在 2021 年 RSA 网络安全会议上,美国国土安全部部长亚历杭德罗·马约卡斯 (Alejandro Mayorkas) 就网络安全形势发表了一个划时代的声明:“让我明确一点:勒索软件现在对国家安全构成威胁。”
上周末,Mayorkas 的话听起来很真实。对殖民地管道的勒索软件攻击——负责美国东海岸近一半的柴油、汽油和喷气燃料——导致供应一些东部州的关键燃料网络关闭。
这次攻击的后果表明勒索软件的后果是多么广泛和具有破坏性。针对关键基础设施和公用事业,网络攻击有可能破坏供应、损害环境,甚至威胁人类生命。
尽管完整的细节仍有待确认,但据报道,这次攻击是由名为 DarkSide 的网络犯罪组织的附属机构进行的,并且可能利用了常见的远程桌面工具。由于去年许多组织转向远程工作,包括工业控制系统 (ICS) 和运营技术 (OT) 的组织,远程访问已成为关键基础设施中可利用的漏洞。
工业勒索软件的兴起
针对工业环境的勒索软件呈上升趋势,据报道自 2018 年以来增长了 500%。这些威胁通常利用 IT 和 OT 系统的融合,首先针对 IT,然后再转向 OT。这在EKANS 勒索软件中可以看到,该勒索软件将 ICS 进程包含在其“杀死列表”中,以及在首次利用虚拟专用网络 (VPN) 中的漏洞后破坏 ICS 的 Cring 勒索软件。
Colonial Pipeline 入侵中的初始攻击向量是否利用了技术漏洞、被破坏的凭据或有针对性的鱼叉式网络钓鱼活动还有待观察。据报道,这次攻击首先影响了 IT 系统,Colonial 随后关闭了 OT 运营以作为安全预防措施。Colonial 证实,勒索软件“暂时停止了所有管道操作并影响了我们的一些 IT 系统”,这表明最终,OT 和 IT 都受到了影响。这是一个很好的例子,说明有多少 OT 系统依赖于 IT,因此 IT 网络攻击有能力破坏 OT 和 ICS 流程。
除了锁定系统外,威胁参与者还从 Colonial 窃取了 100GB 的敏感数据。不幸的是,这种双重勒索攻击——在文件加密之前泄露数据——已成为常态而非例外,超过 70% 的勒索软件攻击涉及泄露。一些勒索软件团伙甚至宣布他们将完全放弃加密,转而采用数据盗窃和勒索方法。
今年早些时候,Darktrace 防御了针对关键基础设施组织的双重勒索勒索软件攻击,该组织还利用了常见的远程访问工具。本博客将深入概述发现的威胁,展示 Darktrace 的自学习 AI 如何自主响应与 Colonial Pipeline 事件极为相似的攻击。
Darktrace 威胁发现
针对电力设备供应商的勒索软件
在今年早些时候针对一家北美电力设备供应商的攻击中,Darktrace 的工业免疫系统展示了其保护关键基础设施免受针对具有 ICS 和 OT 的组织的双重勒索勒索软件的能力。
勒索软件攻击最初针对的是 IT 系统,并且由于网络人工智能的自我学习,在它可能蔓延到 OT 并破坏运营之前就被阻止了。
攻击者首先入侵了内部服务器,以便在 12 小时内窃取数据并部署勒索软件。最初的入侵和部署之间的时间很短是不寻常的,因为勒索软件威胁参与者通常要等待几天才能在攻击之前尽可能地在网络生态系统中悄悄传播。
攻击是如何绕过安全堆栈的其余部分的?
攻击者利用“以陆地为生”的技术融入企业的正常“生活模式”,使用受损的管理员凭据和组织批准的远程管理工具,试图保持不被发现。
Darktrace 通常会在攻击者的技术、策略和程序 (TTP) 库中看到对合法远程管理软件的滥用。特别是在 ICS 攻击中,远程访问也正成为越来越常见的攻击媒介。例如,在去年 2 月佛罗里达州水处理设施的网络事件中,攻击者利用远程管理工具试图操纵处理过程。
该攻击者部署的特定勒索软件还通过在加密文件时使用独特的文件扩展名成功地避开了防病毒软件的检测。这些形式的“无签名”勒索软件很容易绕过依赖规则、签名、威胁源和记录的常见漏洞和暴露 (CVE) 列表的传统安全方法,因为这些方法只能检测以前记录的威胁。
检测前所未见的威胁(如无签名勒索软件)的唯一方法是寻找异常行为的技术,而不是依赖“已知不良”列表。这可以通过自学技术来实现,该技术甚至可以发现所有设备、用户以及它们之间的所有连接与正常“生活模式”的最细微偏差。
暗迹洞察
初步妥协并建立立足点
尽管滥用了合法工具并且没有已知签名,但 Darktrace 的工业免疫系统能够使用对正常活动的整体理解来检测攻击生命周期中多个点的恶意活动。
Darktrace 警告的新兴威胁的第一个明显迹象是特权凭证的不寻常使用。该设备还在事件发生前不久从 Veeam 服务器提供了一个不寻常的远程桌面协议 (RDP) 连接,这表明攻击者可能已经从网络的其他地方横向移动。
