的保持寄存器,这些寄存器包含输入、输出和配置信息。它接受可选的命令行参数,使用单独的配置文件指定目标IP地址和Modbus命令,并将输出记录到控制台和 JSON 文件中。工业控制系统安全威胁白皮书3对乌克兰攻击事件的调查显示,攻击者可能通过 Mikrotik 路由器外部的一个未指明的漏洞访问了受害者的网络。Mikrotik 路由器、四台管理服务器和区域供热系统控制器等网络资产未充分进行网络划分,这为
12、攻击提供了便利。2、Cactus 勒索攻击事件2、Cactus 勒索攻击事件2024 年 1 月 17 日,Cactus 勒索软件组织攻击了施耐德电气的可持续发展业务部门,破坏了 Resource Advisor 云平台,并窃取了数 TB 的数据信息。随后,该勒索软件组织开始对施耐德进行勒索,并威胁称如果不支付赎金,就会泄露窃取的数据,攻击导致 Resource Advisor 云平台处于中断状态。图 1 勒索详情可持续发展业务部为企业组织提供咨询服务,就可再生能源解决方案提供建议,并帮助全球企业应对复杂的气候监管要求,主要客户包括 Allegiant TravelCompany、Clorox
13、、DHL、杜邦、希尔顿、利盟、百事可乐和沃尔玛等世界知名企业。此次攻击被窃取数据可能包含有关客户的敏感信息,涉及电力利用、工业控工业控制系统安全威胁白皮书4制和自动化系统,以及环境和能源法规等方面。施耐德电气发布声明称,确认可持续业务部门遭受网络攻击,攻击者访问了敏感数据。不过,该公司强调此次攻击仅限于该部门,没有影响公司的其他部门。尽管如此,此次攻击事件还是影响了全球 2700 多家公司。施耐德电气是一家法国跨国公司,制造各类能源和自动化产品,包括大型商超出售的家用电器元件、企业级工业控制系统和建筑自动化产品,产品线极其广泛。该公司旗下运营多个知名消费品牌,包括 Homeline、Squar
14、e D 和 APC。值得注意的是,施耐德电气此前曾被 Clop 勒索软件团伙盯上,成为 MOVEit 数据窃取攻击目标。3、Fuxnet 攻击事件3、Fuxnet 攻击事件2024 年 4 月 15 日,隶属于乌克兰安全部门的一个名为 Blackjack 的黑客组织声称对俄罗斯多个重要目标发起了攻击。黑客组织声称使用 Fuxnet 恶意软件已禁用了包括与机场、地铁系统和天然气管道相关的 87,000 个传感器,但据Team82 的分析只有大约 500 个传感器网关受到网络攻击的影响。攻击者将攻击的结果在 https:/ Moscollector 的攻击信息,包括攻击者使用的 Fuxnet 恶意
15、软件以及被攻击者攻破并清空数据的服务器和数据库的截图。工业控制系统安全威胁白皮书5图 2 攻击者展示的攻击成果此次攻击中,攻击者使用的 Fuxnet 恶意软件具备对传感器中的闪存进行破坏性擦写的功能,能够对这些设备造成物理毁伤攻击者使用的 Fuxnet 恶意软件具备对传感器中的闪存进行破坏性擦写的功能,能够对这些设备造成物理毁伤,这给系统的恢复带来了困难。4、Akira 勒索攻击事件4、Akira 勒索攻击事件2024 年 1 月 21 日,芬兰 IT 服务和企业云托管提供商 Tietoevry 遭受勒索软件攻击,影响了其位于瑞典的一个数据中心的云托管客户,攻击者对该公司的虚拟化和管理服务器进
16、行了加密,这些服务器用于托管瑞典众多企业的网站和应用程序。Tietoevry 立即隔离了受影响的平台,勒索软件攻击并未影响公司基础设施的其他部分。尽管如此,此次攻击还是给瑞典的多个企业和政府机构带来了影响。瑞典最大的连锁影院 Filmstaden 因此次攻击而无法通过网站或移动应用程序在线购买电影票。这次攻击还导致 Tietoevry 的薪资和人力资源管理系统Primula 中断,该系统被瑞典政府、大学和学院广泛使用。该国受影响的大学和学院包括卡罗林斯卡学院、SLU、西部大学、斯德哥尔摩大学、隆德大学和马尔工业控制系统安全威胁白皮书6默大学。此外,Primula 系统的中断还影响了瑞典的众多政
17、府机构和市政当局,包括 Statens 服务中心、Vellinge 市和乌普萨拉县。对于乌普萨拉来说,系统的中断还影响了该地区的医疗保健记录系统。勒索攻击的目标一旦选定为涉及居民日常生活的基础设施,带来的影响将是极其广泛的勒索攻击的目标一旦选定为涉及居民日常生活的基础设施,带来的影响将是极其广泛的,需要引起企业的足够重视。5、CMoon 蠕虫攻击事件5、CMoon 蠕虫攻击事件2024 年 7 月底,CMoon 蠕虫通过俄罗斯一家能源公司的网站传播开来。该网站多个部分提供的.docx、.xlsx、.rtf 和.pdf 格式的文档下载链接被替换为其他格式的链接,攻击者替换了该能源公司网站上大约二
18、十几个链接,每个链接都会下载一个自解压文档,该文档包含原始文档和相同的可执行文件。Cmoon 是一种用.NET 编写的蠕虫病毒,具有数据盗窃和远程控制功能。一旦进入用户的计算机,它首先尝试确定是否存在防病毒软件,以便可以将自己复制到相应的文件夹:%LocalAppData%.dat,在这之后该恶意软件会在开始菜单下创建启动快捷方式:%AppData%MicrosoftWindowsStart MenuProgramsStartup.lnk。该蠕虫一旦被允许,立即开始监控连接的 USB 驱动器,寻找感兴趣的文件,并将蠕虫复制到这些文件上,为后续的进一步传播到其他计算机做准备。为了感染闪存驱动器,
