李白乘舟将欲行,忽闻岸上踏歌声。

桃花潭水深千尺,不及汪伦送我情。

——《赠汪伦》李白

唐玄宗天宝十三载(公元754年),李白自秋浦往泾县漫游,写下了这首千古绝句。一千二百余年后的今天,我们仍能通过诗句感受李白对友人汪伦的深厚情谊。然而在跨越千年的时光中,有多少荡气回肠的友情、爱情、悲欢离合,消散在了历史的迷雾中,又有多少故事,能像李白的诗作这样,流传千年?

“立德、立功、立言”,《左传》将这“三立”称为“三不朽”,是古圣先贤超越个体生命而追求永生不朽的独特形式。中华民族对历史的执着让我们有机会一窥千年前的故事,也让诸多文人墨客将“立言”作为人生的一大追求。但在历史的长河中,李白杜甫这样的圣贤毕竟屈指可数,寻常人家的百姓如何“立言”,似乎又要寻找新的答案。

1989年,CERN(欧洲粒子物理研究所)提交了一个服务信息交互的新协议与系统,命名为World Wide Web,就此世界进入了互联网时代。在短短十余年间,我们见证了内容平台的崛起,自媒体的井喷,个人的信息输出创造出了一个信息爆炸的时代。然而互联网似乎又不是一个很好的“立言”途径:个人发布的内容存储在中心化内容平台服务器内,平台是内容的实质所有者,平台的消亡就意味着内容的消失。曾经的人人、网易博客、MSN都渐渐成为时代的眼泪。

于是web3.0来了。2008年,中本聪提出的区块链理论,为web3.0提供了理论的基石。2014年,Vitalik Buterin在中本聪提出的理论上进行了优化,创造了以太坊。短短8年间,以太坊已经成为了全球最大的公链,链上地址数量超10亿,每日新增活跃地址超10万,应用涵盖金融、物联网、移动支付、智能电网、NFT等多个领域。

图片1.png

web3.0的核心就是数据资产归个人所有,区块链节点(数据库)由社区维护,全节点共同备份。社区自治的理念让存储于以太坊上的数据可以永久留存,且不可删改。个人通过交易附言的方式可以将定制化的内容发布在链上,在web3.0空间里留下属于自己的永恒的印记。

图片2.png

年关将至,通付盾D凭证致力于降低用户使用区块链技术的门槛,特筹划了链上拜年活动,协助用户将自定义的新年祝福以交易附言形式发布在以太坊上,并生成专属祝福凭证,可分享至朋友圈或者您的微信好友。D凭证使用数字凭证技术将链上祝福铸造成个人数据资产,是您迈向web3.0世界的第一步!

图片3.png

李白乘舟将欲行,忽闻岸上踏歌声。

桃花潭水深千尺,不及汪伦送我情。

——《赠汪伦》李白

唐玄宗天宝十三载(公元754年),李白自秋浦往泾县漫游,写下了这首千古绝句。一千二百余年后的今天,我们仍能通过诗句感受李白对友人汪伦的深厚情谊。然而在跨越千年的时光中,有多少荡气回肠的友情、爱情、悲欢离合,消散在了历史的迷雾中,又有多少故事,能像李白的诗作这样,流传千年?

“立德、立功、立言”,《左传》将这“三立”称为“三不朽”,是古圣先贤超越个体生命而追求永生不朽的独特形式。中华民族对历史的执着让我们有机会一窥千年前的故事,也让诸多文人墨客将“立言”作为人生的一大追求。但在历史的长河中,李白杜甫这样的圣贤毕竟屈指可数,寻常人家的百姓如何“立言”,似乎又要寻找新的答案。

1989年,CERN(欧洲粒子物理研究所)提交了一个服务信息交互的新协议与系统,命名为World Wide Web,就此世界进入了互联网时代。在短短十余年间,我们见证了内容平台的崛起,自媒体的井喷,个人的信息输出创造出了一个信息爆炸的时代。然而互联网似乎又不是一个很好的“立言”途径:个人发布的内容存储在中心化内容平台服务器内,平台是内容的实质所有者,平台的消亡就意味着内容的消失。曾经的人人、网易博客、MSN都渐渐成为时代的眼泪。

于是web3.0来了。2008年,中本聪提出的区块链理论,为web3.0提供了理论的基石。2014年,Vitalik Buterin在中本聪提出的理论上进行了优化,创造了以太坊。短短8年间,以太坊已经成为了全球最大的公链,链上地址数量超10亿,每日新增活跃地址超10万,应用涵盖金融、物联网、移动支付、智能电网、NFT等多个领域。

