工业控制系统专门的网络目标

由于Cyber​​ ay的研究人员称，随着对基础设施提供商的网络攻击增加，特别是目标工业控制系统（IC）的对手。

这是一项研究的关键发现之一，分析了在蜜罐中收集的数据，该数据被设计为看起来像电力供应商的电力传输子站。

对蜜罐的快速响应表明，一些网络攻击者非常熟悉工业控制系统，并且公用事业提供者实施的安全措施，以及他们知道如何从IT环境移动到OT（操作技术）环境。

在蜜罐的生活中只需两天，研究人员称攻击者已经发现了它，准备了在黑暗网上出售的资产，并将其销售给另一个对ICS环境感兴趣的犯罪实体。

与购买和销售妥协网络的其他攻击者不同，研究人员表示，访问蜜罐的对手对更广泛和更少的有针对性的活动显示出类似于运行僵尸网络，以便加密，垃圾邮件和发射分布式拒绝服务（DDOS）攻击。

“在这种情况下，攻击者有一个旨在前往OT网络的意图，”以色列巴拉克的Cyber​​ ay Ciso说。

“攻击者似乎是从他们进入环境的那一刻专门针对ICS环境。他们展示了非商品技能，技术和预先构建的戏剧，以便从IT环境迁移到OT环境，“他说。

研究人员表示，访问OT环境是这些专门攻击者的最终目标，因为这些系统在公用事业提供商中找到的泵，监视器，断路器和其他硬件，可用于控制或扰乱服务。

然而，尽管攻击者的复杂技术，但是，根据Cyber​​ Articienci智力总监Ross Rustici的说法，他们制作了一些业余移动表明他们的方法需要一些细化。

他指出，攻击者在一个蜜罐的服务器上禁用了安全工具，这是一个在真正的企业中的“造成了很多噪音”的动作会引起安全团队的注意。

“追逐ICS系统并忽略其他所有内容，以及生活在网络中进行活动，是您通常在蜜罐中看出的复杂程度。但是他们犯了一些错误，提高了一个红旗，不允许我们把它们放在攻击者的上层梯队中，“他说。

除IT和OT环境外，蜜罐还包括一个由防火墙保护的HMI（人机界面），连接两个以允许人们在IT环境中控制OT系统。

为了吸引攻击者，蜜罐还包括三个带有远程访问服务和密码弱密码的互联网服务器，但没有其他任何内容将为攻击者推广服务器。

然而，研究人员表示，服务器的DNS名称已登记，环境的内部标识符是类似于主要知名电力提供商的名称，这些名称是美国和英国的住宅和商业客户。

蜜罐推出后两天，Cyber​​ ay研究人员确定了一个黑色市场卖方根据安装在环境中的工具集。

研究人员表示，该工具Xdedic RDP补丁通常在销售在二十七十市场的资产中。它允许受害者和攻击者使用相同的凭据使用RDP（远程桌面协议）同时登录机器，否则由于内置安全限制，这将是不可能的。

研究人员说，卖家还通过创建额外的用户，通过创建额外的用户来安装蜜罐服务器中的另一个指标。

后门旨在允许资产的新所有者访问蜜罐，即使管理员密码已更改。

蜜罐沉默了一周，直到资产的新主人通过使用其中一个后门与它联系起来。基于他们所采取的行动，研究人员表示，新所有者完全准备浏览电力提供者的ICS环境。

该行动是禁用环境的安全功能，包括Cyber​​ ay平台。有意地安装了Cyber​​eason，以一种删除简单的方式安装。这是一个测试攻击者技能的测试。

在禁用安全软件后，他们使用Active Directory进行网络发现。他们查看了Active Directory上的所有帐户，并寻找技术数据文件。这些文件已在机器上种植，包括设备的操作状态。这些文件从蜜罐中删除了。

攻击者还发现了ICS资产，如OT环境的HMI和控制器组件。对手有兴趣对ICS资产感兴趣，并且没有访问任何其他系统。

攻击者专注于尝试在ICS端点上进行远程执行，而防火墙阻止它们采取这一步骤，攻击者知道如何通过使用多点网络侦察来规避这些安全措施。

这种方法假定环境中的不同资产具有不同的防火墙策略，攻击者横向移动到多个资产，并运行并行网络扫描，以定位与HMI和OT计算机相互作用的更轻松的策略来定位资产。

攻击者从蜜罐的远程服务器移动到SharePoint Server到SharePoint Server到SQL Server到SQL Server以运行网络扫描以确定其中一个资产是否允许它们访问ICS环境。研究人员说，攻击者专注于扫描扫描资产的攻击者，而不是扫描完整的网络，而不是扫描。

Cyber​​ ay是用一些硬化安装的第二次，但仍然低于部署环境中推荐的水平。目标是进一步评估攻击者的能力。结果是硬化版也被禁用了。

基于建议的准则，该平台安装了第三次。迄今为止，根据Cyber​​eason的说法，攻击者无法停用它。

“在两天内，袭击者进入环境，进行了侦察，旨在找到从IT环境的入学点到OT环境，这真的是他们想要的，”巴拉克说。

他建议使用ICS环境的组织和公司运营统一的安全运营中心（SoC），它提供了对IT和OT环境的可见性，因为蜜罐表明攻击者正在寻求将IT环境作为网关进入OT环境。

“公司可能拥有网络运营中心（NOC）监控OT环境，但组合的SOC允许您在通过网络移动时查看所有操作。这种可见性很重要，因为攻击者可以从IT环境开始并转向OT环境，“巴拉克说。

“威胁狩猎也是有益的，因为这寻找表明攻击者已经在公司的环境中的活动。他说，而不是等待对安全工具发出的警报，威胁狩猎允许防守者通过检测对手造成严重损坏的对手来对安全进行积极主动的方法。“

据研究人员称，蜜罐中观察到的活动也提出了运营商的风险增加，因为这是一个奖杯的可能性而不是通过对这些类型的环境训练的高级持久威胁（APT）演员，显着提高了a的风险错误有真实的后果。

他们补充说，许多这些系统都是古老的且脆弱的甚至训练有素的黑客单位造成导致这些控制中失败的错误。

他们说，寻求为自己或简单地证明他们可以进入一个系统的黑客，他们说，更有可能导致无知的失败而不是恶意，使事件响应和归因更困难，使其更有可能导致意外的真实影响。