概述

Prometheus属于勒索软件市场的新兴玩家,它与老牌勒索组织Thanos具有类似的恶意软件和策略。近期,Prometheus公开了包括墨西哥政府、加纳国家天然气公司等在内数名受害组织数据,并声称掌握了全球超30家企业的数据,涉及美洲、亚洲、欧洲的多个国家的垂直行业,如政府、金融服务、制造、物流、咨询、农业、医疗保健服务、保险机构、能源和法律等。

Prometheus具有专门的站点展示受害组织名称及可供购买的被盗数据。它将受害者称为“客户”,客户需使用服务票务系统与其沟通,该系统在付款截止日期临近时会用倒数的计时图案警告客户。如受害者未能付款,则要挟客户对其数据进行拍卖处理。

从Prometheus站点展示来看,迄今为止有四名受害者支付了赎金,分别为一家秘鲁农业公司、一家巴西医疗保健服务提供商以及两家分别位于奥地利和新加坡的运输物流企业,但没有申明赎金金额。

Prometheus声称自己是臭名昭著的勒索软件团伙REvil中的的一员,但这两个恶意组织实则没有任何关联的迹象,此举一是可能试图利用REvil的名气来威慑受害者付款,二是可能为了转移对Thanos的注意力。

Prometheus勒索软件概述

Prometheus勒索软件于2021年2月首次被观察到,是一种名为Thanos的已知恶意软件新变种,后者从2020年上半年开始在地下论坛进行销售。Thanos有一个构建器,能让使用者根据自己需求设置自定义样本,这也为不同的威胁者利用了此构建器来创造自己的变种和品牌留下了可能。

在撰写本文时,还没有获取到Prometheus勒索软件如何交付的信息,但Prometheus惯用手法是购买对某些网络的访问权、暴力破解凭据或鱼叉式网络钓鱼来进行初始访问。

当Prometheus勒索软件执行时,它会尝试杀死多个安全软件相关进程,例如Raccine(一款阻止勒索软件Windows卷影副本的安全工具),以下是其方法的示例:

This is a sample of the approach Prometheus ransomware uses to stop the ransomware prevention tool Raccine.

Prometheus勒索软件附加扩展名格式为.[XXX-XXX-XXXX](图1),Prometheus勒索软件运营商会为每个受害者生成唯一的有效载荷,以此标识受害者。

We believe that the Prometheus ransomware operators generate a unique payload per victim. The ransomware appends a file extension that could be used to identify the victims on the leak site, which is why we have obfuscated them here.

图1.执行后的加密文件

在终止安全进程并完成文件加密后,Prometheus勒索软件会发出两封勒索信:RESTORE_FILES_INFO.TXT文件和RESTORE_FILES_INFO.TXT.hta文件(图2),两者包含信息相同。

图2.RESTORE_FILES_INFO.hta

勒索信包括与Prometheus勒索软件运营商的联系方式,并威胁受害者如果不满足要求,数据将被公布于众或出售给第三方。

由于扩展名用作受害者标识符,按照赎金票据上的说明,我们能够根据扩展名ID在泄露站点查看其协商状态。该组织使用票务系统来跟踪受害者,涉及字段包括跟踪ID、创建日期、解决状态和优先级。受害者甚至可以向勒索组织开票来请求数据恢复(图3)。

This example of how Prometheus replies to a victim ticket reads, 图3.Prometheus对受害者的回复

Prometheus勒索软件团伙根据受害者身份定制他们的赎金金额。赎金以门罗币(XMR)支付,要求的付款金额从6,000美元至100,000美元不等,如果受害者没有在规定的时间范围内(平均为一周)联系,则此价格会翻倍。

This example of a Prometheus victim ticket shows a countdown clock for the victim and warns,

图4.Prometheus受害者票证

与当前大多勒索软件团伙一样,该组织还创建了一个泄密站点(图5)。

The Prometheus leak site advertises company data for sale.

图5.Prometheus泄密站点

泄密站点上显示了每个受害组织的状态,其中一些受害者的信息显示出售给了未知的第三方,还有一些显示已支付了赎金,他们的数据从网站上删除(图6)。

对泄密站点的统计情况看,有超过15名受害者的数据等待出售,超过5名受害者数据被出售,4名受害者公司支付了赎金,还有1名处于等待的状态。

Leak site victim status for Prometheus ransomware showed more than 15 victims with data for slae, more than 5 with data sold, 4 whose companies paid and 1 waiting.

图6.对泄密站点中30个受害者状态统计

这30名受害者遍布全球多国多个行业,对这些组织的地理位置统计图如下所示。

Locations of victims impacted by this ransomware, in order of prevalence: USA, Norway, France, Peru, Brazil, United Kingdom, Malaysia, Chile, Austria, Ghana, Italy, India, United Emirates, Singapore.

图7.受Prometheus勒索软件影响的30名受害者按国家/地区统计

受害组织中,制造业是受影响最大的行业,其次是运输和物流行业。

Manufacturing was the most impacted industry among the victim organizations we observed, closely followed by the transportation and logistics industry.

图8.受Prometheus勒索软件影响的30名受害者按行业统计

旧Prometheus变种

此节有助于我们了解Prometheus勒索软件组织的演变方式。

第一个Prometheus样本于2021年2月首次观察到(SHA256:9bf0633f41d2962ba5e2895ece2ef9fa7b546ada311ca30f330f0d261a7fb184),其行为与我们目前正在跟踪的最新变种相似,但扩展名不一致,旧版本的拓展名为:PROM[[email protected][.]ch]。

部分旧样本在执行时会打开一个WindowsCommandShell,显示加密进度(图9),最新的Prometheus样本则不显示此信息。

Some of the observed samples, when executed, opened a Windows Command Shell showing the encryption progress, as seen here.

图9.加密进度窗口

另一个变种(SHA256:11aebdff8c064c160c2b21f3a844bacaecd581d9dc2e4224d31903d2a56e2dd3)拓展名为.XXXXXXXXXXX[[email protected][.]com],其中X是受害者的ID,和当前的版本一样。它也生成两个赎金票据文件,提供的联系方式与当前变种不同(图10),当时还没有建立泄密站点。

Older versions of the Prometheus ransom note offered two contact methods that suggest the group hadn't yet established a leak site.

