【翻译】Tracking Attack Sources base

基于Traceback蜜罐跟踪ICS网络攻击源

来源：Shingo Abe, Yohei Tanaka, Yukako Uchida and Shinichi Horata
ICS security Response Group, JPCERT/CC, Tokyo, Japan (Tel: +81-3-3518-4600; E-mail: icsr@jpcert.or.jp)

关键词：ICS安全、蜜罐、恶意软件

摘要：在工业控制系统（ICS）网络中，通常很难从ICS设备记录的日志中发现安全威胁，例如源自受恶意软件感染的设备的数据包以及受攻击者远程控制的证据。这是因为ICS设备输出的日志不是用于检测安全威胁而是用于记录操作历史记录。一些研究人员建议将蜜罐放置在ICS网络中观察来自攻击者的数据包以便检测威胁。在本文的研究中，建议的方法得到进一步改进以便它响应到达蜜罐的数据包并收集攻击源的信息。先前的分析已经揭示，在ICS网络中感染了一些已知恶意软件（例如Havex RAT——一种远程控制工具）的机器会对特定的设备进行扫描活动，因此期望Traceback蜜罐以有效的方式识别这些扫描中受感染设备。从分析中收集的攻击源的信息可用于检测或阻止某些通信以防止进一步感染等主动目的。本文讨论了使用Traceback蜜罐跟踪攻击源的方法。

