EKANS勒索软件攻击揭示了OT网络攻击的未来2020年6月25日，星期四，企业安全总监Vid Masson，最近几周，安全行业已经敏锐地意识到OT保护所面临的挑战，针对本田和Enel集团的EKANS勒索软件攻击证明了新的威胁继续从ICS环境中安全系统的裂缝中溜走。更重要的是，由于此类攻击导致生产力下降和关键基础设施受损，对网络安全战略的需求越来越大，它将OT和IT技术连接起来紧急。那个最近的EKANS勒索软件在安全圈引起了轩然大波，因为它能够在其"杀死链"中锁定64个特定的ICS机制。标准攻击通过IT基础设施中的漏洞来攻击ICS环境，通过未修补的软件来攻击OT机器，而不是直接攻击要害。EKANS勒索软件直接针对ICS漏洞，可以认为是同类软件中的第一个——标志着攻击者技术的重大发展。在此之前，ICS机械专用勒索软件要么是一种学术理论，要么是一种营销工具。技术分析是用Go编程语言编写的，与其他勒索软件相比，EKANS具有额外的混淆能力，这使得它能够更好地逃避检测。正如我们在这篇分析中所看到的，EKANS勒索软件的威力是双重的——它能够在开始阶段掩饰攻击，当它真的发动攻击时，它的目标是工业痛苦点。那个勒索软件的第一个调用端口是检查受害者是否已经被加密。如果没有，标准的加密库函数就会随之出现。这些操作包括执行加密操作和删除卷影副本备份—这意味着受害者无法简单地检索重复的数据副本并绕过赎金。之前相关文件被加密，EKANS勒索软件会杀死预先编程的硬编码列表中列出的各种ICS进程。受影响的应用程序包括GE的Proficy data historian、GE Fanuc自动化软件、FLEXNet许可服务器实例、Thingworx监控和管理软件，以及霍尼韦尔的HMIWeb应用程序——都是针对ICS的environments.proficient.exevmacthlp.exemdstssrvr.exesqlservr.exemmdsrv.练习rtingservicesservice.exedmscsvc.exewinvnc4.execlient.execollwrap.exeblusertripecollector.exe图1:EKANS"kill list"中针对的ICS相关进程的一个小片段，同时暂停这些进程过程不一定会使工业工厂崩溃，它确实会降低可见性，并可能使机器操作变得不可预测。在本田的袭击事件中，美国、英国和土耳其的制造业务被暂停。由于全球有22万人的劳动力，关闭几家工厂并将员工遣送回家，导致生产时间和员工工资大幅减少，更不用说在不向勒索妥协的情况下建立和运行系统的成本需求.EKANS然后更进一步。一旦这个初始的杀戮链被执行，勒索软件开始加密数据。在原始文件扩展名的末尾随机添加五个字母。这本身是不寻常的，因为大多数勒索软件都用特定的关键人物2： EKANS勒索软件的加密结果比针对特定的设备或系统，EKANS勒索软件看起来要摧毁整个网络，这也是它成为一种攻击性勒索软件的一部分。然而，它缺乏自传播机制，因此必须人工将其引入ICS环境中。隐藏在电子邮件链接和附件中的恶意有效负载是引入勒索软件的主要机制。从那里开始，EKANS利用易受攻击和未匹配的服务，通过在整个业务中植入自己的种子脚本。什么时候加密过程已经完成，一张勒索纸条显示出来，要求通过加密电子邮件平台CTemplar进行秘密金融交易，以获得解密密钥。在本田和埃尼尔集团的情况下，他们被告知要联系卡拉拜德尔@图塔诺塔[.]com获取更多信息。攻击者还提供发送几个解密文件来证明加密密钥的合法性？--------------------------------------------我们破坏了你的公司网络并加密了你电脑上的数据。加密数据包括文档、数据库、照片等，所有这些都是使用军用级加密算法（AES-256和RSA-2048）加密的。您现在无法访问这些文件。但别担心！你仍然可以得到这些文件，并立即重新启动和运行。--------------------------------------------|如何联系我们取回您的文件？--------------------------------------------恢复文件的唯一方法是购买一个解密工具，它加载了我们专门为您的网络创建的私钥。一旦在一台受影响的计算机上运行，该工具将解密所有加密文件，然后您可以继续日常操作，最好考虑到更好的网络安全性。如果您有兴趣购买解密工具，请拨打%s联系我们---------------------------------------------您如何确定我们有解密工具？--------------------------------------------在您给我们的邮件中，附上最多3个文件（最多3MB，没有数据库或电子表格）。图3:EKANS勒索软件的部分视图说明本田没有说明EKANS攻击影响了哪些具体的工厂能力，不过，该公司已公开声明，全球多家工厂的生产运营都受到了影响。他们的可视性和控制系统被严重破坏，以致于暂停制造业。成为对勒索免疫虽然EKANS勒索软件利用相当粗糙的技术，只能停止进程而不是控制ICS机制，但它代表了OT网络攻击的一个新前沿。ICS的攻势将继续发展——对机器的更大控制可能是网络探索的途径-罪犯。什么从本田的攻击中可以清楚地看到，即使是世界上最大的一些全球企业集团也容易受到此类勒索软件攻击。保护工厂免受此类攻击所需的是一个网络安全解决方案，该解决方案能够检测到最细微的威胁信号，并在工作中学习了解每个独特IC的"正常"情况环境。黑暗种族他的人工智能学习OT和IT中每个用户、设备和控制器的正常"生活模式"。通过不断分析跨组织系统的数据，人工智能对企业各方面和动态员工之间如何相互作用的独特理解确保了任何恶意活动在出现后几秒钟就被检测到。在EKANS的情况下，这种自学习方法可以识别出与最初受感染的设备有关的许多异常行为，包括信标到一个罕见的目的地以及与加密的异常连接软件。补充暗黑种族的威胁检测是人工智能的自主反应能力，可以中和具有外科手术精确性的威胁-允许业务活动继续正常进行。Autonomous Response已经证明自己成功地阻止勒索软件攻击，防止制造设施、医院和周边城市的破坏性运营中断世界结论据透露，攻击者正开始成功地以一次攻击来攻击IT和OT系统，这使得安全计划的需求比以往任何时候都更加迫切。使用单个安全解决方案保护两个环境的能力确保了对整个组织的整体保护。通过跨SaaS、电子邮件、云、传统网络和OT环境关联不同的数据点，网络人工智能可以识别并阻止最复杂的攻击。那个现实是OT领域的威胁将继续演变，变得比以往任何时候都更快、更激烈。考虑到勒索软件可能造成的潜在危害，能够保护工业系统和动态劳动力的安全性（检测并阻止复杂企业中的快速反应威胁）变得比以往任何时候都重要。工业系统的功能取决于是的，大卫MassonDavid Masson是Darktrace的企业安全主管，在英国、加拿大和世界各地的快速移动的安全和智能环境中拥有超过20年的工作经验。凭借在民事、军事和外交领域所积累的技能，他在高效有效地解决各种独特的国家安全问题方面发挥了重要作用。David是一位运营解决方案专家，在英国和加拿大拥有良好的声誉，可以根据客户的需求提供产品。在Darktrace，David为北美的战略客户提供咨询，同时也是他所在地加拿大主要媒体的定期撰稿人，包括CBC和《环球邮报》。他拥有爱丁堡的硕士学位大学。分享在LinkedIn上的FacebookTweetShare发送电子邮件