2020年3月23日，知名安全廠(chǎng)商火眼公司的研究人員Jeffrey Ashcraft、Daniel Kapellmann Zafra、Nathan Brubaker在其官網(wǎng)上發(fā)布了題為《監視ICS網(wǎng)絡(luò )行動(dòng)工具和軟件利用模塊以預測未來(lái)的威脅》博文。文章指出，專(zhuān)用于ICS的入侵和攻擊工具的普遍可用性正在擴大，使得針對運營(yíng)技術(shù)（OT）網(wǎng)絡(luò )和工業(yè)控制系統（ICS）的攻擊者群體更加方便行動(dòng)。之前人們對OT威脅和攻擊的認識，還停留在“對這些系統的成功入侵和攻擊通常需要專(zhuān)門(mén)的知識，成功攻擊OT/ICS系統是有很高門(mén)檻的”這種層面?，F在看來(lái)，對于經(jīng)驗不那么老道的威脅行為者，由于入侵和攻擊工具通常是由具有專(zhuān)業(yè)知識的人開(kāi)發(fā)的，因此這些工具的易得性可以幫助其繞開(kāi)獲取某些專(zhuān)業(yè)知識的障礙，或者可以幫助他們更快地獲取必要的知識。而對于經(jīng)驗豐富的威脅行為者，他們可能會(huì )傾向于使用已知的工具和漏洞來(lái)掩飾和隱藏自己的身份，也使其TTP甚至攻擊軌跡“大隱于市”不易暴露。這也再次警示眾多OT/ICS供應商和運營(yíng)者，相關(guān)攻擊技術(shù)的低門(mén)檻、攻擊工具易獲得，將加劇工業(yè)企業(yè)網(wǎng)絡(luò )安全的威脅態(tài)勢，而且高能力的攻擊對手將變更加難以發(fā)現和追蹤。

在過(guò)去的數十年中，針對運營(yíng)技術(shù)（OT）/工業(yè)控制系統（ICS）的網(wǎng)絡(luò )攻擊僅有很少量的被記錄在案。雖然攻擊數量少是一件好事，但缺乏足夠的樣本量來(lái)確定風(fēng)險閾值可能會(huì )使防御者難以理解威脅環(huán)境，確定網(wǎng)絡(luò )安全工作的優(yōu)先級并證明資源分配的合理性。

為了解決這個(gè)問(wèn)題，FireEye Mandiant威脅情報部門(mén)發(fā)布一系列報告，專(zhuān)注于不同指標來(lái)預測未來(lái)的威脅。來(lái)自暗網(wǎng)論壇上的活動(dòng)的洞察力、現場(chǎng)軼事、ICS漏洞研究以及概念驗證等等研究，使得即使在事件數據有限的情況下，也可以說(shuō)明威脅的情況。此篇博客文章重點(diǎn)介紹了其中一種來(lái)源，面向ICS的入侵和攻擊工具，在本文中將其統稱(chēng)為網(wǎng)絡(luò )行動(dòng)工具。

面向ICS的網(wǎng)絡(luò )行動(dòng)工具是指具有利用ICS弱點(diǎn)或與設備進(jìn)行交互的能力的硬件和軟件，威脅者可以利用這種方式來(lái)支持入侵或攻擊行動(dòng)。在此博客文章中，研究人員將漏洞利用模塊與其他網(wǎng)絡(luò )行動(dòng)工具分離開(kāi)來(lái)，這些漏洞利用模塊被開(kāi)發(fā)為可在Metasploit、Core Impact或Immunity Canvas之類(lèi)的框架上運行，因為這些框架的的數量很多。

網(wǎng)絡(luò )行動(dòng)工具降低了攻擊者所需ICS專(zhuān)業(yè)知識的門(mén)檻

由于ICS是信息和計算機技術(shù)的一個(gè)獨特子域，因此，針對這些系統的成功入侵和攻擊通常需要專(zhuān)門(mén)的知識，從而為成功攻擊樹(shù)立了更高的門(mén)檻。由于入侵和攻擊工具通常是由具有專(zhuān)業(yè)知識的人開(kāi)發(fā)的，因此這些工具可以幫助威脅行為者繞過(guò)自己獲取某些專(zhuān)業(yè)知識的需求，或者可以幫助他們更快地獲取必要的知識。另外，經(jīng)驗豐富的行為者可能會(huì )訴諸使用已知的工具和漏洞來(lái)掩飾自己的身份或最大化其預算。