19、闪存驱动器上的所有文件(扩展名为.lnk 和.exe 的文件以及带有子字符串.intelligence 和.usb 的文件夹中的文件除外)都会被替换为指向恶意软件的快捷方式。蠕虫使用带有.intelligence 子字符串的文件夹来临时存储可能感兴趣的文件,然后将其发送到服务器,而带有.usb 子字符串的文件夹用于存储原始文档和恶意程序本身的副本。除了自我传播功能外,蠕虫还能够从远程服务器接收命令。该蠕虫会从用户的桌面、文档、照片、下载和媒体文件夹中搜索文本中包含子字符串“secret”、“service”、“password”和其他关键字的文件,并将其发送到攻击者的服务器。该恶意软件还能够截
20、取屏幕截图,可以从网络浏览器中收集包含已保存的密码、cookie、书签、浏览历史记录和自动填写表单信息(包括工业控制系统安全威胁白皮书7信用卡信息)的文件。6、Ivanti VPN 攻击事件6、Ivanti VPN 攻击事件Magnet Goblin 利用 Ivanti Connect Secure VPN 中的 1-day 漏洞对美国的多个目标进行了攻击,涉及医疗、制造业和能源领域。攻击者利用了 Ivanti Connect Secure VPN 服务器中的已知漏洞,在目标 IT系统中部署后门。攻击者使用的恶意软件包括 Linux 后门 MiniNerbian、新版本的 NerbianRAT
21、、使用 JavaScript 编写的 WARPWIRE 凭证窃取程序,以及用 GO 编写的开源隧道工具 Ligolo。攻击者还使用正常的远程监控和管理工具,如ScreenConnect 和 AnyDesk。图 3 Magnet Goblin 攻击活动三、活跃的 APT 组织三、活跃的 APT 组织APT 组织一直是工业控制系统的一大安全威胁,与往常一样,2024 年 APT 组织最常使用的攻击方法依然是社会工程学攻击(网络钓鱼)和针对工业企业对外暴露了接口的互联网设备的漏洞利用,通过这种方式来获取初始的访问权限。除此之外,APT 组织也呈现了一些针对工业控制系统的特有的攻击特点,如以获取工业企
22、业设计方案等企业机密信息为目标的攻击、工业控制系统下的供应链攻击、战争背景下网络空间中对工业企业相关基础设施的攻击以及一些更深入工业控制系统安全威胁白皮书8的网络钓鱼攻击等。1、Lifting Zmiy 组织1、Lifting Zmiy 组织2024 年 7 月 8 日,Solar 4RAYS 研究人员发布了一份报告,揭示了 LiftingZmiy 黑客组织的活动,该组织突破了传统的攻击方式,实现了由 OT 到 IT 的攻击链该组织突破了传统的攻击方式,实现了由 OT 到 IT 的攻击链。该组织自 2022 年初以来,以网络间谍活动为目标,攻击了数十家俄罗斯能源、公共部门、IT 和其他领域的公
23、司。攻击者不仅利用俄罗斯公司泄露的数据进行后续攻击,还将其发布在公共领域,主要是在亲乌克兰的 Telegram 频道中。通过对 2023 年 9 月至 2024 年 6 月间 4 起典型案例的追踪分析,4RAYS 网络威胁研究中心判定该黑客组织入侵了俄罗斯工业自动化企业 Tekon-Avtomatika的 KUN-IP8 PLC 设备,这些设备是 SCADA 系统的一部分,也用于控制电梯等设备,并在其上部署了控制与通信(C2)服务器。图 4 KUN-IP8 控制器Tekon-AvtomatikaKUN-IP8 PLC 设备运行的是 Linux 系统,具有一个允许加载和执行自定义的 LUA 脚本
24、的模块。这种设计提供了极大的灵活性,但也带来了安全风险。由于 LUA 插件能够以 root 权限运行,能够执行任何 bash 命令,这工业控制系统安全威胁白皮书9为攻击者将 PLC 变身 C2 创造了条件。研究人员分析发现反向 SSH 样本后,提取了相应的 C2 地址,该地址指向受感染的 Tekon-Avtomatika PLC。进一步的分析后,又在受感染的设备上发现了更多命令和控制服务器。据统计,总共发现了23 个 C2 服务器,其中 16 个是 Tekon-Avtomatika PLC。截至 2024 年 6 月,23个 C2 中仍有 14 个处于活跃状态,这些活跃的 C2 中有 8 台部
25、署在受感染的 PLC上。由于该黑客组织获取对系统的初始访问是通过攻击 Tekon-Avtomatika 的PLC 设备实现的,这事实上构成了由 OT 到 IT 的攻击链,这种攻击手法的成功应当引起工业网络安全行业的高度警惕。传统上一般都认为 OT 网络攻击都是因 IT系统暴露面和漏洞而引发,而本次事件中攻击者首先直接突破并控制了 PLC 并使其变为 C2 服务器,进而开展更进一步的攻击活动。此外,攻击者利用多达 20 个常见企业软件中已知的漏洞来渗透网络、提升权限并获得主机控制权。除了技术手段外,Lifting Zmiy 还擅长社会工程学攻击。该组织可以完美地掩盖自己的踪迹,主要利用了在俄罗斯