1、介绍

    ICS中对网络安全事件的响应与信息技术（IT）的响应没有显著差异。同样，无论事件的规模或原因如何，分析记录事件的日志的重要性在两个区域都是相同的。（计算机安全日志管理指南）例如，记录在PC、服务器和其他设备中的日志用于识别受感染区域并隔离受影响的设备以处理网络上的威胁，包括恶意软件感染、从受感染设备发送的数据包以及受攻击者远程控制的设备。（[使用日志和分析方法处理复杂的网络攻击](https://www.jpcert.or.jp/research/APT-loganalysis_Rep ort_20161019.pdf))然而，此类日志并非仅用于网络安全——它们最初用于记录事件以进行系统监视、调试和故障排除。因此，即使在IT系统中，也不总是实施事件响应所需的与网络安全相关的事件记录。特别是在ICS中，设备被设计为收集日志以简单地监视操作历史和行为，作为维护系统的要求而不是检测安全威胁的目的。因此，在处理事件时，可能无法在每个设备中记录可用于事件调查的事件日志。虽然它仍然可以检测到系统故障，但可能不足以确定其原因。事实上，工业控制系统网络应急响应小组（ICS-CERT）的事件响应日志配置不足。（[ICS-CERT](https://ics-cert.us-cert.gov/sites/default/files/Monitors/I CS-CERT_Monitor_Mar2012.pdf)）这可能是因为ICS的安全稳定运行优先，并且有关日志记录的问题尚未讨论。如果将有关网络安全的事件记录纳入安全要求和标准[5]，则应敦促设计或提供ICS的组织实施功能以实现此类输出。（[工业控制系统ICS安全指南](http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NI ST.SP.800-82.pdf)）此外，分析这种日志趋势预计会在检测由网络安全和其他方面引发的事件时提供重要提示。（[基于控制系统事件预测的异常检测：Y. Tajima, T. Yamagata, H. Yamamoto and A. Shimura, "Anomaly Detection based on Event Prediction for Control System", The 29th Annual Conference of the Japanese Society for Artificial Intelligence, 2015.]）
    另一方面，在检测异常的意义上
在正常运行之外，除日志分析之外还有其他方法可以观察网络安全事件的痕迹。例如，通过在网络通信上创建白名单以仅允许预定义为正常操作的操作，可以检测并阻止任何未定义的操作。但是，如果任何恶意操作恰好包含在预定义的白名单操作中，则无法正确检测到。例如，可以利用合法的Modbus协议或设备规范将恶意软件嵌入其保持寄存器或改变设备配置[7]。（[使用PLC作为有效载荷](http://www.shelliscoming.com/2016/12/modbus-stager -using-plcs-as.html)）在这种情况下，由于难以将恶意活动与正常通信区分开来，因此无法正确定义异常。这个问题意味着通过白名单保护不是一种充分的检测手段。
从这个意义上讲，作为检测ICS网络中威胁的一种手段，已经提出了应用蜜罐的技术[8]。（[基于攻击者人为因素的ICS蜜罐系统](H. Naruoka, M. Matsuta, W. Machii, T. Aoyama, M. Koike, I. Koshijima and Y. Hashimoto, "ICS Honeypot System (CamouflageNet) Based on Attacker's Human Factors", Procedia Manufacturing, Vol.3, Elsevier, 2015.)）蜜罐是一种模仿易受攻击系统的系统，它吸引攻击者并绕过对正在使用的真实设备的可能攻击。 它可以收集攻击活动的日志，并根据日志分析攻击方法。这种技术在IT [9]中已经普遍使用，而且一些伪装成物联网（IoT）设备的技术也被用于搜索恶意软件，如Mirai [10]。（[虚拟蜜罐：从僵尸网络跟踪到入侵检测第1版](N. Provos and T. Holz, "Virtual Honeypots: From Botnet Tracking to Intrusion Detection 1st Edition", Addison-Wesley Profession, 2007.)）通常，蜜罐直接连接到Internet并用于通过允许自身受到攻击来观察攻击方法。在检测ICS网络中的威胁时，它也可以在具有控制设备的网络中实现，例如可编程逻辑控制器（PLC），以检测横向移动。即使ICS网络中的ICS设备本身没有足够的日志配置，也可以根据蜜罐获取的日志来跟踪攻击源。
    实际上，感染Havex RAT [11]的设备是一种用于针对ICS网络的复杂网络攻击的恶意软件，它会进行网络扫描以搜索某些产品。（D. Hentunen and A. Tikkanen, "Havex Hunts For ICS/SCADA Systems", "https://www.f-secure.com/weblog/archives/00002718.h tml", F-Secure, 2014.）在IT中观察到的横向移动中，攻击者通过利用通常应用于企业IT系统的身份验证系统来扩展恶意软件感染，以获取机密文件并执行其他活动以实现其成就。但是，在ICS中，需要从不同的角度分析受感染的设备活动和攻击目的，因为ICS网络上的身份验证系统与IT中的身份验证系统不同。在最近的一些研究中，通过PLC传播感染的恶意软件和针对ICS的勒索软件攻击已被视为现实威胁。[PLC-Blaster: A Worm Living Solely in the PLC](https://www.blackhat.com/docs/asia-16/materials/asia- 16-Spenneberg-PLC-Blaster-A-Worm-Living-Solely-In- The-PLC-wp.pdf)、Out of Control: Ransomware for Industrial Control Systems为了让攻击者找到下一个要感染的目标，可以进行网络扫描以检查网络结构和连接的设备。在ICS网络受到危害导致网络内的信息窃取或恶意软件感染的情况下，如果伪装成ICS设备的蜜罐就位，则可以检测到诸如发往网络内的扫描分组的异常。
    根据讨论，日本计算机应急响应小组协调中心（JPCERT / CC）开发了一个蜜罐，可以检测所获取日志的扫描情况，并分析扫描源和攻击数据包。该系统还进行了测试，以识别攻击源，基于使用蜜罐的ICS网络中的攻击检测。蜜罐的详细信息将在第2节中描述.JPCERT / CC还使用Havex RAT和其他恶意软件评估网络（第三节）。即使基于蜜罐收集的信息检测到异常，如果没有任何方法通知系统管理员，系统将是不实际的。从这个角度来看，该部分还将讨论检测系统的其他功能。 第4节介绍了使用蜜罐收集攻击源信息的方法以及通过分析获得的观察结果。