图片1.png

web3.0的核心就是数据资产归个人所有,区块链节点(数据库)由社区维护,全节点共同备份。社区自治的理念让存储于以太坊上的数据可以永久留存,且不可删改。个人通过交易附言的方式可以将定制化的内容发布在链上,在web3.0空间里留下属于自己的永恒的印记。

图片2.png

年关将至,通付盾D凭证致力于降低用户使用区块链技术的门槛,特筹划了链上拜年活动,协助用户将自定义的新年祝福以交易附言形式发布在以太坊上,并生成专属祝福凭证,可分享至朋友圈或者您的微信好友。D凭证使用数字凭证技术将链上祝福铸造成个人数据资产,是您迈向web3.0世界的第一步!

图片3.png

1月29日,中央网信办官网发布了2022年1号公告《关于统一发布网络关键设备和网络安全专用产品安全认证和安全检测结果的公告》,并附上了首批安全认证和安全检测结果

该公告由国家互联网信息办、工信部、公安部、国家认监委联发,标志着我国网络安全工作的一项重要制度向前推进重大一步

1月29日,中央网信办官网发布了2022年1号公告《关于统一发布网络关键设备和网络安全专用产品安全认证和安全检测结果的公告》,并附上了首批安全认证和安全检测结果

该公告由国家互联网信息办、工信部、公安部、国家认监委联发,标志着我国网络安全工作的一项重要制度向前推进重大一步

RosKomSvoboda和Tor就俄罗斯拦截Tor访问上诉。

Tor Project

俄罗斯数字权利保护机构RosKomSvoboda向俄罗斯法院上诉请求修改拦截Tor节点和Tor项目网站访问的决定。非盈利项目Tor Project负责运营Tor去中心化网络,Tor允许用户匿名访问网站,可以通过Tor客户端访问特殊的Onion URLs (.onion)。Tor 允许网站开发人员创建特殊的onion服务,也就是常说的暗网,只有通过Tor 网络才可以访问onion服务。

俄罗斯法院拦截Tor网站和节点

2021年12月,Tor项目宣布俄罗斯拦截了其网站和俄罗斯地区用于连接去中心化网络的公开Tor节点。俄罗斯拥有全球第二大Tor用户群体,每天有30万的活跃用户(大约是所有Tor用户的15%)。因此,Tor在博客中称将继续在俄罗斯地区运营Tor 网络,使得所有的俄罗斯用户都可以连接到Tor。

RosKomSvoboda和Tor Project解释称,俄罗斯拦截Tor的原因是Tor网络允许俄罗斯用户通过Tor网络访问包含极端主义的材料。官方原因是由俄罗斯萨拉托夫法院根据Art. 15.1 of the Law 'On Information'法律做出的决定。

RosKomSvoboda和Tor上诉原因

RosKomSvoboda和Tor认为拦截Tor项目网站和基础设施的法律决定是不合法的:

该案件判决过程没有Tor代表的参与,违背了司法过程的透明;

案件的判决违反了自由提供、接受信息和保护隐私的权利。

受到萨拉托夫法院判决的影响,俄罗斯地区访问Tor 服务的用户数量有明显减少:

 

目前,俄罗斯用户仍然可以通过网站镜像https://tor.eff.org/来访问Tor网络。此外,有多名志愿者提供了超过1000个没有被拦截的Tor网桥来帮助俄罗斯用户访问Tor网络。

RosKomSvoboda和Tor就俄罗斯拦截Tor访问上诉。

Tor Project

俄罗斯数字权利保护机构RosKomSvoboda向俄罗斯法院上诉请求修改拦截Tor节点和Tor项目网站访问的决定。非盈利项目Tor Project负责运营Tor去中心化网络,Tor允许用户匿名访问网站,可以通过Tor客户端访问特殊的Onion URLs (.onion)。Tor 允许网站开发人员创建特殊的onion服务,也就是常说的暗网,只有通过Tor 网络才可以访问onion服务。

俄罗斯法院拦截Tor网站和节点

2021年12月,Tor项目宣布俄罗斯拦截了其网站和俄罗斯地区用于连接去中心化网络的公开Tor节点。俄罗斯拥有全球第二大Tor用户群体,每天有30万的活跃用户(大约是所有Tor用户的15%)。因此,Tor在博客中称将继续在俄罗斯地区运营Tor 网络,使得所有的俄罗斯用户都可以连接到Tor。