26、和国外拥有的大量C2 服务器网络,从托管服务提供商和云平台上租用资源以避免 GeoIP 封锁。2、Librarian Ghouls 组织2、Librarian Ghouls 组织2024 年 7 月初,Librarian Ghouls 攻击组织通过发送伪装成正常文档的恶意文件,以从各个目标公司的计算机中收集敏感信息。他们的攻击目标包括从事各种行业设计和开发的公司、研究机构、火箭、航天和航空公司,以及在天然气加工、石化和国防部门运营的企业。此外,潜水设备、通信和雷达系统、汽车零部件、自动控制系统和半导体设备的制造商也成为攻击目标。该组织的攻击方法保持不变,将恶意文件以.SCR 格式的虚假文档存放
27、到 RAR存档中进行分发。一旦运行,.SCR 恶意软件就会将其他恶意组件下载到计算机,收集感兴趣的数据并将其发送到攻击者的服务器。该组织收集数据的目标瞄准了与工业系统建模和设计软件相关的文件。该组织收集数据的目标瞄准了与工业系统建模和设计软件相关的文件。恶意软件收集的文件列表中添加了几个典型的高度专业化软件的扩展名,例如用于工业设计的 SolidWorks 自动设计系统的文件、俄罗斯 KOMPAS-3D CAD 系统的文件、用于创建物体三维模型的各种程工业控制系统安全威胁白皮书10序使用的.m3d 文件、AutoCAD、CorelCAD 等 CAD 软件包使用的.dwg 文件。此外,该恶意软件
28、还窃取了 pdf 格式的文档。3、29155 部队3、29155 部队2024年9月5日,美国网络安全和基础设施安全局(CISA)、联邦调查局(FBI)、国家安全局(NSA)和其他九个国家的安全机构发布了一份联合网络安全咨询,重点介绍了 29155 部队的活动,该部队与俄罗斯联邦武装力量总参谋部(前身为 GRU)有关。报告指出 29155 部队负责针对乌克兰政府、关键基础设施组织和关键资源部门进行攻击,包括北约成员国、欧盟以及中美洲和亚洲国家的政府服务、金融服务、交通系统、能源和医疗保健部门。该部队使用 WhisperGate 恶意软件来攻击乌克兰。WhisperGate 是通过两种不同的破坏
29、性恶意软件组件执行的。第一个组件名为 stage1.exe,从C:PerfLogs、C:ProgramData、C:或 C:temp 文件夹启动,覆盖主引导记录(MBR)以显示赎金。所有受害者的比特币赎金支付地址是相同的,并且没有提供输入解密密钥的方法。第二个组件名为 stage2.exe,可以同时执行文件名为 Tbopbh.jpg 的破坏数据的恶意软件,该恶意软件托管在 Discord 上,可以用静态数据覆盖目标文件。一旦在内存中执行,损坏程序就会针对以下硬编码文件扩展名在系统中定位目标文件并进行破坏。图 5 目标扩展名29155 部队使用常见的红队技术和公开可用的工具进行网络操作,该部队还
30、工业控制系统安全威胁白皮书11会使用 VPN 来匿名化他们的行动,并试图利用暴露在互联网上的系统漏洞进行攻击。4、Hellhounds 组织4、Hellhounds 组织Positive Technologies 的研究人员报告称,Hellhounds 攻击组织持续对俄罗斯公司进行攻击,至少有 48 家公司受到攻击,其中包括公共部门、IT、航空航天、能源、运输和物流以及采矿公司。除了之前已知的 TTP 和对 Linux 主机的攻击外,他们还发现了之前未报告的针对基于 Windows 的基础设施的攻击。自2021 年以来,Hellhounds 一直成功瞄准俄罗斯的这些设计到基础设施的公司。该攻击
31、组织通过供应链攻击破坏了目标网络该攻击组织通过供应链攻击破坏了目标网络。Hellhounds 将其工具伪装成合法的软件进程。尽管几乎整个 Hellhounds 工具包都基于开源 PupyRAT 项目,并且与之前分析的 Linux 版 Decoy Dog 几乎完全相同,但攻击者能够逃避针对恶意软件的防御并在目标网络中保持持久性。四、工业控制系统的四、工业控制系统的安全漏洞安全漏洞1、工业控制系统重点漏洞1、工业控制系统重点漏洞工业控制系统安全漏洞一直是工业企业面临的一大安全隐患,尤其是危害等级较高的漏洞,这些漏洞一般具备较高的易用性,同时漏洞利用效果具有较大的危害性。我们选取了 2024 年危害
32、较大的工业控制系统安全漏洞,以 CVE 编号顺序分列如下。(1)CVE-2024-2012/CVE-2024-2013(1)CVE-2024-2012/CVE-2024-2013FOXMAN-UN 是一种用于模拟和优化复杂系统的仿真工具,特别关注于网络和系统的建模与分析。它通常用于军事、国防和其他需要高可靠性和高效能的领域。UNEM(Unified Network Energy Management)是日立公司开发的一种能源管理解决方案,旨在通过数据集成和分析,优化能源使用和管理。它广泛应用于电力、制造、交通等行业,帮助企业提高能源效率、降低成本并实现可持续发展目标。CVE-2024-2012
33、 和 CVE-2024-2013 是身份认证绕过漏洞,存在于上述两个产品中,可以允许攻击者在目标服务器上执行任意命令,从而实现对目标系统的访问。工业控制系统安全威胁白皮书12表 1 CVE-2024-2012 漏洞详情漏洞类型命令注入CVSS v39.8利用效果任意代码执行供应商Hitachi Energy受影响产品FOXMAN-UN 和 UNEM表 2 CVE-2024-2013 漏洞详情漏洞类型命令注入CVSS v310.0利用效果任意代码执行供应商Hitachi Energy受影响产品FOXMAN-UN 和 UNEM该漏洞的利用对应 ATT&CK 框架的 TA0006 凭据访问阶段,T1