图10.RESTORE_FILES_INFO.hta(旧Prometheus变种发送)

Prometheus的旧变种不是像当前变种那样将受害者引导到泄漏站点,而是指示受害者转到名为Sonar的Tor站点(一种基于Web的消息传递服务)并创建一个帐户。创建帐户后,赎金票据会指示受害者向用户名Prometheus发送一条消息,需要包含文件扩展名标识符和指向三个加密文件的链接,以提供解密证明;第二种联系方法是通过电子邮件。

有关勒索软件的更多信息,请参见 2021 Unit 42 Ransomware 威胁报告。 

概述

Prometheus属于勒索软件市场的新兴玩家,它与老牌勒索组织Thanos具有类似的恶意软件和策略。近期,Prometheus公开了包括墨西哥政府、加纳国家天然气公司等在内数名受害组织数据,并声称掌握了全球超30家企业的数据,涉及美洲、亚洲、欧洲的多个国家的垂直行业,如政府、金融服务、制造、物流、咨询、农业、医疗保健服务、保险机构、能源和法律等。

Prometheus具有专门的站点展示受害组织名称及可供购买的被盗数据。它将受害者称为“客户”,客户需使用服务票务系统与其沟通,该系统在付款截止日期临近时会用倒数的计时图案警告客户。如受害者未能付款,则要挟客户对其数据进行拍卖处理。

从Prometheus站点展示来看,迄今为止有四名受害者支付了赎金,分别为一家秘鲁农业公司、一家巴西医疗保健服务提供商以及两家分别位于奥地利和新加坡的运输物流企业,但没有申明赎金金额。

Prometheus声称自己是臭名昭著的勒索软件团伙REvil中的的一员,但这两个恶意组织实则没有任何关联的迹象,此举一是可能试图利用REvil的名气来威慑受害者付款,二是可能为了转移对Thanos的注意力。

Prometheus勒索软件概述

Prometheus勒索软件于2021年2月首次被观察到,是一种名为Thanos的已知恶意软件新变种,后者从2020年上半年开始在地下论坛进行销售。Thanos有一个构建器,能让使用者根据自己需求设置自定义样本,这也为不同的威胁者利用了此构建器来创造自己的变种和品牌留下了可能。

在撰写本文时,还没有获取到Prometheus勒索软件如何交付的信息,但Prometheus惯用手法是购买对某些网络的访问权、暴力破解凭据或鱼叉式网络钓鱼来进行初始访问。

当Prometheus勒索软件执行时,它会尝试杀死多个安全软件相关进程,例如Raccine(一款阻止勒索软件Windows卷影副本的安全工具),以下是其方法的示例:

This is a sample of the approach Prometheus ransomware uses to stop the ransomware prevention tool Raccine.

Prometheus勒索软件附加扩展名格式为.[XXX-XXX-XXXX](图1),Prometheus勒索软件运营商会为每个受害者生成唯一的有效载荷,以此标识受害者。

We believe that the Prometheus ransomware operators generate a unique payload per victim. The ransomware appends a file extension that could be used to identify the victims on the leak site, which is why we have obfuscated them here.

图1.执行后的加密文件

在终止安全进程并完成文件加密后,Prometheus勒索软件会发出两封勒索信:RESTORE_FILES_INFO.TXT文件和RESTORE_FILES_INFO.TXT.hta文件(图2),两者包含信息相同。

图2.RESTORE_FILES_INFO.hta

勒索信包括与Prometheus勒索软件运营商的联系方式,并威胁受害者如果不满足要求,数据将被公布于众或出售给第三方。

由于扩展名用作受害者标识符,按照赎金票据上的说明,我们能够根据扩展名ID在泄露站点查看其协商状态。该组织使用票务系统来跟踪受害者,涉及字段包括跟踪ID、创建日期、解决状态和优先级。受害者甚至可以向勒索组织开票来请求数据恢复(图3)。

This example of how Prometheus replies to a victim ticket reads, 图3.Prometheus对受害者的回复

Prometheus勒索软件团伙根据受害者身份定制他们的赎金金额。赎金以门罗币(XMR)支付,要求的付款金额从6,000美元至100,000美元不等,如果受害者没有在规定的时间范围内(平均为一周)联系,则此价格会翻倍。

This example of a Prometheus victim ticket shows a countdown clock for the victim and warns,

图4.Prometheus受害者票证

与当前大多勒索软件团伙一样,该组织还创建了一个泄密站点(图5)。

The Prometheus leak site advertises company data for sale.

图5.Prometheus泄密站点

泄密站点上显示了每个受害组织的状态,其中一些受害者的信息显示出售给了未知的第三方,还有一些显示已支付了赎金,他们的数据从网站上删除(图6)。

对泄密站点的统计情况看,有超过15名受害者的数据等待出售,超过5名受害者数据被出售,4名受害者公司支付了赎金,还有1名处于等待的状态。

Leak site victim status for Prometheus ransomware showed more than 15 victims with data for slae, more than 5 with data sold, 4 whose companies paid and 1 waiting.

图6.对泄密站点中30个受害者状态统计

这30名受害者遍布全球多国多个行业,对这些组织的地理位置统计图如下所示。

Locations of victims impacted by this ransomware, in order of prevalence: USA, Norway, France, Peru, Brazil, United Kingdom, Malaysia, Chile, Austria, Ghana, Italy, India, United Emirates, Singapore.

图7.受Prometheus勒索软件影响的30名受害者按国家/地区统计

受害组织中,制造业是受影响最大的行业,其次是运输和物流行业。

Manufacturing was the most impacted industry among the victim organizations we observed, closely followed by the transportation and logistics industry.

图8.受Prometheus勒索软件影响的30名受害者按行业统计

旧Prometheus变种

此节有助于我们了解Prometheus勒索软件组织的演变方式。

第一个Prometheus样本于2021年2月首次观察到(SHA256:9bf0633f41d2962ba5e2895ece2ef9fa7b546ada311ca30f330f0d261a7fb184),其行为与我们目前正在跟踪的最新变种相似,但扩展名不一致,旧版本的拓展名为:PROM[[email protected][.]ch]。

部分旧样本在执行时会打开一个WindowsCommandShell,显示加密进度(图9),最新的Prometheus样本则不显示此信息。

Some of the observed samples, when executed, opened a Windows Command Shell showing the encryption progress, as seen here.

图9.加密进度窗口

另一个变种(SHA256:11aebdff8c064c160c2b21f3a844bacaecd581d9dc2e4224d31903d2a56e2dd3)拓展名为.XXXXXXXXXXX[[email protected][.]com],其中X是受害者的ID,和当前的版本一样。它也生成两个赎金票据文件,提供的联系方式与当前变种不同(图10),当时还没有建立泄密站点。

Older versions of the Prometheus ransom note offered two contact methods that suggest the group hadn't yet established a leak site.

图10.RESTORE_FILES_INFO.hta(旧Prometheus变种发送)

Prometheus的旧变种不是像当前变种那样将受害者引导到泄漏站点,而是指示受害者转到名为Sonar的Tor站点(一种基于Web的消息传递服务)并创建一个帐户。创建帐户后,赎金票据会指示受害者向用户名Prometheus发送一条消息,需要包含文件扩展名标识符和指向三个加密文件的链接,以提供解密证明;第二种联系方法是通过电子邮件。

有关勒索软件的更多信息,请参见 2021 Unit 42 Ransomware 威胁报告。 

概述

在加密劫持攻击中,对恶意工具或特定脚本的使用是帮助我们溯源攻击团伙的重要指标之一,由于网络时代信息的普及,工具或代码之间的融合互用已变得非常常见,因此还需要C2设施、攻击者所使用的完整工具集等信息帮助判断。Unit42研究人员近期调查TeamTNT加密劫持团伙时,发现其新脚本中复制了WatchDog组织的命名习惯并劫持了WatchDog C2托管系统199.199.226[.]117。

继续对TeamTNT脚本调查发现,该组织惯用的一些技术或行为方式都没有出现,例如新脚本中:

· 没有沿用惯用的攻击模式,以Kubernetes(K8s)或DockerAPI目标,也没有使用新恶意软件工具Black-T和Hildegard。

· 入侵云实例后没有提取任何凭据。

· 没有使用网络扫描工具zgrab。

这些新脚本是在TeamTNT的公共恶意软件存储库中发现的,研究人员推测,TeamTNT可能是在通过模仿WatchDog将恶意行动栽赃给后者,从而混淆分析人员的视线。

