编辑:小星
多一份网络防护技能
多一份信息安全保障
随着各种破坏工业设施、加密用户数据进行勒索等意软件的曝光,工控系统的安全已经受到了恶意软件的威胁,作为工控系统的运营管理者就有必要深刻的了解这些恶意软件,以及工控系统现在正面临着哪些信息安全风险。
一、勒索病毒如何进入工控系统?
勒索病毒和其他恶意软件的最大不同就是恶意软件的主要目的是通过发送恶意指令来损坏设备,但是勒索病毒的主要目的却是对受害者的设备数据进行加密,然后向用户索要解密的赎金,但是在针对工控系统的恶意软件在传播方式上却是相似的。
工控系统在最开始设计的时候一般都没有考虑到互联网环境下的问题,毕竟当时的互联网才开始出现,并不盛行,因此当时的安全性主要来就是通过隔离实现。但随着互联网的迅速发展以及提高效率的需求,工控系统的封闭特性已经逐渐被打破,而随之而来的就是安全隐患了。
1.远程入侵
因为配置错误或者管理上出现的问题,可能会导致一小部分的工控系统设备将直接暴露在互联网中。如果设备上出现漏洞,那么恶意软件就可以通过远程操作,利用漏洞来感染工控系统的设备,达到勒索或其他恶意目的。
2.绕过外部防火墙
一般情况下,管理员都会在工控系统与外部网络之间安装防火墙等安全设施进行保护,此时的恶意软件不能直接攻击,就会利用邮件、U盘等渠道,通过工控系统的运营人员所携带的设备带入内网,这样就可以绕过工控系统的外部防火墙直接进入工控网络了。
3.供应链攻击
可以将设备带入工控系统的,不仅只有运营管理人员,还有相应的软硬件供应商。勒索病毒还可以通过预先感染供应商设备,然后在工控系统安装新设备时将勒索病毒带入到工控系统中,再利用勒索蠕虫病毒中内置的漏洞在工控系统内网中进行横向渗透,一旦发现存在漏洞和脆弱性的情况就会对工控系统设备进行感染。
二、勒索病毒对工控系统的破坏
1.加密文件
在目前已有的案例中,勒索病毒一般是通过感染Windows设备,对设备的用户文件进行加密,覆盖或破坏掉原始的文件,且大部分勒索病毒都具备了蠕虫病毒的特性,会主动扫描其他被感染的设备,然后寻找设备的漏洞和脆弱性的设备进行扩散。
2.窃取机密
恶意软件在攻克并进入工控系统后,可以根据需求去搭载不同的攻击载荷,从而获取密码、控制列表等机密信息并进行加密,以便将信息传回恶意软件的作者用于勒索或其他恶意目的。
3.锁定设备
工控系统设备的漏洞或弱口令等脆弱性问题一直都是让人很头疼的问题,勒索病毒可以轻易的利用这些问题控制PLC等工控系统设备,然后修改认证口令或者利用固件验证直接绕过漏洞,刷入恶意固件并禁用设备固件更新功能,达到获取设备的控制权的目的。
4.物理攻击
在一下特殊场景下,勒索病毒控制PLC后就可以执行对物理世界造成威胁的操作,比如锁定阀门或修改上报的参数来“欺骗”操作人员。不过万幸的是,目前已曝光的案例中,勒索病毒对工控系统的威胁还暂时停留在加密文件的勒索阶段,并没有太大的公共危害。
以上为个人观点,仅供参考。
欢迎关注小星(ID:DBXSJ01)
网友评论