34、212 凭据泄露利用。攻击者通过此种漏洞可以绕过身份验证获取到工业企业系统的访问权限,执行特定的命令等操作。(2)CVE-2024-6209/CVE-2024-6298(2)CVE-2024-6209/CVE-2024-6298ABB 的 ASPECT 产品是一个用于工业自动化和数据处理的解决方案,主要面向制造和过程行业。ASPECT 提供强大的数据集成功能,能够从不同的设备和系统中收集和整合数据,促进信息的实时共享。该产品具有直观的用户界面,支持实时监控和可视化,帮助用户快速识别生产过程中的关键指标和潜在问题。同时,ASPECT 提供数据分析功能,能够生成详细的报告,帮助企业识别趋势、优化流
35、程并做出数据驱动的决策。通过集成先进的算法,ASPECT 支持自动化控制和智能决策,提升生产效率和灵活性。ABB 的 ASPECT 系统中存在两个严重的安全漏洞:CVE-2024-6209 和CVE-2024-6298。这些漏洞源于配置问题和输入验证不足,可能允许攻击者获得对 ASPECT 设备系统文件夹的未经授权访问。在最坏的情况下,恶意行为者可以利用这些漏洞远程控制系统,插入并执行任意代码。这可能导致 ASPECT 系统被工业控制系统安全威胁白皮书13完全控制,对工业企业造成重大影响。表 3 CVE-2024-6209 漏洞详情漏洞类型未授权的文件访问CVSS v49.4利用效果信息泄露供
36、应商ABB受影响产品ABB ASPECT-Enterprise v3.08.01;NEXUS Seriesv3.08.01;MATRIX Series v3.08.01表 4 CVE-2024-6298 漏洞详情漏洞类型输入验证不当漏洞CVSS v49.4利用效果任意代码执行供应商ABB受影响产品ABB ASPECT-Enterprise v3.08.01;NEXUS Seriesv3.08.01;MATRIX Series v3.08.01该漏洞的利用对应 ATT&CK 框架的 TA0001 初始访问阶段,T1190 针对对外开放的服务的漏洞利用。攻击者通过此种漏洞可以绕过身份验证获取到工业
37、企业系统的访问权限,执行特定的命令等操作。(3)CVE-2024-10386(3)CVE-2024-10386Rockwell Automation ThinManager 是美国罗克韦尔(Rockwell Automation)公司的一款瘦客户端管理软件。允许将瘦客户端同时分配给多个远程桌面服务器。CVE-2024-10386 存在于 Rockwell Automation ThinManager 中,该漏洞是由于身份验证导致的,可能允许具有网络访问权限的攻击者向设备发送特制的消息从而导致数据库操纵。表 5 CVE-2024-10386 漏洞详情漏洞类型认证机制不恰当CVSS v49.3工业
38、控制系统安全威胁白皮书14利用效果数据泄露供应商Rockwell Automation受影响产品Rockwell Automation ThinManager该漏洞的利用对应 ATT&CK 框架的 TA0006 凭证访问阶段,T1212 基于漏洞利用的凭证访问。攻击者可以通过该漏洞直接获取到工业企业的内部数据的访问权限,从而给工业企业的数据安全带来隐患。(4)CVE-2024-11155(4)CVE-2024-11155罗克韦尔(Rockwell Automation)Arena 是一种强大的离散事件仿真软件,广泛应用于制造、物流、供应链管理等领域。它可以帮助用户建模、分析和优化复杂的系统,以
39、提高效率和减少成本。借助 Arena 软件的 3D 功能,用户能够更好地在实际环境中可视化业务仿真结果。Arena 不断增加的新功能又将其强大的可视化功能扩展到物料输送领域。在 Arena 可视化设计工具框架之内,3D 动画组件可轻松拖放到仿真环境中,无需进行任何编程或编码。该漏洞存在于 Arena 所有 16.20.00 之前的版本中,攻击者通过构造一个 DOE文件能够强制系统使用一个已经被释放的资源,该漏洞一旦触发,可以实现在目标系统上的任意代码执行。漏洞的触发需要攻击者诱导合法用户运行恶意代码。表 6 CVE-2024-11155 漏洞详情漏洞类型释放后使用CVSS v48.5利用效果任
40、意代码执行供应商Rockwell Automation受影响产品Arena该漏洞的利用对应 ATT&CK 框架的 TA0002 命令执行阶段,T1203 通过对客户端的漏洞利用来执行命令。攻击者通过优势合法用户来触发该漏洞,进而获取工业企业系统的访问权限,执行特定的命令。(5)CVE-2024-21887(5)CVE-2024-21887Ivanti Connect Secure 是一款提供远程和移动用户从任何支持 Web 的设备到企业资源的无缝、经济的 SSL VPN 解决方案。Ivanti Connect Secure(9.x、工业控制系统安全威胁白皮书1522.x)和 Ivanti Po
41、licy Secure(9.x、22.x)的 Web 组件中存在一个命令注入漏洞,该漏洞允许经过身份验证的管理员在设备上发送特制请求并执行任意命令,从而获取目标系统权限。表 7 CVE-2024-21887 漏洞详情漏洞类型命令注入CVSS v39.1利用效果任意代码执行供应商Ivanti受影响产品Ivanti Connect Secure Version 9.x 和 22.x该漏洞的利用对应 ATT&CK 框架的 TA0001 初始访问阶段,T1190 针对对外开放的服务的漏洞利用。攻击者通过该漏洞可以获取工业企业系统的访问权限,执行特定的命令等操作。(6)CVE-2024-49775(6)