RosKomSvoboda和Tor Project解释称,俄罗斯拦截Tor的原因是Tor网络允许俄罗斯用户通过Tor网络访问包含极端主义的材料。官方原因是由俄罗斯萨拉托夫法院根据Art. 15.1 of the Law 'On Information'法律做出的决定。

RosKomSvoboda和Tor上诉原因

RosKomSvoboda和Tor认为拦截Tor项目网站和基础设施的法律决定是不合法的:

该案件判决过程没有Tor代表的参与,违背了司法过程的透明;

案件的判决违反了自由提供、接受信息和保护隐私的权利。

受到萨拉托夫法院判决的影响,俄罗斯地区访问Tor 服务的用户数量有明显减少:

 

目前,俄罗斯用户仍然可以通过网站镜像https://tor.eff.org/来访问Tor网络。此外,有多名志愿者提供了超过1000个没有被拦截的Tor网桥来帮助俄罗斯用户访问Tor网络。

IT/OT 网络和 ICS 终端概述

IT/OT网络属于IT和OT网络的融合,IT的业务流程与OT的物理流程的连接。 IT/OT 网络支持 IT 网络的数据交换和操作监控。

另一方面,ICS 终端用于工业过程的设计、开发、监控和控制。它们具有执行重要功能的特定软件。这些软件应用程序包括:

工业自动化套件,例如 Siemens 的 Totally Integrated Automation、Kepware 的 KEPServerEX 和 Rockwell Automation 的 FactoryTalk。

工程工作站 (EWS)用于工业过程或工作流程的编程,包括:

三菱电机的 MELSEC GX Works 或 Phoenix Contact 的 Nanonavigator 等控制系统;

HMI(人机界面),例如 MELSEC GT Works 或施耐德的 GP-PRO EX;

ABB Robotstudio等设备人编程软件;

Solidworks等设计软件;

霍尼韦尔的 Uniformance;

监控和数据采集 (SCADA),例如 Siemens 的 Simatic WinCC SCADA;

现场设备管理和配置,例如 PACTware 和霍尼韦尔的 EZconfig;

用于串口转 USB 连接的转换器,例如 Moxa 的 Uport;

我们分析了来自 IT/OT 网络一部分的 ICS 终端的数据,不包括来自气隙系统或没有互联网连接的 ICS 终端。这些终端可以在不同的 IT/OT 网络级别中找到,但过程和控制级别除外。此外,我们确定的 ICS 终端正在运行 Windows 操作系统。

1.png

ICS 终端突出显示,如 Purdue 模型架构所示

我们过滤掉了明显的测试设备、渗透测试人员使用的终端和来自大学的终端,以确保我们的数据来自真实的 ICS,并且恶意软件检测数据不会被渗透测试人员、研究人员和学生设备修改。

此外,我们使用各种指标(如文件名、文件路径和向趋势科技云安全智能防护网络报告的进程)来确定 ICS 终端。我们按照我们的数据收集披露政策处理相关数据,在整个过程中保持客户匿名。

在广泛评估收集的数据后,我们发现了各种恶意软件威胁,这些威胁继续对 ICS 终端构成网络安全风险,包括古老的遗留恶意软件和勒索软件。

我们发现影响 ICSS 的勒索软件活动显着增加,这主要是由于去年 9 月至 12 月期间 Nefilim、Ryuk、LockBit 和 Sodinokibi 攻击增加所致。综合起来,这些勒索软件占了ICS 攻击的 50% 以上。

此外,我们发现美国发生的影响 ICS 的组织相关事件最多。

2.png

影响工业控制系统的挖矿软件

除了勒索软件,挖矿软件还极大地影响了我们分析的 ICS 终端。这些恶意软件旨在滥用计算机资源来挖掘加密货币。

MALXMR,WORM_COINMINER 和 TOOLMXR 影响力最大。

受 MALXR 影响最大的国家是印度。但是,请注意,这并不意味着该国是 MALXR的具体目标。它只是表明印度感染最多,因为许多运行 ICS 软件的计算机容易受到利用 SMBv1 漏洞的 EternalBlue 的攻击。

除了勒索软件,硬币矿工还极大地影响了我们分析的 ICS 终端。 这些恶意软件旨在滥用计算机资源来挖掘加密货币。

Conficker

6.png

带有 Conficker 检测的 ICS 终端的操作系统分布

与我们在《工业4.0时代的安全:应对智能制造环境的威胁》(Security in the Era of Industry 4.0: Dealing With Threats to Smart Manufacturing Environments)一文中发现的情况类似,我们仍然将Conficker或Downad视为对ICS终端的持续威胁。

