您所在的位置: 首頁 >
新聞資訊 >
威脅情報 >
USB設(shè)備仍然是OT系統(tǒng)的主要威脅向量之一
OT世界中的網(wǎng)絡(luò)安全威脅與IT不同,因為其影響不僅僅是數(shù)據(jù)丟失、聲譽受損或客戶信任度下降。OT 網(wǎng)絡(luò)安全事件可能導致生產(chǎn)損失、設(shè)備損壞和環(huán)境泄漏,甚至生命損失。保護OT免受網(wǎng)絡(luò)攻擊需要一套不同于保護IT的工具和策略。IT和OT融合發(fā)展加速,許多工業(yè)系統(tǒng)都連接到公司網(wǎng)絡(luò),可以訪問互聯(lián)網(wǎng),并使用從連接的傳感器采集的數(shù)據(jù)和大數(shù)據(jù)分析系統(tǒng)來改進運營。OT和 IT這種融合和集成導致了越來越多的網(wǎng)絡(luò)風險,包括跨IT和OT的有效和有影響的網(wǎng)絡(luò)事件。歷史上對OT系統(tǒng)攻擊的典型事件和當前現(xiàn)狀表明,USB設(shè)備仍然是惡意行為者攻入OT網(wǎng)絡(luò)的主要手段之一。
USB 設(shè)備繼續(xù)帶來的風險仍然嚴重
《2021年霍尼韋爾工業(yè)網(wǎng)絡(luò)安全 USB 威脅報告》發(fā)現(xiàn),從USB設(shè)備檢測到的威脅中有79% 有可能導致OT中斷,包括失去可見性和失去控制。
這份報告發(fā)現(xiàn) USB 使用率增加了30%,而其中許多USB威脅 (51%) 試圖遠程訪問受保護的氣密設(shè)施?;裟犴f爾審查了2020 年來自其全球分析研究與防御 (GARD) 引擎的匿名數(shù)據(jù),該引擎分析基于文件的內(nèi)容,驗證每個文件,并檢測通過USB 傳入或傳出實際OT系統(tǒng)的惡意軟件威脅。
霍尼韋爾:工業(yè)企業(yè)應(yīng)特別關(guān)注基于USB的網(wǎng)絡(luò)威脅
尤其是當組織越來越依賴這些便攜式存儲設(shè)備來傳輸補丁、收集日志等時。USB 通常是鍵盤和鼠標支持的唯一接口,因此無法禁用它,從而啟用備用USB端口。因此,存在在我們試圖保護的機器上插入外來設(shè)備的風險。
眾所周知,黑客會在他們所針對的設(shè)施內(nèi)和周圍植入受感染的USB 驅(qū)動器。員工有時會發(fā)現(xiàn)這些受損的驅(qū)動器并將它們插入系統(tǒng),因為這是確定其中一個驅(qū)動器上的內(nèi)容的唯一方法——即使沒有任何標簽,如“財務(wù)業(yè)績”或“員工人數(shù)變化”。
2016 年,來自伊利諾伊大學、密歇根大學和谷歌的研究人員在他們的大學校園內(nèi)隨機投放了297 個U 盤。據(jù)研究人員稱,“校園內(nèi)廢棄的 U盤 98%被路人拿走,其中至少45% 的U盤連接到計算機檢查內(nèi)容?!? 在同意回答研究人員問題的人中,只有13%的人表示他們“在打開閃存驅(qū)動器之前采取了特殊的預(yù)防措施。68%的人承認他們打開它時并沒有懷疑它可能包含什么”。雖然研究人員的實驗對用戶來說是安全的,但插入您遇到的USB 設(shè)備可能會產(chǎn)生嚴重后果。應(yīng)該注意的是,USB存儲并不是唯一有風險的硬件:人機接口設(shè)備或一般的“HID”,例如鍵盤、鼠標、智能手機充電器或任何其他連接的對象,都可能被惡意行為者篡改。后果很嚴重:數(shù)據(jù)被盜或破壞、破壞、勒索贖金等。
惡作劇設(shè)備也是一種可怕的攻擊形式。USB Killer (https://www.darkreading.com/endpoint/rule-of-thumb-usb-killers-pose-real-threat/a/d-id/1337741) 攻擊只需將惡意驅(qū)動器插入目標工作站,就能夠在幾秒鐘內(nèi)損壞無法修復的機器。這可以看作是第一次“電子”USB 攻擊。USB Killer包含一個由USB端口充電的小型電容器組,一旦充電(發(fā)生在幾分之一秒內(nèi)),就會將整個電力負載轉(zhuǎn)回數(shù)據(jù)線,從而對硬件造成各種損壞。有些人稱其為“惡作劇設(shè)備”,但在任何計算機上使用它——或者讓毫無戒心的用戶插入它——至少是一種滋擾。
史上經(jīng)典攻擊案例的教訓