2、基于ICS的Traceback蜜罐

    通常，蜜罐通过协议或端口对接收的分组进行分类，并发送预先设置给每个分组的响应。响应的内容可以直接从使用中的实际应用程序发送，或者蜜罐可以模仿这样的响应。蜜罐可以通过伪装成正在使用的设备或服务器，以连续的方式观察攻击活动，并通过记录攻击者的访问日志来收集攻击方法的信息。但是，如果未提供来自蜜罐的响应或不对应于从攻击者发送的数据包，则他们可能能够意识到该设备是蜜罐。在这种情况下，攻击者可能会停止攻击系统，并且攻击观察无法继续。蜜罐必须设计成说服攻击者将其识别为正在使用的普通设备或服务器。 蜜罐已应用于分析对ICS设备的威胁。有一项研究使用蜜罐，配置为接收telnet（23 / tcp）和SSH（22 / tcp）的访问，并通过模拟物联网设备控制台访问进行响应，检测到包括Mirai在内的一些恶意软件。另一项研究收集了ICS网络中设备响应中包含的特定于设备的信息（例如产品名称，型号，供应商信息），并成功观察了针对ICS网络的一些攻击者活动。
    在JPCERT / CC的系统中，实现了检查扫描包源的功能，以及在ICS网络中发送用于攻击检测的设备特定信息。蜜罐的基础是honeyd [14]，它有两个组件：一个用于接收数据包，另一个用于实际执行操作。虚拟蜜罐框架作为接收扫描包后的响应，后一个组件对源进行扫描以及发送特定于设备的信息作为响应（图1）。

图一 此功能可以识别扫描包的来源。这被认为对管理员来说有效识别具有可疑行为或用作跳板机的设备是有效的。除非更换故障设备或添加人机界面（HMI）等机器，否则ICS网络结构在运行期间很少发生变化。当存在连接到ICS网络的设备中的网络扫描数据包时，它意味着安全配置失败的可能性，其允许管理员不想要的行为或网络安全事件，因为设备被用作跳板。从这个意义上讲，识别扫描包的来源是事件分析的关键部分。攻击者也很难意识到他们也被扫描的事实。从这个角度来看，这种追溯蜜罐系统（THS）被认为是一种有效的信息收集方法，可以抵御攻击者。然而，攻击者仍有可能意识到蜜罐的存在，因为上述功能不包括对为扫描以外的目的而发送的分组的响应。为了增强系统的响应功能，JPCERT / CC将conpot集成到蜜罐中，蜜罐模仿对ICS（表1）中使用的主要协议的响应以及提供特定于设备的信息。这是专门用于ICS网络以及其他蜜网的软件，并且在该领域中得到了广泛的应用。例如，它的目的是模仿分布在国外的油罐系统并观察攻击者的活动。[GAsPot实验：使用气罐监测系统时未经审查的危险](https://www.trendmicro.de/cloud-content/us/pdfs/secur ity-intelligence/white-papers/wp_the_gaspot_experimen t.pdf) 它还用于实验，以观察这些模仿设备是否可以注册到搜索引擎，用于连接互联网的设备，如SHODAN 。与仅发送设备特定信息的先前实现相比，该技术能够收集更多信息，因为它回复了ICS协议的各种命令。使用图2中描述的ICS网络测试新的traceback蜜罐，以验证它是否能够在不影响其他设备的情况下提供对请求的预期回复。结果证实，新开发的蜜罐只响应发送给自身的通信，并且能够在不影响其他设备的情况下对应于数据包源进行操作（图3）。 图三 可以根据配置自定义THIS生成的网络流量负载。 据认为，这可以安装在ICS网络上，而不会影响现有的系统和设备。对实际网络环境的影响尚未得到验证。作为ICS的防御措施，一些研究人员提出了欺骗攻击者连接蜜罐并导致诱饵网络（与网络分离以进行ICS操作）以安全隔离攻击流量的技术。[基于ICS安全状况活动的动态区划](W. Machii, I. Kato, M. Koike, M. Matta, T. Aoyama, H. Naruoka, I. Koshijima and Y. Hashimoto, "Dynamic Zoning Based on Situational Activities for ICS Security", the 10th Asian Control Conference 2015, 2015.)通过改进蜜罐的响应功能，攻击者可能会被欺骗并继续攻击更长的时间，这允许收集更多信息以识别来自攻击者的通信。这种观察可用于增强上述隔离技术的准确性。

3、评估ICS上的THS

    JPCERT/CC评估了THS在以下两种ICS网络中不同的攻击案例：1）起源于Havex RAT恶意软件感染；2）蠕虫造成的攻击。不同于JPCERT/CC之前关于互联网可达ICS威胁的研究，他的研究重点是ICS网络，该网络受到攻击者的攻击并暴露于攻击活动带来的风险。[互联网可达ICS的安全威胁](S. Abe, M. Fujimoto, S. Horata, Y. Uchida and T. Mitsunaga, "Security Threats of Internet-reachable ICS", Conference Proceedings of 2016 55th Annual Conference, Society of Instrument and Control Engineers of Japan, 2016.)