我们发现 Window 10 和 7 操作系统受到的影响最大。但是,使用 MS08-067(用于传播Confickers 的最常见传播技术之一)并未影响它们。这意味着这些感染是使用可移动驱动程序或对 ADMIN$ 共享的字典攻击传播的。

7.png

基于文件路径的Conficker 检测位置

至少 85% 的Conficker 检测是从可移动驱动器中检测到的。此外,至少 12% 的检测仅在 Windows 系统目录中发现。

旧版恶意软件的威胁

8.png

我们还检测到主要通过网络共享或可移动 USB 驱动器传播的旧蠕虫恶意软件。 SALITY 影响了 1.5% 的 ICS,而 RAMNIT 和 AUTORUN 分别感染了 1.3% 和 1% 的 ICS。其中一些蠕虫在 2013 年和 2014 年很猖獗,但后来由于安全政策导致自动运行系统瘫痪,这些蠕虫被阻止了。

然而,通过u盘传输的文件允许它们继续传播。此外,创建系统备份或离线备份终端而不执行安全扫描,将允许这些蠕虫的持续传播。

根据检测,在印度、中国、美国的工业控制系统被攻击的次数最多,其中大部分是一些过去的恶意软件。对于像无文件挖矿恶意程序CoinMiner、Equated 恶意软件和 WannaCry这些新型恶意软件,印度的检测次数最多。另一方面,日本的 Emotet 感染率最多,而德国的 ICS 的广告软件事件最多。

如上所述,可以发现:

1.勒索软件仍然是一个主要问题,对全球范围内ICS有着巨大威胁;

2.coinminer主要通过未修补的操作系统来影响ICS,Coinminer 在各种平台上运行,包括:

Windows,Mac,Linux,Android,攻击现象包括:高CPU和GPU使用率,设备过热,崩溃或频繁重新启动,响应速度慢,不寻常的网络活动(例如,连接挖矿相关的网站或 IP 地址);

3.Conficker继续在运行新操作系统的ICS终端上传播;

4.旧的恶意软件仍然影响IT/OT网络;

5.在不同国家的ICS终端检测到的恶意软件不同。

根据检测数据,我们可以得出结论,新型恶意软件正迅速影响着集成系统。这意味着无论是像无文件恶意软件和黑客工具这样的现代技术,还是像可移动驱动器自动运行这样的古老方法,都可以成功感染ICS的终端。

IT/OT 网络和 ICS 终端概述

IT/OT网络属于IT和OT网络的融合,IT的业务流程与OT的物理流程的连接。 IT/OT 网络支持 IT 网络的数据交换和操作监控。

另一方面,ICS 终端用于工业过程的设计、开发、监控和控制。它们具有执行重要功能的特定软件。这些软件应用程序包括:

工业自动化套件,例如 Siemens 的 Totally Integrated Automation、Kepware 的 KEPServerEX 和 Rockwell Automation 的 FactoryTalk。

工程工作站 (EWS)用于工业过程或工作流程的编程,包括:

三菱电机的 MELSEC GX Works 或 Phoenix Contact 的 Nanonavigator 等控制系统;

HMI(人机界面),例如 MELSEC GT Works 或施耐德的 GP-PRO EX;

ABB Robotstudio等设备人编程软件;

Solidworks等设计软件;

霍尼韦尔的 Uniformance;

监控和数据采集 (SCADA),例如 Siemens 的 Simatic WinCC SCADA;

现场设备管理和配置,例如 PACTware 和霍尼韦尔的 EZconfig;

用于串口转 USB 连接的转换器,例如 Moxa 的 Uport;

我们分析了来自 IT/OT 网络一部分的 ICS 终端的数据,不包括来自气隙系统或没有互联网连接的 ICS 终端。这些终端可以在不同的 IT/OT 网络级别中找到,但过程和控制级别除外。此外,我们确定的 ICS 终端正在运行 Windows 操作系统。

1.png

ICS 终端突出显示,如 Purdue 模型架构所示

我们过滤掉了明显的测试设备、渗透测试人员使用的终端和来自大学的终端,以确保我们的数据来自真实的 ICS,并且恶意软件检测数据不会被渗透测试人员、研究人员和学生设备修改。

此外,我们使用各种指标(如文件名、文件路径和向趋势科技云安全智能防护网络报告的进程)来确定 ICS 终端。我们按照我们的数据收集披露政策处理相关数据,在整个过程中保持客户匿名。