三分钟后,设备启动了持续 21 小时的远程管理会话。这使得攻击者可以在更广泛的网络生态系统中移动,同时又不会被传统防御发现。然而,Darktrace 能够检测到异常的远程管理使用情况,作为指示攻击的另一个预警。
双重威胁第一部分:数据泄露
在最初的妥协后一小时,Darktrace 检测到异常数量的数据被发送到 100% 罕见的云存储解决方案 pCloud。出站数据使用 SSL 加密,但 Darktrace 创建了多个与大型内部下载和外部上传有关的警报,这些警报与设备的正常“生活模式”有很大偏差。
该设备继续泄露数据九小时。对设备下载的文件(使用未加密的 SMB 协议传输)的分析表明它们本质上是敏感的。幸运的是,Darktrace 能够查明被泄露的特定文件,以便客户可以立即评估入侵的潜在影响。
双重威胁第二部分:文件加密
不久之后,当地时间 01:49,受感染的设备开始加密 SharePoint 备份共享驱动器中的文件。在接下来的三个半小时内,该设备在至少 20 个 SMB 共享上加密了超过 13,000 个文件。Darktrace 总共为相关设备产生了 23 条警报,占相应 24 小时期间产生的所有警报的 48%。
Darktrace 的网络 AI 分析师随后自动展开调查,确定内部数据传输和 SMB 上的文件加密。由此,它能够呈现将这些不同异常之间的点连接起来的事件报告,将它们拼凑成一个连贯的安全叙述。这使安全团队能够立即采取补救措施。
如果客户一直使用Antigena Network,Darktrace 的自主响应技术,毫无疑问,在大量数据被泄露或文件加密之前,该活动就会停止。幸运的是,在看到警报和网络 AI 分析师报告后,客户能够使用 Darktrace 的“咨询专家”(ATE)服务进行事件响应,以减轻攻击的影响并协助灾难恢复。
在威胁破坏关键基础设施之前检测它
目标供应商负责监督 OT,并与关键基础设施关系密切。通过促进早期响应,Darktrace 阻止了勒索软件进一步传播到工厂车间。至关重要的是,Darktrace 还最大限度地减少了运营中断,有助于避免攻击可能产生的多米诺骨牌效应,不仅影响供应商本身,还影响该供应商支持的电力公司。
正如最近的 Colonial Pipeline 事件和上述威胁所揭示的那样,勒索软件是监督所有形式的关键基础设施(从管道到电网及其供应商)的工业运营的组织的一个紧迫问题。借助自学习 AI,可以在造成损害之前通过实时威胁检测、自主调查以及(如果被激活)有针对性的机器速度响应来处理这些攻击向量。
展望未来:使用自学 AI 全面保护关键基础设施
4 月下旬,拜登政府宣布了一项雄心勃勃的努力,以“保护美国的关键基础设施免受持续和复杂的威胁”。能源部 (DOE) 的100 天计划专门寻求“为电力公司的工业控制系统提供网络可见性、检测和响应能力”的技术。
拜登政府的网络冲刺显然需要一种保护关键能源基础设施的技术,而不仅仅是最佳实践措施和法规。如上述威胁发现所示,Darktrace AI 是一项强大的技术,它利用无监督机器学习以机器速度和精度自主保护关键基础设施及其供应商。
| 美国能源部网络冲刺目标 | 暗跟踪功能 |
| 增强检测、缓解和取证能力。 | 使用自学习网络 AI 检测复杂和新颖的攻击,以及内部威胁和预先存在的感染,无需规则、签名或 CVE 列表。
网络 AI 分析师实时提供事件调查,以通过可操作的见解快速启动补救措施 包含处于早期阶段的新兴攻击,然后才升级为危机。 |
| 部署能够在关键工业控制系统 (ICS) 和运营技术 (OT) 中实现近乎实时的态势感知和响应能力的技术和系统。 | 自学习 AI 可立即理解、识别和调查 ICS/OT 网络中的所有异常活动,无论是人为驱动还是机器驱动。
在适当的情况下采取行动有针对性地响应以消除威胁,无论是主动还是人工确认模式。 自学习 AI 适应生态系统的演变,无需调整或人工输入即可实现实时感知。 |
| 加强关键基础设施 IT 网络的网络安全态势。 | 将安全事件情境化,适应新技术,并将调查结果转化为人类可以在几分钟内采取行动的安全叙述。
跨 IT 和 OT 系统的统一视图。 在更高的 Purdue 级别和 IT 系统中检测、调查和响应威胁,然后再“溢出”到 OT。 |
| 部署技术以提高 ICS 和 OT 系统中威胁的可见性。 | “即插即用”部署与技术架构无缝集成。
呈现 3D 网络拓扑,对所有用户、设备和子网具有精细的可见性。 自学资产识别持续对所有 ICS/OT 设备进行分类。 识别和调查所有表明新出现攻击的威胁活动——无论是 ICS 勒索软件、APT、零日攻击、内部威胁、预先存在的感染、DDoS、加密挖掘、错误配置或前所未见的攻击。 |
文章链接: https://www.mfisp.com/5525.html
文章版权:梦飞科技所发布的内容,部分为原创文章,转载请注明来源,网络转载文章如有侵权请联系我们!