窃取、劫持或合并TTPs(战术、技术和过程)已成了加密劫持操作中的普遍趋势。据报道,TeamTNT就曾从Kinsing组织的入侵实例中复制了用于检测和删除阿里云安全的代码。此外,加密劫持组织Rocke和Pacha也曾为了争云端Linux服务器领地而“大打出手”,Pacha模仿Rocke的恶意脚本,搜索Rocke入侵的系统,并在植入自身后铲除Rocke使用的程序让其再也无法连接,这场斗争持续了近两年的时间。

介绍

有两个样本体现了TeamTNT在模仿WatchDog的操作,这两个样本分别于2020年12月5日和11日出现,用新的C2直接替换了原本的WatchDog C2。如图1所示,深蓝色矩形中的是原始WatchDog C2,被浅蓝色矩形中的新地址取代。

The original WatchDog infrastructure, in the dark blue rectangle, has been commented out of the bash script functionality and replaced with the new infrastructure seen in the light blue rectangle.

图1.WatchDog基础设施更换

TeamTNT没有从脚本中完全删除之前的C2地址,说明此样本有可能只是劫持WatchDog C2的概念证明(PoC)。

新脚本还模仿了WatchDog操作中URL地址目录树模式,以及标志性目录b2f628(红色)和b2f628fff19fda999999999(橙色),如图2所示。

The new script also makes use of the exact URL address directory tree pattern that is present within the known WatchDog operations, with the directories b2f628 (outlined in red) and b2f628fff19fda999999999 (outlined in orange).

图2.URL目录模式

这两个样本包含硬编码的门罗币钱包地址和关联的矿池,如图3所示。

These two samples contain a hardcoded Monero (XMR) wallet address and an associated mining pool.

图3.门罗币钱包和相关的矿池

如果这些变化确实是TeamTNT的作为,那么也代表TeamTNT首次使用传统门罗币矿池MoneroOcean[.]stream之外的矿池。两个以前从未被TeamTNT参与者使用的新矿池被引入,分别是nanopool[.]org(如图4所示)和f2pool[.]com(如图5所示)。

This cryptojacking operation introduces two new mining pools never before known to be used by TeamTNT actors, including nanopool[.]org, shown here.图4.Nanopool挖矿操作

This shows the total revenue and other details observed in f2pool.

图5.F2pool挖矿操作

Nanopool矿池操作人的姓名,根据记录共有20人,如图6所示。

According to nanopool[.]org records related to this Monero wallet address, there are a total of 20 unique workers.

图6.Nanopool挖矿操作人

两个矿池共对应19个恶意样本,其中有七个包含查找和杀死任意进程的指令,如果对应设备中含有TeamTNT标识的钱包地址的话。

Seven samples within the previous table contain instructions to find and remove any processes using the TeamTNT-identified 43XB Monero wallet address.

图7.使用TeamTNT门罗币地址识别和杀死进程

然后脚本将重建挖矿操作并使用两个WatchDog门罗币钱包地址,图8中列出的IP地址139.99.102[.]72解析为前面提到的xmr-asia1.nanopool[.]org矿池。

The IP address listed within Figure 8, 139.99.102[.]72, resolves to the previously mentioned xmr-asia1.nanopool[.]org mining pool.

图8.WatchDog门罗币钱包地址

TeamTNT与WatchDog基础设施的关联

样本36bf7b2ab7968880ccc696927c03167b6056e73043fd97a33d2468383a5bafce(见图9)中具体调用的URL地址、电子邮件地址和门罗币钱包都是已知的TeamTNT指标。

The URL addresses, email address and Monero wallet specifically called out within the sample 36bf7b2ab7968880ccc696927c03167b6056e73043fd97a33d2468383a5bafce are known TeamTNT indicators.

图9.已知的TeamTNT妥协指标(IoC)

样本8adc8be4b7fa2f536f4479fa770bf4024b26b6838f5e798c702e4a7a1a48c6中包含了新的WatchDog门罗币钱包地址,如图10所示。图9中显示的MOxmrigMODURL地址与已知的TeamTNTIoC相同,但是在这个样本中,我们还看到了与TeamTNT基础设施有很强联系的其他URL地址,特别是那些涉及到域名oracle.zzhreceive[.]top的URL地址。

The malware sample, 8adc8be4b7fa2f536f4479fa770bf4024b26b6838f5e798c702e4a7a9c1a48c6, contains the new WatchDog Monero wallet.

图10.使用链接的TeamTNT基础设施的新WatchDog IoC

这些新脚本(图9和图10)中的C2基础设施都使用WatchDog目录b2f628,有一个明显的链接到TeamTNT基础架构,域oracle.zzhreceive[.]top解析为IP地址199.19.226[.]117,这也是已知的TeamTNT子域zzhrecieve.anondns[.]net的解析IP地址。anondns[.]net域已被报告与多个TeamTNT活动相关联。

概述

在加密劫持攻击中,对恶意工具或特定脚本的使用是帮助我们溯源攻击团伙的重要指标之一,由于网络时代信息的普及,工具或代码之间的融合互用已变得非常常见,因此还需要C2设施、攻击者所使用的完整工具集等信息帮助判断。Unit42研究人员近期调查TeamTNT加密劫持团伙时,发现其新脚本中复制了WatchDog组织的命名习惯并劫持了WatchDog C2托管系统199.199.226[.]117。

继续对TeamTNT脚本调查发现,该组织惯用的一些技术或行为方式都没有出现,例如新脚本中:

· 没有沿用惯用的攻击模式,以Kubernetes(K8s)或DockerAPI目标,也没有使用新恶意软件工具Black-T和Hildegard。

· 入侵云实例后没有提取任何凭据。

· 没有使用网络扫描工具zgrab。

这些新脚本是在TeamTNT的公共恶意软件存储库中发现的,研究人员推测,TeamTNT可能是在通过模仿WatchDog将恶意行动栽赃给后者,从而混淆分析人员的视线。

窃取、劫持或合并TTPs(战术、技术和过程)已成了加密劫持操作中的普遍趋势。据报道,TeamTNT就曾从Kinsing组织的入侵实例中复制了用于检测和删除阿里云安全的代码。此外,加密劫持组织Rocke和Pacha也曾为了争云端Linux服务器领地而“大打出手”,Pacha模仿Rocke的恶意脚本,搜索Rocke入侵的系统,并在植入自身后铲除Rocke使用的程序让其再也无法连接,这场斗争持续了近两年的时间。

介绍

有两个样本体现了TeamTNT在模仿WatchDog的操作,这两个样本分别于2020年12月5日和11日出现,用新的C2直接替换了原本的WatchDog C2。如图1所示,深蓝色矩形中的是原始WatchDog C2,被浅蓝色矩形中的新地址取代。

The original WatchDog infrastructure, in the dark blue rectangle, has been commented out of the bash script functionality and replaced with the new infrastructure seen in the light blue rectangle.