42、CVE-2024-49775西门子发布公告称其用户管理组件(UMC)中存在一个严重的堆内存溢出漏洞(CVE-2024-49775),该漏洞可能导致攻击者执行任意代码。受影响的产品包括Opcenter Execution Foundation、SIMATIC PCS neo、SINEC NMS 等,这些系统广泛应用于制造业和能源领域,用于分布式控制和网络监控。漏洞的根本原因在于内存处理不当,可能被攻击者用来破坏运营、窃取数据或操控关键系统。表 8 CVE-2024-49775 漏洞详情漏洞类型堆内存溢出CVSS v49.3利用效果任意代码执行供应商西门子受影响产品Opcenter Executi
43、on Foundation、SIMATIC PCS neo、SINEC NMS等该漏洞的利用对应 ATT&CK 框架的 TA0008 横向移动阶段,T1210 针对远程服务的漏洞利用。攻击者通过该漏洞可以在工业企业的内部进行横向移动,扩大资产控制的范围,为攻击者后续寻找高价值目标提供了支持。工业控制系统安全威胁白皮书162、工业控制系统漏洞统计分析2、工业控制系统漏洞统计分析工业控制系统漏洞是威胁工业控制系统的重要因素,攻击者在掌握了相关系统的 0day 漏洞之后,即使工业控制系统做了相关的防御措施,也难以抵挡 0day漏洞的攻击。因此,工业控制系统漏洞成为工业控制系统安全研究的焦点。基于此,
44、我们从以下四个方面统计分析了 2024 年工业控制系统漏洞的相关情况。(1)漏洞的类型和数量(1)漏洞的类型和数量我们首先基于 CVE 的编号统计了近十年来工业控制系统相关的漏洞情况,对其中涉及到主流控制器设计制造商相关的漏洞进行了分析统计,得到了工业控制系统漏洞的分布趋势。图 6 主要工业控制系统厂商漏洞趋势注:统计的厂商包括西门子、罗克韦尔、施耐德、ABB、欧姆龙、霍尼韦尔、日立、三菱、Delta Electronics和 Horner Automation从图中的走势可以看出,从 2021 年到 2024 年的四年时间里,主流工业控制系统厂商的漏洞总数呈现微弱的下降趋势,但总体始终维持在
45、一个较高的位置。工业控制系统安全威胁白皮书17图 7 主要工业控制系统漏洞类型统计针对主流工业控制系统厂商在 2024 年公布的漏洞类型进行分析,可以看到,其中缓冲区溢出和越界访问类型的漏洞占据了绝大部分,其次是输入验证不当、越界写入和路径遍历类型的漏洞。从这些漏洞的类型可以看出,IT 系统中严重影响系统安全的漏洞也同样适用于工业控制系统。(2)漏洞的厂商分布(2)漏洞的厂商分布在分析了主要工业控制系统厂商漏洞总数和类型的基础上,我们进一步分析了各个主要厂商的漏洞数量情况,具体见下图。从图中可以看出,西门子、罗克韦尔和 Hitachi 三家公司产品的漏洞数量位列前三,其中西门子公司的漏洞数量更
46、是远超排在第二位的罗克韦尔。工业控制系统安全威胁白皮书18图 8 2024 年主要厂商漏洞数量统计同时,我们还统计了从 2022 年到 2024 年这 3 年的时间内,各个公司的 CVE漏洞数量的状况,从统计的结果可以看出,大部分企业的漏洞数量都有所降低,但也有部分企业的漏洞数量逐年增高。图 9 主要工业控制系统厂商 CVE 漏洞变化趋势(3)漏洞的危害统计(3)漏洞的危害统计鉴于工业控制系统对于攻击行为的敏感性,任何针对工业控制系统的成功攻击都有可能带来严重的后果,如影响企业的正常生产活动,甚至引发火灾、爆炸等事故;我们基于工业控制系统 CVE 漏洞通报,统计了 2024 年漏洞的危害等级工
47、业控制系统安全威胁白皮书19分布。图 10 2024 年 CVE 工业控制系统漏洞危害级别统计从统计结果可以看到,绝大多数的工业控制系统漏洞的危害级别都很高。在这些漏洞中,危害等级为 critical 的漏洞占比为 14%,危害等级为 high 的漏洞占比为 63%,这两种类型的漏洞的占据了 77%的比例,从侧面反映出工业控制系统漏洞对工业企业的影响巨大。另一方面,我们针对各个厂商在 2024 年的漏洞危害分布进行了统计,从结果可以看出,工业控制系统漏洞的危害程度在各个厂商中以危害程度为高危的居多。图 11 2024 年主要工业控制系统厂商 CVE 漏洞危害统计工业控制系统安全威胁白皮书20(
48、4)漏洞的产品分布(4)漏洞的产品分布基于 2024 年的 CVE 漏洞通报数据,我们统计了这些漏洞和对应的工业控制系统产品,得到了如下图所示的结果。从图中够可以看出,工业控制系统的安全漏洞在网络系统和 PLC 中的占比最高,超过了 30%;其次是管理系统,占比为 12%。由此可以看出,网络系统和 PLC 的安全漏洞依然是威胁工业控制系统安全的重要因素,这与网络系统是工业控制系统对外暴露接口的主要途径有关,同时也与 PLC 涉及到的大类和型号以及品牌厂商众多有着直接联系。图 12 ICS 漏洞产品分布五、极星实验室安全研究成果五、极星实验室安全研究成果2024 年极星实验室立足工业控制系统安全