3.1 案例1:使用Havex RAT进行评估

图四
    Havex RAT是一种恶意软件，据报道在2013年左右用于针对ICS的复杂网络攻击。[energetic bear - crouching yeti](https://securelist.com/files/2014/07/EB-YetiJuly2014-P ublic.pdf)恶意软件感染流程概述如下; 1）攻击者破坏了提供ICS软件并将恶意软件嵌入网站上分发的软件的公司网站。 2）当其成员下载并安装软件时，设备会在合法软件运行时感染Havex RAT（图4）。如果恶意软件嵌入式软件通过USB存储器或维护设备分发，感染也可能会传播到没有Internet连接的PC。除了通过命令和控制（C＆C）服务器控制受感染设备的远程访问工具之外，Havex RAT还具有一个插件功能，可以对受感染网络中的某些端口进行扫描，以搜索用于过程控制（OPC）服务器的OLE。本文重点介绍Havex RAT的扫描功能。 表2显示了其扫描目标。 这些端口通常用于ICS。 目标IP地址的选择也有特征。 表2 JPCERT/CC通过假设一个ICS网络被Havex RAT感染了来评估THS的行为。恶意软件仅对设备进行扫描并检查连接，并且它不具有在受感染设备上执行命令的任何功能。根据表1中的协议，选择了响应此类协议的一些设备，并创建了其设备特定信息，以便将其集成到扫描响应中。感染Havex RAT的PC连接到网络，实现蜜罐以暴露于扫描（图5）。 图5 图6描述了在进行扫描时在受感染的PC和蜜罐之间捕获的通信的结果。它演示了扫描表2中列出的端口。 （“信息”列中的红色框显示已扫描的端口）。 图6 扫描的痕迹记录在蜜罐和受感染的PC中。 Havex RAT将扫描结果记录在文件中，如图7所示。恶意软件留下了记录，即在ICS网络内存在一些目标信息，并且从蜜罐发送模仿ICS信息。
    蜜罐在日志中记录受感染PC的扫描，然后将扫描回传给设备以收集其信息，包括受感染PC可能正在使用的操作系统（OS）列表及其开放端口，这有助于确定ICS网络内的感染源。然而，并非所有类型的针对ICS的恶意软件都具有网络内的搜索功能，目的是横向移动。虽然THS在检测不会启动搜索活动或影响其他设备的攻击（例如密钥记录器攻击或数据破坏）方面无效，但它能够在涉及扫描网络和蠕虫感染的攻击传播到设备内时收集信息 一个网络。 图7

3.1 案例2:用蠕虫评估
    已经讨论了针对在ICS网络内传播感染的PLC的恶意软件的概念[7,12]。PLC程序被加密并且管理员需要钱以换取数据的攻击也考虑到恶意软件感染通过PLC传播。ICS设备中的恶意软件感染已被认为是一种威胁，并且已经进行了一些实验研究。如果存储在PLC中。 由于报告者没有详细公开PoC代码，因此用于此漏洞利用的命令是未知的。然而，在流行的PLC中，编程规范有时可以在其手册中找到，并且一些研究人员公开了在没有工程工具的情况下执行命令的脚本。可以通过捕获工程工具和PLC之间的通信来分析各种命令。根据分析结果，可以实现无需工程工具重写程序的功能，也可以对网络中的其他PLC进行扫描。如果受感染的PLC作为蠕虫运行，它会将命令发送到ICS网络内的其他PLC。如果实施TSH，则期望通过观察在网络内发送的命令来揭示这种PLC作为蠕虫运行的活动。特别是当感染广泛传播到多个PLC时，可以从多个PLC同时发送类似的命令，这可以增加检测ICS网络中的异常的可能性。
    根据上面的观察，可以建议THIS能够使用Modbus Stager和PLC blaster中指定的技术检测攻击。然而，如前所述，模仿和发送连接到ICS网络的设备特定信息将不足以观察攻击活动。为了欺骗攻击者对蜜罐进行攻击，它需要具有响应命令的功能。THS有关Havex RAT和蠕虫的实验结果（如第3.1和3.2节所述）将在年会期间的介绍中介绍。