图1.WatchDog基础设施更换

TeamTNT没有从脚本中完全删除之前的C2地址,说明此样本有可能只是劫持WatchDog C2的概念证明(PoC)。

新脚本还模仿了WatchDog操作中URL地址目录树模式,以及标志性目录b2f628(红色)和b2f628fff19fda999999999(橙色),如图2所示。

The new script also makes use of the exact URL address directory tree pattern that is present within the known WatchDog operations, with the directories b2f628 (outlined in red) and b2f628fff19fda999999999 (outlined in orange).

图2.URL目录模式

这两个样本包含硬编码的门罗币钱包地址和关联的矿池,如图3所示。

These two samples contain a hardcoded Monero (XMR) wallet address and an associated mining pool.

图3.门罗币钱包和相关的矿池

如果这些变化确实是TeamTNT的作为,那么也代表TeamTNT首次使用传统门罗币矿池MoneroOcean[.]stream之外的矿池。两个以前从未被TeamTNT参与者使用的新矿池被引入,分别是nanopool[.]org(如图4所示)和f2pool[.]com(如图5所示)。

This cryptojacking operation introduces two new mining pools never before known to be used by TeamTNT actors, including nanopool[.]org, shown here.图4.Nanopool挖矿操作

This shows the total revenue and other details observed in f2pool.

图5.F2pool挖矿操作

Nanopool矿池操作人的姓名,根据记录共有20人,如图6所示。

According to nanopool[.]org records related to this Monero wallet address, there are a total of 20 unique workers.

图6.Nanopool挖矿操作人

两个矿池共对应19个恶意样本,其中有七个包含查找和杀死任意进程的指令,如果对应设备中含有TeamTNT标识的钱包地址的话。

Seven samples within the previous table contain instructions to find and remove any processes using the TeamTNT-identified 43XB Monero wallet address.

图7.使用TeamTNT门罗币地址识别和杀死进程

然后脚本将重建挖矿操作并使用两个WatchDog门罗币钱包地址,图8中列出的IP地址139.99.102[.]72解析为前面提到的xmr-asia1.nanopool[.]org矿池。

The IP address listed within Figure 8, 139.99.102[.]72, resolves to the previously mentioned xmr-asia1.nanopool[.]org mining pool.

图8.WatchDog门罗币钱包地址

TeamTNT与WatchDog基础设施的关联

样本36bf7b2ab7968880ccc696927c03167b6056e73043fd97a33d2468383a5bafce(见图9)中具体调用的URL地址、电子邮件地址和门罗币钱包都是已知的TeamTNT指标。

The URL addresses, email address and Monero wallet specifically called out within the sample 36bf7b2ab7968880ccc696927c03167b6056e73043fd97a33d2468383a5bafce are known TeamTNT indicators.

图9.已知的TeamTNT妥协指标(IoC)

样本8adc8be4b7fa2f536f4479fa770bf4024b26b6838f5e798c702e4a7a1a48c6中包含了新的WatchDog门罗币钱包地址,如图10所示。图9中显示的MOxmrigMODURL地址与已知的TeamTNTIoC相同,但是在这个样本中,我们还看到了与TeamTNT基础设施有很强联系的其他URL地址,特别是那些涉及到域名oracle.zzhreceive[.]top的URL地址。

The malware sample, 8adc8be4b7fa2f536f4479fa770bf4024b26b6838f5e798c702e4a7a9c1a48c6, contains the new WatchDog Monero wallet.

图10.使用链接的TeamTNT基础设施的新WatchDog IoC

这些新脚本(图9和图10)中的C2基础设施都使用WatchDog目录b2f628,有一个明显的链接到TeamTNT基础架构,域oracle.zzhreceive[.]top解析为IP地址199.19.226[.]117,这也是已知的TeamTNT子域zzhrecieve.anondns[.]net的解析IP地址。anondns[.]net域已被报告与多个TeamTNT活动相关联。

AT&T Alien Labs 观察到名为Moobot的Mirai僵尸网络变种,用于扫描 Tenda 路由器中已知但隐蔽的漏洞,引起了内部遥测相当大的峰值,进一步调查发现了恶意软件托管域Cyberium,并在其中发现了数个Mirai变种,如 Moobot 和 Satori。 

分析

3 月底,AT&T Alien Labs 观察到 Tenda 远程代码执行 (RCE) 漏洞 CVE-2020-10987 的利用尝试激增。该漏洞不常被网络扫描器使用,在过去六个月中几乎没有检测到。这个漏洞可以通过请求的 URL 来识别,其中包括“setUsbUnload”和分配给易受攻击参数“deviceName”的有效负载。此有效负载包含将执行路径更改为临时位置、从恶意软件托管页面获取文件、提供执行权限并执行它的指令。

BinaryEdge sensor

图 1. BinaryEdge Sensor 检测漏洞扫描

当时攻击者对 Tenda 路由器的漏洞扫描只持续了一天,但对其余设备的扫描活动却持续了数周时间,涉及到的设备漏洞如下:

· 端口 80 和 8080:Axis SSI RCE。

· 端口 34567:DVR扫描器尝试默认凭证的Sofia主视频应用程序。

· 端口 37215:华为家用路由器RCE漏洞 (CVE-2017-17215)。

· 端口 52869:Realtek SDK Miniigd UPnP SOAP命令执行(CVE-2014-8361)。

所有恶意软件变体都来自相同的恶意软件托管页面dns.cyberium[.]cc,在调查此域时,发现了多个攻击活动,最早的可以追溯到 2020 年 5 月。大多数攻击持续了一周的时间,每个活动使用Cyberium域下的不同子域页面,攻击终止后,相关的子域就无法解析。

RiskIQ heatmap 

图 2. Cyberium[.]cc 的热力图

破坏设备后,恶意代码会连接到Cyberium域来检索用作下载器的bash脚本,这个脚本非常类似于之前看到的Mirai变种的下载器,旨在下载恶意软件的后期阶段,如下图所示,脚本下载文件名列表(与不同的 CPU 架构相关联),执行每个文件名,通过crontab 实现持久化,最后删除自身。

Tenda downloader script

图 3. Tenda 下载程序脚本

在该域可用期间,至少发现了三种不同的 Mirai变种:Moobot、Satori/Fbot 以及与这些僵尸网络无关的其他样本。该域的特点之一是它在 Mirai 变体之间的来回切换,即使在相同的文件名下也是如此,同一 URL 可能在托管 Satori的一周后托管 Moobot。

Moobot

Moobot僵尸网络于2020年4月首次被发现,于同年10出现了新变种,该变种主要追逐暴露的和易受攻击的 Dockers API,以将它们纳入DDoS 僵尸网络中。

与其他Mirai变体不同的是,从Moobot获得的样本是加密的,试图逃避基于字符串的检测、对所用漏洞的静态分析,或入侵后的活动。Moobot中列举了要避免的硬编码IP地址列表,如:国防部、IANA IP、通用电气等。

Moobot 

图 4. Moobot 的 IP 扫描限制

恶意软件编写者似乎非常了解他们的目标受害者是谁,因此恶意软件将尝试通过使用 prctl 来隐藏其进程名称。隐藏进程名称是“/var/Sofia”,为目标设备上的视频应用程序的名称。

moobot hideout

图 5. Moobot 进程隐藏处

成功感染后,payload 尝试在端口 12028 上查询硬编码的 C2 以获取 C2 列表。当前Cyberium 域处于关闭状态,无法分析这些通信。

Satori/Fbot

Satori 僵尸网络,也称为 Fbot,是另一种基于 Mirai 变种的僵尸网络。Moobot 和 Satori 样本之间的相似之处很多,因为它们都来自相同的 Mirai 源代码,比如下载方式、对物联网设备的漏洞扫描、执行后打印的字符串、隐藏在 (/var/Sofia) 后面的进程名称等。在观察到的Satori样本中,代码没有加密,无需任何额外操作就可以读取更多字符串——不像 Moobot 样本被编码以减少纯文本中的字符串数量。