49、,着手主流工业控制系统设备的漏洞挖掘;在此基础上,以实战为导向,探究了工业控制系统新型攻击方式。同时紧跟国内外安全攻击事件和安全研究成果,依托工业控制系统网络靶场,对热点的攻击事件和具有创新性的研究成果进行了深入分析和复现,并进一步探讨了这些攻击方式对我国工业企业的潜在威胁,为工业企业的安全防护提供了一定的启示。1、ICS 漏洞挖掘1、ICS 漏洞挖掘在漏洞挖掘方面,极星实验室以西门子、艾默生、霍尼韦尔、施耐德和三菱等厂商的软硬件产品为目标,结合模糊测试、符号执行和污点分析等常见的漏洞工业控制系统安全威胁白皮书21挖掘方法,挖掘了一批针对工业控制系统的安全漏洞并提交到厂商和 CNNVD 平台。
50、表 9 漏洞挖掘汇总厂商产品漏洞类型CNNVD 漏洞编号危害等级西门子博途 19反序列化CVE-2024-49849、CNNVD-2024-71861367高危博途 19反序列化CVE-2024-49849、CNNVD-2024-98973936高危博途 19反序列化CVE-2024-49849、CNNVD-2024-23408637高危博途 19反序列化CVE-2024-49849、CNNVD-2024-54911575高危博途 19反序列化CVE-2024-49849、CNNVD-2024-85883730高危三菱Q 系列 PLC拒绝服务CNNVD-2024-50422054中危Q 系列
51、PLC拒绝服务CNNVD-2024-40906093中危霍 尼 韦尔C300 控制器拒绝服务CNNVD-2024-08243150中危C300 控制器拒绝服务CNNVD-2024-21677957中危C300 控制器拒绝服务CNNVD-2024-09816441中危艾默生DeltaV本地提权CNNVD-2024-52629060高危施耐德PME2023远程代码执行CNNVD-2024-52007946高危EcoStruxurePower Design远程代码执行CNNVD-2024-93751238中危这些漏洞涵盖了主流的工业控制系统生产厂商,这些厂商的产品大量应用在油气、炼化、电力、水务以及
52、制造业等行业中,这些行业的安全关乎居民日常生活甚至社会稳定,需要重点加强防护。2、新型攻击方式2、新型攻击方式极星实验室以工业企业生产环境为背景,从攻击者的角度,结合工业控制系工业控制系统安全威胁白皮书22统安全漏洞,积极探究针对工业企业的新型攻击方式。极星实验室通过漏洞利用发现了一种利用工控系统工程文件植入的攻击控制系统的新型攻击方式利用工控系统工程文件植入的攻击控制系统的新型攻击方式,相较于震网、乌克兰电网事件中的 office 文件,工控文件植入具备隐蔽性更高、利用度更准确、对抗性更强的威胁。若攻击者采用此类攻击方式,将对工业企业造成不可挽回的损失。(1)工控系统工程文件植入式攻击 攻击
53、方式简介(1)工控系统工程文件植入式攻击 攻击方式简介在工业控制系统中,存在着大量的工程文件,包括组态文件以及一些上位机软件的配置文件。这些文件在磁盘上都是以数据文件而不是可执行文件的形式存在的,通过将恶意代码植入这些正常的配置文件或者组态文件中,结合特定的漏洞,便可以在合法用户操作上位机上的 PLC 编程软件时,触发漏洞,实现恶意代码的执行。图 13 勒索攻击前的正常文件极星实验室通过将该种攻击方式与勒索软件相结合,可以实现对上位机系统工业控制系统安全威胁白皮书23的加密勒索。以西门子博途 19 为漏洞利用的目标,将 LockBit 勒索软件经过免杀处理后,植入用户上位机中,可以在用户完全不
54、知情的情况下,触发漏洞并实现对上位机的勒索攻击,给工业企业的生产过程带来了不良影响。下图为攻击后被勒索加密的文件的情况。图 14 勒索软件攻击后的加密文件 攻击效能分析 攻击效能分析这种攻击方式主要利用了在工控系统软件的工程文件或者配置文件中植入恶意代码的方式来实现在工控系统软件的工程文件或者配置文件中植入恶意代码的方式来实现,由于这些被感染的文件都是数据文件数据文件,因此天然具备对杀毒软件、IDS 等几乎所有检测方式的免疫效果。同时,恶意文件的传播不限传播介质,光盘、U 盘以及磁盘都可以实现对这种恶意文件的传播。总体来看,该种攻击方式基于工业控制系统漏洞,以正常的工业控制系统文件为目标,植入
55、恶意代码,通过漏洞来实现对恶意代码的执行,如果结合勒索软件等攻击方式,可以对工业企业的系统进行有效的攻击。工业控制系统安全威胁白皮书24(2)基于闪存的设备物理毁伤攻击(2)基于闪存的设备物理毁伤攻击极星实验室针对 2024 年发生的物理毁伤攻击事件进行了分析,在此次攻击事件中,攻击者使用了闪存破坏这种更偏向于针对硬件的攻击方式,导致被攻击的设备需要更换硬件才能完成修复。这种方式造成的损伤更大、修复也需要更长的周期。极星实验室对该种攻击方式进行分析和复现,并探究了其对工业企业的潜在威胁。闪存攻击事件 闪存攻击事件2024 年 4 月,隶属于乌克兰情报部门的黑客组织 Blackjack 声称,该
56、组织针对俄罗斯进行了一次网络攻击。攻击的目标涉及到地下水和污水处理以及通信基础设施。被攻击的基础设施中使用的设备来自两家俄罗斯公司,Moscollector(https:/ao-sbk.ru)和 iRZ(https:/)。图 15 cybersecuritynews 针对该事件的报告攻击者将攻击的结果在 https:/ Moscollector 的攻击信息,包括攻击者使用的 Fuxnet 恶意软件以及攻击者攻破并清空数据的服务器和数据库的截图。被攻击的设备主要包括三类:工业网关、路由器和传感器。这些设备大都被部署在需要数据传输的远程系统中,使用传感器来测量现场的环境数值。工业控制系统安全威胁白