在广泛评估收集的数据后,我们发现了各种恶意软件威胁,这些威胁继续对 ICS 终端构成网络安全风险,包括古老的遗留恶意软件和勒索软件。

我们发现影响 ICSS 的勒索软件活动显着增加,这主要是由于去年 9 月至 12 月期间 Nefilim、Ryuk、LockBit 和 Sodinokibi 攻击增加所致。综合起来,这些勒索软件占了ICS 攻击的 50% 以上。

此外,我们发现美国发生的影响 ICS 的组织相关事件最多。

2.png

影响工业控制系统的挖矿软件

除了勒索软件,挖矿软件还极大地影响了我们分析的 ICS 终端。这些恶意软件旨在滥用计算机资源来挖掘加密货币。

MALXMR,WORM_COINMINER 和 TOOLMXR 影响力最大。

受 MALXR 影响最大的国家是印度。但是,请注意,这并不意味着该国是 MALXR的具体目标。它只是表明印度感染最多,因为许多运行 ICS 软件的计算机容易受到利用 SMBv1 漏洞的 EternalBlue 的攻击。

除了勒索软件,硬币矿工还极大地影响了我们分析的 ICS 终端。 这些恶意软件旨在滥用计算机资源来挖掘加密货币。

Conficker

6.png

带有 Conficker 检测的 ICS 终端的操作系统分布

与我们在《工业4.0时代的安全:应对智能制造环境的威胁》(Security in the Era of Industry 4.0: Dealing With Threats to Smart Manufacturing Environments)一文中发现的情况类似,我们仍然将Conficker或Downad视为对ICS终端的持续威胁。

我们发现 Window 10 和 7 操作系统受到的影响最大。但是,使用 MS08-067(用于传播Confickers 的最常见传播技术之一)并未影响它们。这意味着这些感染是使用可移动驱动程序或对 ADMIN$ 共享的字典攻击传播的。

7.png

基于文件路径的Conficker 检测位置

至少 85% 的Conficker 检测是从可移动驱动器中检测到的。此外,至少 12% 的检测仅在 Windows 系统目录中发现。

旧版恶意软件的威胁

8.png

我们还检测到主要通过网络共享或可移动 USB 驱动器传播的旧蠕虫恶意软件。 SALITY 影响了 1.5% 的 ICS,而 RAMNIT 和 AUTORUN 分别感染了 1.3% 和 1% 的 ICS。其中一些蠕虫在 2013 年和 2014 年很猖獗,但后来由于安全政策导致自动运行系统瘫痪,这些蠕虫被阻止了。

然而,通过u盘传输的文件允许它们继续传播。此外,创建系统备份或离线备份终端而不执行安全扫描,将允许这些蠕虫的持续传播。

根据检测,在印度、中国、美国的工业控制系统被攻击的次数最多,其中大部分是一些过去的恶意软件。对于像无文件挖矿恶意程序CoinMiner、Equated 恶意软件和 WannaCry这些新型恶意软件,印度的检测次数最多。另一方面,日本的 Emotet 感染率最多,而德国的 ICS 的广告软件事件最多。

如上所述,可以发现:

1.勒索软件仍然是一个主要问题,对全球范围内ICS有着巨大威胁;

2.coinminer主要通过未修补的操作系统来影响ICS,Coinminer 在各种平台上运行,包括:

Windows,Mac,Linux,Android,攻击现象包括:高CPU和GPU使用率,设备过热,崩溃或频繁重新启动,响应速度慢,不寻常的网络活动(例如,连接挖矿相关的网站或 IP 地址);

3.Conficker继续在运行新操作系统的ICS终端上传播;

4.旧的恶意软件仍然影响IT/OT网络;

5.在不同国家的ICS终端检测到的恶意软件不同。

根据检测数据,我们可以得出结论,新型恶意软件正迅速影响着集成系统。这意味着无论是像无文件恶意软件和黑客工具这样的现代技术,还是像可移动驱动器自动运行这样的古老方法,都可以成功感染ICS的终端。

全球动态

1.英国国家网络安全中心警告各组织警惕与俄罗斯有关的攻击

英国国家网络安全中心 (NCSC) 敦促各组织提高网络安全意识,因为与俄罗斯有关的 APT 组织可能立即发起破坏性网络攻击。 [外刊-

全球动态

1.英国国家网络安全中心警告各组织警惕与俄罗斯有关的攻击

英国国家网络安全中心 (NCSC) 敦促各组织提高网络安全意识,因为与俄罗斯有关的 APT 组织可能立即发起破坏性网络攻击。 [外刊-

文章导航