其他样本

这些样本似乎是 Moobot 和 Satori 样本之间的混合,它们的特征是随机组合的,大多数看起来像没有编码的 Moobot 样本或没有硬编码域的 Satori。

推荐措施

· 保持所有 IoT 设备更新,并特别关注解决提到的设备或 CVE。

· 监控已知传入漏洞的网络流量。

· 监控到 Cyberium 或 ripper 域的出口和入口网络流量。

· 定期执行进程审计和记账,寻找可能隐藏僵尸网络的已知恶意进程名称。

AT&T Alien Labs 观察到名为Moobot的Mirai僵尸网络变种,用于扫描 Tenda 路由器中已知但隐蔽的漏洞,引起了内部遥测相当大的峰值,进一步调查发现了恶意软件托管域Cyberium,并在其中发现了数个Mirai变种,如 Moobot 和 Satori。 

分析

3 月底,AT&T Alien Labs 观察到 Tenda 远程代码执行 (RCE) 漏洞 CVE-2020-10987 的利用尝试激增。该漏洞不常被网络扫描器使用,在过去六个月中几乎没有检测到。这个漏洞可以通过请求的 URL 来识别,其中包括“setUsbUnload”和分配给易受攻击参数“deviceName”的有效负载。此有效负载包含将执行路径更改为临时位置、从恶意软件托管页面获取文件、提供执行权限并执行它的指令。

BinaryEdge sensor

图 1. BinaryEdge Sensor 检测漏洞扫描

当时攻击者对 Tenda 路由器的漏洞扫描只持续了一天,但对其余设备的扫描活动却持续了数周时间,涉及到的设备漏洞如下:

· 端口 80 和 8080:Axis SSI RCE。

· 端口 34567:DVR扫描器尝试默认凭证的Sofia主视频应用程序。

· 端口 37215:华为家用路由器RCE漏洞 (CVE-2017-17215)。

· 端口 52869:Realtek SDK Miniigd UPnP SOAP命令执行(CVE-2014-8361)。

所有恶意软件变体都来自相同的恶意软件托管页面dns.cyberium[.]cc,在调查此域时,发现了多个攻击活动,最早的可以追溯到 2020 年 5 月。大多数攻击持续了一周的时间,每个活动使用Cyberium域下的不同子域页面,攻击终止后,相关的子域就无法解析。

RiskIQ heatmap 

图 2. Cyberium[.]cc 的热力图

破坏设备后,恶意代码会连接到Cyberium域来检索用作下载器的bash脚本,这个脚本非常类似于之前看到的Mirai变种的下载器,旨在下载恶意软件的后期阶段,如下图所示,脚本下载文件名列表(与不同的 CPU 架构相关联),执行每个文件名,通过crontab 实现持久化,最后删除自身。

Tenda downloader script

图 3. Tenda 下载程序脚本

在该域可用期间,至少发现了三种不同的 Mirai变种:Moobot、Satori/Fbot 以及与这些僵尸网络无关的其他样本。该域的特点之一是它在 Mirai 变体之间的来回切换,即使在相同的文件名下也是如此,同一 URL 可能在托管 Satori的一周后托管 Moobot。

Moobot

Moobot僵尸网络于2020年4月首次被发现,于同年10出现了新变种,该变种主要追逐暴露的和易受攻击的 Dockers API,以将它们纳入DDoS 僵尸网络中。

与其他Mirai变体不同的是,从Moobot获得的样本是加密的,试图逃避基于字符串的检测、对所用漏洞的静态分析,或入侵后的活动。Moobot中列举了要避免的硬编码IP地址列表,如:国防部、IANA IP、通用电气等。

Moobot 

图 4. Moobot 的 IP 扫描限制

恶意软件编写者似乎非常了解他们的目标受害者是谁,因此恶意软件将尝试通过使用 prctl 来隐藏其进程名称。隐藏进程名称是“/var/Sofia”,为目标设备上的视频应用程序的名称。

moobot hideout

图 5. Moobot 进程隐藏处

成功感染后,payload 尝试在端口 12028 上查询硬编码的 C2 以获取 C2 列表。当前Cyberium 域处于关闭状态,无法分析这些通信。

Satori/Fbot

Satori 僵尸网络,也称为 Fbot,是另一种基于 Mirai 变种的僵尸网络。Moobot 和 Satori 样本之间的相似之处很多,因为它们都来自相同的 Mirai 源代码,比如下载方式、对物联网设备的漏洞扫描、执行后打印的字符串、隐藏在 (/var/Sofia) 后面的进程名称等。在观察到的Satori样本中,代码没有加密,无需任何额外操作就可以读取更多字符串——不像 Moobot 样本被编码以减少纯文本中的字符串数量。

其他样本

这些样本似乎是 Moobot 和 Satori 样本之间的混合,它们的特征是随机组合的,大多数看起来像没有编码的 Moobot 样本或没有硬编码域的 Satori。

推荐措施

· 保持所有 IoT 设备更新,并特别关注解决提到的设备或 CVE。

· 监控已知传入漏洞的网络流量。

· 监控到 Cyberium 或 ripper 域的出口和入口网络流量。

· 定期执行进程审计和记账,寻找可能隐藏僵尸网络的已知恶意进程名称。

本文主要分析网络犯罪分子如何通过更改邮件的From(发件人)标头来进行邮件欺诈。

域名欺骗

邮件欺诈的最简单形式之一是域名欺骗,指的是将目标发件人的域名插入到From标头中,使用户很难区分真实来源。

网络犯罪分子如果要以别人的名义发送邮件,并不是一件难事,网上不乏此类脚本或程序。由于SMTP(简单邮件传输协议,TCP/IP网络中的主要电子邮件传输协议)不提供此类保护,因此当攻击者获取到目标受害者信任的发件人地址时,能诱导他们执行特定操作,比如单击钓鱼链接、转账汇款、下载恶意文件等。为了增加可信度,攻击者还会模仿发件人的风格或身份证明,并强调任务的紧迫性以增加成功的概率。

为了解决这种欺诈,目前市面上有几种身份验证方法:SPF、DKIM和DMARC。通过这些方式让得到验证后的信息实际上从指定地址发送。

· SPF(发件人策略框架)标准允许邮件域所有者限制可以从该域发送消息的IP地址集,并允许邮件服务器检查发件人的IP地址是否被域所有者授权。但是,SPF不检查From头,而是检查SMTP信封中指定的发件人域,该域用于在邮件客户端和服务器之间传输邮件路由信息,不会显示给收件人。

· DKIM通过基于存储在发件人服务器上的私钥生成的数字签名来解决发件人身份验证问题。用于验证签名的公钥放在负责发件人域的DNS服务器上。如果消息是从不同的域发送的,则签名将无效。但是该技术有一个弱点:攻击者可以发送没有DKIM签名的假电子邮件,且信息将无法验证。