57、皮书25图 16 MPSB 工业网关 闪存攻击技术分析 闪存攻击技术分析攻击者在本次攻击中使用的恶意软件 Fuxnet 主要是用来破坏网络设备的,该恶意软件会从四个方面对设备进行攻击,包括文件系统销毁、闪存破坏、销毁UBI 卷和拒绝服务。攻击者所使用的文件系统销毁、销毁 UBI 卷和拒绝服务这三种攻击中,只是在软件层面上的攻击,可以通过系统恢复来完成修复。而闪存破坏更偏向于物理毁伤攻击,被破坏的闪存需要更换硬件才能完成修复,这种方式造成的损伤更大、修复也需要更长的周期。闪存的存储单元使用电荷状态来存储数据,通过改变电荷状态来实现写入和擦除操作。每次擦除操作都会使得存储单元中的电荷返回到初始状态
58、,这就导致擦除操作比写入操作更耗时。每个存储单元可以承受有限的写入/擦除循环次数,超过这个循环次数之后,存储单元可能会变得不可靠或无法工作。闪存是以块为单位进行擦除操作的,而不是以字节或位为单位的。即使只需要更改其中几个字节的数据,整个块也必须被擦除和重新写入。块擦除操作会增加存储单元的擦除次数,这会对闪存的寿命产生负面影响。根据硬件上存储原理的不同,闪存主要可以分为 NOR 和 NAND 两类。其中,NOR 的擦写次数是 10 万次,NAND 的擦写次数是 100 万次。基于以上分析,在对工业网关的毁伤中,通过不断的循环对 NAND 进行写入和擦除,直到该过程报错或出现异常,表明 NAND
59、的擦写次数已经到达上限,NAND 的存储出现了不可靠的情况,从而达到对工业网关的毁伤效果。该过程工业控制系统安全威胁白皮书26的核心代码如下图所示,通过不断的位翻转,并重新写入来实现对 NAND 的擦写操作。图 17 重复擦写闪存的代码 闪存攻击效能分析 闪存攻击效能分析我们在Ubuntu系统中使用modprobe命令加载mtd、mtdblock、ubi和nandsim模块并通过相应的命令创建 nand 设备来模拟闪存块。图 18 在内存中模拟出 NAND 闪存在模拟的 MTD 闪存设备中,通过先写入随机数据,再读出写入数据的方式来验证对 MTD 闪存设备的擦写操作是否成功。我们在 Ubunt
60、u 环境下对模拟闪存进行直接操作,下面是通过代码产生并写入到模拟闪存块中的随机数据,利用 dd命令将写入的数据读出,与产生的随机数据对比,可以发现两者是相同的,证明已经成功的将随机数据写入了闪存中。我们在 Ubuntu 环境下对模拟闪存进行直接操作,下面是通过代码产生并写入到模拟闪存块中的随机数据,利用 dd命令将写入的数据读出,与产生的随机数据对比,可以发现两者是相同的,证明已经成功的将随机数据写入了闪存中。工业控制系统安全威胁白皮书27图 19 通过代码写入闪存的随机数据图 20 通过 dd 命令读取的闪存中的数据闪存大量应用于嵌入式设备的存储领域,包括工业网关和工业路由器等重要的工控设备
61、,国内外的工业网关品牌如西门子、锐捷、Moxa、鼎信通达和有人物联,其产品在工业企业中被大量使用。以国内的某工业网关企业为例,其产品涉及到了工业路由器、边缘网关和数传 DTU 等。下面的图是其某款工业路由器的系统设备图,从中可以看到相应的 MTD 设备,以及挂载的文件系统。攻击者在获取到系统的 root 权限后,即可通过前述的方式对闪存进行无限重写,直到导致闪存的擦写次数超过其设计寿命,最终引起文件系统的不稳定,使工业路由器设备工业控制系统安全威胁白皮书28出现硬件损坏。图 21 某工业路由器系统设备图 22 某路由器挂载的文件系统另一方面,针对该品牌的工业路由器和另一品牌的工控网关设备在 F
62、OFA 上进行搜索,可以发现有大量的设备部署在公网,这些品牌产品的用户十分广泛。工业控制系统安全威胁白皮书29图 23 FOFA 搜索结果由于擦写闪存的次数需要超过其设计寿命,因此可能需要较长的时间才能实现。为此,攻击者可以提前对闪存进行一定次数的擦写,使得其擦写次数接近其设计寿命,一旦准备攻击时,攻击者可以继续对闪存进行擦写,从而在短时间内使闪存的擦写次数超过其设计寿命,缩短攻击生效的时间。(3)DM-PLC 勒索软件攻击(3)DM-PLC 勒索软件攻击DM-PLC 勒索攻击方式是学术界提出的一种针对工业控制系统的新型攻击方式,我们针对该勒索攻击方式进行了复现,并评估了该种攻击方式在实际生产
63、中的可用性和易用性,结果表明该种攻击方式能够针对企业的工业控制系统实施有效攻击,且不需要较高的门槛即可实现一个具备较大破坏能力的勒索软件。攻击方式简介 攻击方式简介Dead Mans PLC 勒索攻击方式是由 Richard Derbyshire 等人提出的,该种攻击方式充分挖掘了工业控制系统提供的编程支持,将整个工业控制系统当作一个整体进行勒索攻击将整个工业控制系统当作一个整体进行勒索攻击,且任何针对工业控制系统中的控制器的恢复工作都将触发勒索软件对生产过程的攻击破坏,给企业的恢复工作带来了挑战。工业控制系统安全威胁白皮书30DM-PLC 勒索软件基于上位机、控制器和现场设备三部分,结合工业