Stuxnet 可能是最臭名昭著的惡意軟件被 USB帶入隔離設(shè)施的例子。這種極其專業(yè)和復雜的計算機蠕蟲被上傳到一個氣隙核設(shè)施中,以改變可編程邏輯控制器 (PLC) 的編程。最終結(jié)果是離心機旋轉(zhuǎn)太快太久,最終導致設(shè)備物理損壞。雖然“sneakernet”這個詞可能是新的或聽起來很尷尬,但它指的是這樣一個事實,即 USB 存儲設(shè)備和軟盤等設(shè)備可用于將信息和威脅上傳到關(guān)鍵的OT網(wǎng)絡(luò)和氣隙系統(tǒng)中,只需網(wǎng)絡(luò)攻擊者親自攜帶它們進入設(shè)施并將它們連接到適用的系統(tǒng)。
TRITON 是第一個被記錄使用的惡意軟件,旨在攻擊生產(chǎn)設(shè)施中的安全系統(tǒng)。安全儀表系統(tǒng) (SIS) 是工業(yè)設(shè)施自動化安全防御的最后一道防線,旨在防止設(shè)備故障和爆炸或火災(zāi)等災(zāi)難性事故。攻擊者首先滲透到 IT 網(wǎng)絡(luò),然后再通過兩種環(huán)境均可訪問的系統(tǒng)轉(zhuǎn)移到 OT 網(wǎng)絡(luò)。一旦進入 OT 網(wǎng)絡(luò),黑客就會使用 TRITON 惡意軟件感染 SIS 的工程工作站。TRITON 的最終結(jié)果是 SIS 可能會被關(guān)閉,并使生產(chǎn)設(shè)施內(nèi)的人員處于危險之中。
BADUSB或者武器化的USB更可能是用戶的惡夢。因為USB驅(qū)動器不需要繞過公司的虛擬邊界防御。因為它直接進入用戶工作站。所有這些因素使它們成為網(wǎng)絡(luò)犯罪分子的便捷攻擊工具。他們使用包含預(yù)定義攻擊腳本的“惡意” USB 記憶棒。這反過來又允許他們訪問和復制用戶的數(shù)據(jù),訪問他們的鍵盤和屏幕,這使他們能夠看到他們所做的一切,或者最終加密他們的數(shù)據(jù)以換取贖金。
2010 年左右 ,“橡皮鴨”USB 驅(qū)動器 (https://blog.teamascend.com/rubber-ducky)成為一個常見問題。Rubber Ducky 是一種特殊的 USB 驅(qū)動器,內(nèi)置微控制器,可以秘密打開命令行,并通過冒充模擬 USB HID 鍵盤自動執(zhí)行攻擊。任何人仍然可以以大約50美元的價格購買這些設(shè)備。
2020 年, 一名俄羅斯網(wǎng)絡(luò)犯罪分子與特斯拉員工接洽,該犯罪分子提供100萬美元使用受感染的USB驅(qū)動器在公司 IT系統(tǒng)內(nèi)傳播惡意軟件。如果該員工沒有通知FBI從而挫敗了這次攻擊,特斯拉可能會加入USB驅(qū)動器攻擊的一長串受害者名單。
加強防范意識和USB設(shè)備管控
現(xiàn)在,生產(chǎn)環(huán)境比以往任何時候都面臨來自惡意USB設(shè)備的網(wǎng)絡(luò)安全威脅,這些設(shè)備能夠繞過氣隙和其他保護措施從內(nèi)部中斷操作。USB使用面臨威脅呈上升趨勢,因此評估OT 操作風險以及您當前對 USB 設(shè)備、端口及其控制的保護措施的有效性非常重要。
案例意識教育必不可少。大部分時候,好奇心會害死人。讓用戶了解惡意US 設(shè)備如何導致系統(tǒng)感染和數(shù)據(jù)丟失,并教他們?nèi)绾伪苊膺@些威脅。從外部無法識別惡意USB介質(zhì)。無論是在會議上贈送還是在公共場所被發(fā)現(xiàn),重要的是要小心對待它們,因為任何不熟悉的 USB 閃存驅(qū)動器都有潛在的危險。
專用掃描站也是一種可選方案,在將任何未知的 USB介質(zhì)連接到任何其他系統(tǒng)之前,應(yīng)將其存放在那里進行檢測。這種機器的目的是分析 U盤并對其進行凈化,以保護公司的信息系統(tǒng)免受可能的惡意軟件的侵害。消毒后,如果USB閃存驅(qū)動器用于存儲和傳輸任何數(shù)據(jù),建議使用加密解決方案。加密系統(tǒng)通過使可能竊取USB驅(qū)動器的任何人無法讀取它們來保護所有文件和個人信息。甚至還有一些帶有內(nèi)置硬件加密的高安全性閃存驅(qū)動器,盡管它們通常比較昂貴。
參考資源:
1、https://www.darkreading.com/edge-articles/how-threat-actors-get-into-ot-systems
2、https://www.gdatasoftware.com/blog/2021/11/usb-drives-still-a-danger
來源:網(wǎng)空閑話