· DMARC(基于域的消息身份验证、报告和一致性)用于根据DKIM/SPF验证域检查From标头中的域。使用DMARC,则域名欺骗的消息无法通过身份验证。如果政策严格,DMARC还可以阻止特定的电子邮件。

随着上述技术的广泛实施,攻击者要么采取其他方法,要么报希望于他们所冒充的公司没有正确配置邮件身份验证,遗憾的是,这种现象依然很常见。

显示名称欺骗

显示名称是发件人的姓名或昵称,显示在电子邮件地址之前的发件人标头中。如果是公司邮件,则通常是相关部门或个人的真实姓名。

Email_spoofing_01.jpeg

显示名称的示例

为了使收件人的邮件看上去不那么混乱,许多邮件客户端隐藏了发件人的地址,只显示显示名称,这也给了犯罪分子可乘之机,不过From标头中还是显示了他们的真实地址,由于此地址通常受到DKIM签名和SPF的保护,也会被身份验证机制将消息视为合法的,只要受害者不注意看就容易上当。

幽灵欺骗

幽灵欺骗为此类的最常见形式。攻击者除了伪造发件人个人或公司的名称,还连带了发件人的地址,如下面的示例所示。

Email_spoofing_02.jpeg

幽灵欺骗的示例

实际上消息来自完全不同的地址。

Email_spoofing_03.jpeg

幽灵欺骗中的真实发件人地址和邮件身份验证

AD欺骗

AD(Active Directory)欺骗是另一种形式的显示名称欺骗,但与幽灵欺骗不同,它直接以发送人的名字设置邮件地址。

Email_spoofing_04.jpeg

AD欺骗示例

这种方法看起来比幽灵欺骗更原始,但幽灵欺骗在技术上更容易被垃圾邮件过滤器拦截,而AD欺骗至少能将邮件发送到垃圾邮件文件夹,封锁所有来自与同事或公司同名地址的电子邮件通常也不太现实。

相似域名欺骗

此类攻击要更为复杂些,需要攻击者寻找类似目标组织的域名并注册。查找和购买域名都需要付出更多时间,之后在其上设置邮件、DKIM/SPF签名和DMARC身份验证,这比简单地修改From标头要困难得多,但这也为识别机制带来阻碍。

例如,下面截图中的电子邮件来自域名deutschepots.de,受害者很容易与德国邮政公司DeutschePost(deutschepost.de)的域名混淆。如果点击了此类电子邮件中的链接并尝试支付包裹递送费用,不仅会损失3欧元,还会将信用卡详细信息交给犯罪分子。

Email_spoofing_05.jpeg

来自相似域的消息示例

Unicode欺骗

Unicode欺骗指的是域名中的ASCII字符被替换为Unicode集中的相似字符。了解此技术需要了解使用非拉丁字符的域是如何编码的。Punycode是一种将Unicode字符转换为ASCII兼容编码(ACE)表示的方法,由拉丁字母、连字符和0到9的数字组成。同时,许多浏览器和邮件客户端显示域的Unicode版本。例如,这个俄罗斯域名:

касперский.рф

转换为:

xn--80akjebc7ajgd.xn--p1ai

但在浏览器中,你很可能会看到相同的касперский.рф。由于该技术提供部分编码(对单个字符进行编码,而不是对整个字符串进行编码),因此域可以同时包含ASCII和Unicode字符,网络犯罪分子会积极利用这种特性。

Email_spoofing_06.jpeg

Unicode欺骗的电子邮件示例

在上面的截图中,消息据称是从apple.com发送的。它看起来合法,并且电子邮件也通过了邮件身份验证。仔细看可以看出,邮件设计得正规苹果支持页面并不一样,但普通用户很少会去比较。如果毫无戒心的用户点击该链接,就会被带到一个虚假网站,要求提供帐户详细信息。

看一看邮件头(可在大多数PC邮件客户端或web版本的邮件服务中看到),就会看到完全不同的画面:

Email_spoofing_07.jpeg

Punycode域记录

我们上面看到的apple.com域在Punycode中看起来非常不同,因为前三个字符实际上是西里尔字母“а”和“р”。但是为了方便用户,邮件客户端将Punycode转换为Unicode,于是消息显示为“apple.com”。

需要注意的是,一些邮件客户端会警告用户域名中使用的非标准字符,甚至在From标头中显示Punycode,然而这种保护机制并不普遍。

结论

邮件诈骗有多种方法,其中一些看起来很原始但能成功绕过邮件身份验证。同时,邮件欺诈往往只是犯罪分子攻击的第一步,对受害者信息的收集,或对受害者设备的控制可能会造成更深远的影响,即使只是一次点击,也可能导致身份盗用、业务宕机,或高达数百万美元的金钱损失。

本文主要分析网络犯罪分子如何通过更改邮件的From(发件人)标头来进行邮件欺诈。

域名欺骗

邮件欺诈的最简单形式之一是域名欺骗,指的是将目标发件人的域名插入到From标头中,使用户很难区分真实来源。

网络犯罪分子如果要以别人的名义发送邮件,并不是一件难事,网上不乏此类脚本或程序。由于SMTP(简单邮件传输协议,TCP/IP网络中的主要电子邮件传输协议)不提供此类保护,因此当攻击者获取到目标受害者信任的发件人地址时,能诱导他们执行特定操作,比如单击钓鱼链接、转账汇款、下载恶意文件等。为了增加可信度,攻击者还会模仿发件人的风格或身份证明,并强调任务的紧迫性以增加成功的概率。

为了解决这种欺诈,目前市面上有几种身份验证方法:SPF、DKIM和DMARC。通过这些方式让得到验证后的信息实际上从指定地址发送。

· SPF(发件人策略框架)标准允许邮件域所有者限制可以从该域发送消息的IP地址集,并允许邮件服务器检查发件人的IP地址是否被域所有者授权。但是,SPF不检查From头,而是检查SMTP信封中指定的发件人域,该域用于在邮件客户端和服务器之间传输邮件路由信息,不会显示给收件人。

· DKIM通过基于存储在发件人服务器上的私钥生成的数字签名来解决发件人身份验证问题。用于验证签名的公钥放在负责发件人域的DNS服务器上。如果消息是从不同的域发送的,则签名将无效。但是该技术有一个弱点:攻击者可以发送没有DKIM签名的假电子邮件,且信息将无法验证。

· DMARC(基于域的消息身份验证、报告和一致性)用于根据DKIM/SPF验证域检查From标头中的域。使用DMARC,则域名欺骗的消息无法通过身份验证。如果政策严格,DMARC还可以阻止特定的电子邮件。

随着上述技术的广泛实施,攻击者要么采取其他方法,要么报希望于他们所冒充的公司没有正确配置邮件身份验证,遗憾的是,这种现象依然很常见。

显示名称欺骗

显示名称是发件人的姓名或昵称,显示在电子邮件地址之前的发件人标头中。如果是公司邮件,则通常是相关部门或个人的真实姓名。

Email_spoofing_01.jpeg

显示名称的示例

为了使收件人的邮件看上去不那么混乱,许多邮件客户端隐藏了发件人的地址,只显示显示名称,这也给了犯罪分子可乘之机,不过From标头中还是显示了他们的真实地址,由于此地址通常受到DKIM签名和SPF的保护,也会被身份验证机制将消息视为合法的,只要受害者不注意看就容易上当。