64、控制系统提供的编程函数库实现勒索破坏功能。其中,针对上位机进行的攻击是传统 IT领域的勒索攻击,将上位机上的用户文件进行加密。针对控制器的勒索攻击则是在识别了整个工业控制系统中的控制器资产后,将所有可访问的控制器和工程师站进行重新组网,并建立 PLC-PLC 和工程师站-PLC 的隐藏网络通信,基于此网络实现针对所有控制器的锁定。而针对现场设备的破坏则是构成勒索的最后一步,一旦工业企业拒绝支付赎金,勒索软件会在倒计时结束后,对现场设备进行攻击破坏,影响现场的生产流程,整个系统的架构如下图所示。图 24 DM-PLC 勒索软件架构在这三方面的勒索破坏中,针对工程师站上用户数据文件的加密是为了防止
65、用户进行恢复操作;针对 PLC 的锁定是关键的一步,通过对所有可访问 PLC 和工程师站的重新组网,并利用心跳包来探测彼此之间的连接,一旦心跳包异常,勒索软件据此判定工业企业用户在试图通过更换 PLC 等方式对系统进行恢复,勒索软件随即对系统进行破坏;针对现场生产流程的破坏是 DM-PLC 勒索软件的勒索筹码,该破坏会直接影响企业的生产过程,给企业带来直接损失。DM-PLC 勒索软件通过将上述三者有机的结合起来,在最大程度的阻止工业企业用户恢复系统的基础上,对工业企业用户进行勒索,一旦工业企业用户拒绝支持赎金,便对工业企业的生产过程进行直接的破坏,给企业的生产安全带来威工业控制系统安全威胁白皮
66、书31胁。勒索软件攻击效能 勒索软件攻击效能我们选取西门子 S7-1500 PLC 进行了相关的实验,以验证该勒索攻击方式的有效性和易用性。通过使用西门子官方的 S7 模拟器和博途 19 编程软件,成功复现了该攻击方式,得到了预期的攻击效果。下图的 3 个 PLC 构成了对现场生产过程的模拟,在此基础上构建了隐藏的通信网络来发送和接收心跳包。通过wireshark 抓包工具可以看到 PLC 之间的心跳包通信,如下面的图中所示。图 25 组态下载完成后的 PLC图 26 三个 PLC 之间的心跳包工业控制系统安全威胁白皮书32DM-PLC 攻击开始后,当我们停止某个 PLC 准备更换时,会导致心
67、跳包的收发失败。最终会触发勒索软件的破坏程序,开始对现场的生产流程进行干扰。在实验中,正常生产过程中控制器组态的正常生产过程中控制器组态的 Entry_conveyor、Exit_conveyor 和和 Grab变量的值分别被置位和复位,实现了对现场生产过程的破坏变量的值分别被置位和复位,实现了对现场生产过程的破坏,如下图所示。图 27 PLC1 的变量被修改图 28 PLC3 的变量被修改在 Richard Derbyshire 等人的论文中是以西门子的 S7 控制器为例子进行讨论和实验的。在实际的工业企业中,使用到的控制器不仅限于西门子的 S7 控制器,其他品牌的控制器如三菱、罗克韦尔、欧
68、姆龙等也被工业企业大量使用,而且一些工业企业中使用的控制器来源可能不仅限于一个控制器厂商,很可能使用了不同厂商的控制器完成对生产工艺的控制。尽管存在着具体控制器品牌和型号的差异,从实验结果可以看出,DM-PLC的攻击方式仍然适用于这些实际生产中的控制环境。攻击者只需要掌握每个品牌的控制器的组态程序编写即可实现攻击,且这些勒索的组态程序并不复杂,因此这种攻击方式的门槛并不高。基于上述分析,工业企业应该关注这种攻击方式带来的威胁,严格规范内部员工的操作流程,保持工业控制系统网络的隔离性,提高人员的安全防范意识。六、总结六、总结随着工业控制系统与传统的 IT 系统逐步融合以及攻击者对工业控制系统安工
69、业控制系统安全威胁白皮书33全的深入研究,一些新型的攻击方式被提出来,这些新型的攻击方式更多的结合了工业控制系统自身固有的特点,采取定制化的攻击工具开发,给工业企业的安全生产带来了新的威胁。在本白皮书中,我们首先分析了 2024 年工业控制系统的安全趋势,根据一些工业控制系统安全事件总结出了今年安全趋势的六个方面:地缘政治冲突中的参与者越来越重视对工业控制系统涵盖的基础设施的攻击。随着 APT 组织对工业控制系统的深入了解,其攻击的技战术也越来越专业。针对工业控制系统的定制化工具逐渐流行。对勒索软件针对工业控制系统的攻击出现了新的研究方向,更加强调针对工业控制系统的本身特点进行定制化的勒索攻击
70、。运维通道成为攻击者获取系统初始访问的一个重要手段。工业控制系统安全漏洞的数量依然维持在高位,对工业企业的威胁越来越严重。我们分析了 2024 年活跃的 APT 组织及其攻击事件,这些具有代表性的 APT组织在攻击技战术方面、攻击的目的上以及组织的规模上都呈现出了新的特点。具体的说,这些 APT 组织使用的攻击手段更具有创新性,攻击的目的不仅仅是破坏企业的生产过程,同时也关注企业知识产权相关的设计资料等核心资产,同时在组织规模上越来越明显的暴露出具有国家背景的组织团体。软件漏洞始终是威胁工业企业的重要因素,我们分析统计了 2024 年工业控制系统软件安全漏洞,从漏洞的数量和类型、漏洞的厂商分布、漏洞的危害程度和漏洞的产品分布等几个方面展开统计分析,得到了 2024 年工业控制系统漏洞的分布趋势。最后,我们分析了一些典型的攻击事件以及安全研究人员的研究思路,盘点了 2024 年的新型攻击方式,包括工控系统工程文件植入攻击、DM-PLC 勒索软件攻击和基于闪存的毁伤攻击。这些攻击方式的思路相对比较新颖,同时对工业控制系统的破坏也十分严重。通过对这些新型攻击方式的介绍,可以从中可以发现这些攻击方式的一些特征,为企业的防御提供一定的启示。