4、结论和讨论

4.1结论
    作为检测ICS网络内攻击活动的一种机制，JPCERT / CC检查了一个系统，该系统是通过改进前面研究[8,18]中提出的技术来开发的，以检测一些现实威胁。Modbus Stager [7]和PLC blaster [12]中讨论的针对ICS的攻击场景利用了ICS设备中使用的合法协议和命令。为了检测这种建议的攻击技术，要求蜜罐具有响应攻击中使用的命令以及发送设备特定信息的功能。最重要的是，跟踪攻击源是事件处理视角的重要因素。 正如Havex RAT示例中所讨论的，早期检测受感染设备可以缩短网络安全事件初始响应之前的时间。通过改善蜂蜜对攻击数据包的响应，它可以继续欺骗攻击者更长的时间。 这也将允许观察与攻击者长时间的通信，这可以用于增强网络隔离[18]。

4.1讨论
    可以提出，通过结合THS和前面的研究，可以实现保护ICS网络免受网络攻击的欺骗网络系统。一些安全厂商已经为IT系统和ICS提出了欺骗网络系统。这些系统旨在通过绕过蜜罐本身的攻击流量来欺骗攻击者并阻止他们访问合法信息。但是，该系统不能有效地对抗攻击，除非它的设计和配置使其与每个攻击场景和命令相对应，以提供准确的响应。在IT系统中，流行的系统和应用程序往往成为攻击的目标，并且在网络中承担攻击目标相对容易。然而，在ICS中，不同组织中存在各种系统，应用程序，设备，网络结构和配置，这使得很难缩小可能的攻击目标。因此，根据攻击情形，需要根据检测标准进行自定义以及响应模仿的范围。这种差异是ICS中欺骗网络系统面临的最大挑战，它涵盖了不同的配置，环境和设备。另一方面，对于可能受到攻击的设备，可以建议OPC服务器和PLC作为主要目标。Haves RAT的目标之一是搜索OPC服务器，而PLC Blaster证明蠕虫感染传播到网络上的PLC。可以将其作为构建欺骗网络系统的第一步，以专注于可能目标设备。由于要考虑的设备范围有限，因此可以专注于使用的几种可能的攻击技术，这有助于为事件准备安全措施和初始响应。
    在开发可用于各种ICS环境的欺骗网络系统方面，需要进一步改进，包括增强对攻击数据包的响应以及对攻击源的入侵以及扫描。例如，除了表1中列出的协议之外，增加与其他典型ICS协议和命令的兼容性将允许系统检测更多种类型的攻击。为了彻底分析攻击活动，包括其目标和技术，将建议通过登录实际受影响的设备进行进一步调查。这将允许访问在设备上运行的系统和服务的信息，并且还可能收集可能留在那里的恶意软件本身。
    此外，这些收集的信息可用于通过与外部组织共享来防止进一步的攻击。在IT系统中通常已经实现了用于检测网络威胁的信息交换，但是，没有任何ICS专用的示例。制定此类信息共享方案可被视为有效实施安全措施和提高整个行业安全水平的挑战之一。为利益相关者开发ICS通用欺骗网络系统和信息共享方案需要进一步讨论。

自己的一些感想：第一次把一篇文章完整地翻译下来，在这些中学习到了很多论文的格式以及书写的方法，也感受到了自己在句子连贯翻译中存在很大的问题。文章后半部分更是看得极其乏味，甚至很多翻译并未细细思考，接下来也希望能总结一些看论文的小方法，很多文章确实让人收获颇丰。