幽灵欺骗

幽灵欺骗为此类的最常见形式。攻击者除了伪造发件人个人或公司的名称,还连带了发件人的地址,如下面的示例所示。

Email_spoofing_02.jpeg

幽灵欺骗的示例

实际上消息来自完全不同的地址。

Email_spoofing_03.jpeg

幽灵欺骗中的真实发件人地址和邮件身份验证

AD欺骗

AD(Active Directory)欺骗是另一种形式的显示名称欺骗,但与幽灵欺骗不同,它直接以发送人的名字设置邮件地址。

Email_spoofing_04.jpeg

AD欺骗示例

这种方法看起来比幽灵欺骗更原始,但幽灵欺骗在技术上更容易被垃圾邮件过滤器拦截,而AD欺骗至少能将邮件发送到垃圾邮件文件夹,封锁所有来自与同事或公司同名地址的电子邮件通常也不太现实。

相似域名欺骗

此类攻击要更为复杂些,需要攻击者寻找类似目标组织的域名并注册。查找和购买域名都需要付出更多时间,之后在其上设置邮件、DKIM/SPF签名和DMARC身份验证,这比简单地修改From标头要困难得多,但这也为识别机制带来阻碍。

例如,下面截图中的电子邮件来自域名deutschepots.de,受害者很容易与德国邮政公司DeutschePost(deutschepost.de)的域名混淆。如果点击了此类电子邮件中的链接并尝试支付包裹递送费用,不仅会损失3欧元,还会将信用卡详细信息交给犯罪分子。

Email_spoofing_05.jpeg

来自相似域的消息示例

Unicode欺骗

Unicode欺骗指的是域名中的ASCII字符被替换为Unicode集中的相似字符。了解此技术需要了解使用非拉丁字符的域是如何编码的。Punycode是一种将Unicode字符转换为ASCII兼容编码(ACE)表示的方法,由拉丁字母、连字符和0到9的数字组成。同时,许多浏览器和邮件客户端显示域的Unicode版本。例如,这个俄罗斯域名:

касперский.рф

转换为:

xn--80akjebc7ajgd.xn--p1ai

但在浏览器中,你很可能会看到相同的касперский.рф。由于该技术提供部分编码(对单个字符进行编码,而不是对整个字符串进行编码),因此域可以同时包含ASCII和Unicode字符,网络犯罪分子会积极利用这种特性。

Email_spoofing_06.jpeg

Unicode欺骗的电子邮件示例

在上面的截图中,消息据称是从apple.com发送的。它看起来合法,并且电子邮件也通过了邮件身份验证。仔细看可以看出,邮件设计得正规苹果支持页面并不一样,但普通用户很少会去比较。如果毫无戒心的用户点击该链接,就会被带到一个虚假网站,要求提供帐户详细信息。

看一看邮件头(可在大多数PC邮件客户端或web版本的邮件服务中看到),就会看到完全不同的画面:

Email_spoofing_07.jpeg

Punycode域记录

我们上面看到的apple.com域在Punycode中看起来非常不同,因为前三个字符实际上是西里尔字母“а”和“р”。但是为了方便用户,邮件客户端将Punycode转换为Unicode,于是消息显示为“apple.com”。

需要注意的是,一些邮件客户端会警告用户域名中使用的非标准字符,甚至在From标头中显示Punycode,然而这种保护机制并不普遍。

结论

邮件诈骗有多种方法,其中一些看起来很原始但能成功绕过邮件身份验证。同时,邮件欺诈往往只是犯罪分子攻击的第一步,对受害者信息的收集,或对受害者设备的控制可能会造成更深远的影响,即使只是一次点击,也可能导致身份盗用、业务宕机,或高达数百万美元的金钱损失。

在过去的二十年间,各行业或多或少地从电信技术的进步中受益,当前5G时代的到来催化了工业环境的变革,让越来越多的企业选择加大对非公共网络(NPN,通常也称为园区网络)的投资。4G / 5G园区网络有助于满足各行业不断增长的需求,以实现更高的可用性、更低的延迟、更好的隐私安全,但同时也伴随着各类安全问题的产生。安全公司Trendmicro深入研究了部署4G / 5G园区网络所涉及到的安全风险和影响,通过模拟实际环境来测试不同的攻击情形,并总结了如何针对这些威胁进行防御。

4G / 5G园区网络

园区网络限于一个地理区域内,并且还受到光纤电缆和移动网络的限制。

在我们的研究中,我们仅使用了园区网络中最小数量的设备。它的核心网络为本地实施的园区网络或与外部移动服务提供商的连接。它有一个基站,其他组件包括工业路由器、控制网络、现场网络和多个可编程逻辑控制器 (PLC)。本篇研究论文对我们所建立的园区网络和使用的核心网络进行了更详细的描述,下文所述的所有攻击场景也基于此。

风险因素

我们演示的攻击场景源自受感染的核心网络,因此需要首先展示攻击者渗透到核心网络的流程。我们确定了可以使攻击者攻陷核心网络的四个切入点:

· 托管核心网络服务的服务器:由于园区网络使用标准服务器(COTS x86服务器),因此攻击者可以利用服务器中一些已披露的漏洞。

· 虚拟机(VM)或容器:定期补丁的VM和容器会缩小此选项的攻击面,但虚拟机和容器不会常打补丁,常见的错误配置也可能导致无法预料的风险和威胁。

· 网络基础设施:未打补丁的基础设施设备可被用于渗透公司网络,攻击者可以使用托管路由器、交换机、防火墙甚至网络安全设备来拦截数据包。

· 基站:基站中可能存在的漏洞,让攻击者渗透到核心网络。

受损核心网络的常见攻击情形

通过这四个入口点,攻击者无需高深的技术就能从IP网络发起攻击。下文讨论了一些可测试的常见攻击情形。需要注意的是,这些场景表明,一个被破坏的核心网络可能成为影响工业控制系统(ICS)或造成后续破坏的关键突破口。

MQTT劫持

现代ICS支持通过MQTT协议向云发送读数。为了保障安全性,可以使用密码和TLS保护MQTT,不过在实际使用中很少这样做。如果攻击者成功地改变了向云发送的遥测技术或信息,那么就能够影响分析算法和统计数据。攻击者还可以拦截MQTT来暂时隐藏他们在远程站点中的举动。

我们在论文中研究中模拟的对钢铁厂的攻击能说明了这一点,我们对该钢铁厂的温度传感器读数的MQTT消息进行了截取和修改,让显示温度变得实际温度不一致,且这一变化不会反映在外部审计日志中。

Modbus / TCP劫持

VPN通常用于远程站点和控制网络之间,但在不使用VPN,或者将Modbus服务器直接连接到园区网络的情况下,攻击者可以编写Modbus解析器来更改数据包中的Modbus函数代码和数据值。

这将导致类似MQTT劫持的场景。在模拟攻击场景中,发送到钢铁厂控制人机界面的数据是利用这种手法来操纵的。即使在压力、气流、温度都超过正常水平的情况下,控制室的操作人员也发现不了任何问题,从而对影响后续的工业制造。

远程桌面攻击

远程桌面广泛用于远程施工,工业环境中主流系统是VNC或Microsoft远程桌面。虽然远程桌面会话通常通过密码进行身份验证,但这并不意味着它们是加密的。根据配置的加密选项,位于入口点的攻击者有机会嗅探RDP端口3389或VNC端口5900,以便记录击键和密码。

例如,攻击者可以通过对核心网络中的RDP执行降级攻击来嗅探击键。至于VNC,带有连接密码的未加密VNC可以被强行使用,并且仍然可以记录击键。

在对钢铁厂的模拟攻击场景中,此情形下的攻击者将能够通过VNC获得访问权。这为他们提供了许多不同的选择,例如可以选择直接拦截PLC或安装勒索软件。

这些只是我们能够在园区网络上测试的几个常见攻击场景中的示例。我们的研究论文给出了更多攻击场景的技术性描述,除了前面描述的三种外,还讨论了只能通过蜂窝网络传输的蜂窝特定攻击方案,了解蜂窝特定的攻击场景是缩小IT、OT和电信技术领域之间知识差距的良好起点。

安全建议

在未来两三年内,可预见会有更多的工业系统部署4G / 5G园区网络。4G园区网络也将在不久的将来过渡到5G。这些变化会对安全性产生巨大的影响,并进一步影响了IT和OT专家在工业系统中所扮演的角色。这些专家需要根据新的三重技术(IT,OT和现在的通信技术(CT))的融合来扩展自己的知识。以下是4G / 5G园区网络的一些常规安全建议:

· 使用应用程序层加密,例如HTTPS,MQTTS,LDAPS或任何设计良好的工业协议。

· 依靠适当的网络隔离,VLAN和IPsec来保护运行园区网络的工业设施。

· 补丁程序可用后,立即为操作系统、路由器和基站应用最新的补丁。

· 由于LTE和5G不能自动满足加密需求,请使用VPN或IPsec帮助保护远程通信信道,包括远程站点和基站。

在过去的二十年间,各行业或多或少地从电信技术的进步中受益,当前5G时代的到来催化了工业环境的变革,让越来越多的企业选择加大对非公共网络(NPN,通常也称为园区网络)的投资。4G / 5G园区网络有助于满足各行业不断增长的需求,以实现更高的可用性、更低的延迟、更好的隐私安全,但同时也伴随着各类安全问题的产生。安全公司Trendmicro深入研究了部署4G / 5G园区网络所涉及到的安全风险和影响,通过模拟实际环境来测试不同的攻击情形,并总结了如何针对这些威胁进行防御。

4G / 5G园区网络

园区网络限于一个地理区域内,并且还受到光纤电缆和移动网络的限制。

在我们的研究中,我们仅使用了园区网络中最小数量的设备。它的核心网络为本地实施的园区网络或与外部移动服务提供商的连接。它有一个基站,其他组件包括工业路由器、控制网络、现场网络和多个可编程逻辑控制器 (PLC)。本篇研究论文对我们所建立的园区网络和使用的核心网络进行了更详细的描述,下文所述的所有攻击场景也基于此。

风险因素

我们演示的攻击场景源自受感染的核心网络,因此需要首先展示攻击者渗透到核心网络的流程。我们确定了可以使攻击者攻陷核心网络的四个切入点:

· 托管核心网络服务的服务器:由于园区网络使用标准服务器(COTS x86服务器),因此攻击者可以利用服务器中一些已披露的漏洞。

· 虚拟机(VM)或容器:定期补丁的VM和容器会缩小此选项的攻击面,但虚拟机和容器不会常打补丁,常见的错误配置也可能导致无法预料的风险和威胁。

· 网络基础设施:未打补丁的基础设施设备可被用于渗透公司网络,攻击者可以使用托管路由器、交换机、防火墙甚至网络安全设备来拦截数据包。

· 基站:基站中可能存在的漏洞,让攻击者渗透到核心网络。

受损核心网络的常见攻击情形

通过这四个入口点,攻击者无需高深的技术就能从IP网络发起攻击。下文讨论了一些可测试的常见攻击情形。需要注意的是,这些场景表明,一个被破坏的核心网络可能成为影响工业控制系统(ICS)或造成后续破坏的关键突破口。

MQTT劫持

现代ICS支持通过MQTT协议向云发送读数。为了保障安全性,可以使用密码和TLS保护MQTT,不过在实际使用中很少这样做。如果攻击者成功地改变了向云发送的遥测技术或信息,那么就能够影响分析算法和统计数据。攻击者还可以拦截MQTT来暂时隐藏他们在远程站点中的举动。

我们在论文中研究中模拟的对钢铁厂的攻击能说明了这一点,我们对该钢铁厂的温度传感器读数的MQTT消息进行了截取和修改,让显示温度变得实际温度不一致,且这一变化不会反映在外部审计日志中。

Modbus / TCP劫持

VPN通常用于远程站点和控制网络之间,但在不使用VPN,或者将Modbus服务器直接连接到园区网络的情况下,攻击者可以编写Modbus解析器来更改数据包中的Modbus函数代码和数据值。

这将导致类似MQTT劫持的场景。在模拟攻击场景中,发送到钢铁厂控制人机界面的数据是利用这种手法来操纵的。即使在压力、气流、温度都超过正常水平的情况下,控制室的操作人员也发现不了任何问题,从而对影响后续的工业制造。

远程桌面攻击

远程桌面广泛用于远程施工,工业环境中主流系统是VNC或Microsoft远程桌面。虽然远程桌面会话通常通过密码进行身份验证,但这并不意味着它们是加密的。根据配置的加密选项,位于入口点的攻击者有机会嗅探RDP端口3389或VNC端口5900,以便记录击键和密码。

例如,攻击者可以通过对核心网络中的RDP执行降级攻击来嗅探击键。至于VNC,带有连接密码的未加密VNC可以被强行使用,并且仍然可以记录击键。

在对钢铁厂的模拟攻击场景中,此情形下的攻击者将能够通过VNC获得访问权。这为他们提供了许多不同的选择,例如可以选择直接拦截PLC或安装勒索软件。

这些只是我们能够在园区网络上测试的几个常见攻击场景中的示例。我们的研究论文给出了更多攻击场景的技术性描述,除了前面描述的三种外,还讨论了只能通过蜂窝网络传输的蜂窝特定攻击方案,了解蜂窝特定的攻击场景是缩小IT、OT和电信技术领域之间知识差距的良好起点。

安全建议

在未来两三年内,可预见会有更多的工业系统部署4G / 5G园区网络。4G园区网络也将在不久的将来过渡到5G。这些变化会对安全性产生巨大的影响,并进一步影响了IT和OT专家在工业系统中所扮演的角色。这些专家需要根据新的三重技术(IT,OT和现在的通信技术(CT))的融合来扩展自己的知识。以下是4G / 5G园区网络的一些常规安全建议:

· 使用应用程序层加密,例如HTTPS,MQTTS,LDAPS或任何设计良好的工业协议。

· 依靠适当的网络隔离,VLAN和IPsec来保护运行园区网络的工业设施。

· 补丁程序可用后,立即为操作系统、路由器和基站应用最新的补丁。

· 由于LTE和5G不能自动满足加密需求,请使用VPN或IPsec帮助保护远程通信信道,包括远程站点和基站。