標準化網(wǎng)絡(luò )行動(dòng)工具的開(kāi)發(fā)和隨后采用，通常表明其對抗能力不斷增強。無(wú)論這些工具是由研究人員開(kāi)發(fā)的概念驗證工具，還是在過(guò)去的事件中使用的工具，對它們的訪(fǎng)問(wèn)都可以降低各種參與者學(xué)習和發(fā)展未來(lái)技能或自定義攻擊框架的障礙。在此前提下，對于那些使用各種已知攻擊工具就能達到攻擊意圖的設備，就成了攻擊者唾手可得的目標。

ICS網(wǎng)絡(luò )行動(dòng)工具分類(lèi)

Mandiant Intelligence跟蹤了大量公開(kāi)可用的ICS專(zhuān)用網(wǎng)絡(luò )行動(dòng)工具。使用的術(shù)語(yǔ)“特定于ICS”沒(méi)有硬性規定。盡管跟蹤的絕大多數網(wǎng)絡(luò )行動(dòng)工具都是明確的案例，但在某些情況下，已經(jīng)考慮了工具創(chuàng )建者的意圖以及該工具對ICS軟件和設備的合理可預見(jiàn)的影響。同時(shí)，也排除了基于IT的工具，但這些工具可能會(huì )影響OT系統，例如商用惡意軟件或已知的網(wǎng)絡(luò )實(shí)用程序。僅包含少數例外，其中識別了使工具能夠與ICS進(jìn)行交互的特殊修改或功能，例如nmap腳本。

根據功能，研究人員將每個(gè)工具分配給十個(gè)不同類(lèi)別或類(lèi)中的至少一個(gè)。這十個(gè)類(lèi)別分別是軟件漏洞利用、網(wǎng)絡(luò )發(fā)現、無(wú)線(xiàn)電、Fuzzer、惡意軟件、硬件、在線(xiàn)偵察、紅外、知識庫、勒索軟件。

雖然列表中包含的某些工具早在2004年就已創(chuàng )建，但大多數開(kāi)發(fā)都發(fā)生在過(guò)去10年中。大多數工具也與供應商無(wú)關(guān)，或針對某些最大的ICS原始設備制造商（OEM）的產(chǎn)品而開(kāi)發(fā)。西門(mén)子在這一領(lǐng)域脫穎而出，其中有60％的特定于供應商的工具可能針對其產(chǎn)品。其他工具也針對施耐德電氣、GE、ABB、Digi International、羅克韋爾自動(dòng)化和Wind River Systems的產(chǎn)品而開(kāi)發(fā)。

圖2按類(lèi)型描述了工具數量。值得注意的是，網(wǎng)絡(luò )發(fā)現工具占工具的四分之一以上。強調指出，在某些情況下，軟件開(kāi)發(fā)工具可以托管擴展的模塊存儲庫，以定位特定的產(chǎn)品或漏洞。

軟件利用模塊

考慮到軟件漏洞利用模塊的整體簡(jiǎn)單性和可訪(fǎng)問(wèn)性，它們是網(wǎng)絡(luò )行動(dòng)工具中數量最多的子組件。開(kāi)發(fā)漏洞利用模塊的最常見(jiàn)方式是利用特定漏洞并自動(dòng)執行漏洞利用過(guò)程。然后將該模塊添加到漏洞利用框架。該框架用作存儲庫，其中可能包含數百個(gè)針對各種漏洞、網(wǎng)絡(luò )和設備的模塊。最受歡迎的框架包括Metasploit、Core Impact和Immunity Canvas。此外，自2017年以來(lái)，研究人員已經(jīng)確定了較年輕的ICS專(zhuān)用漏洞利用框架的開(kāi)發(fā)，例如自動(dòng)部署、工業(yè)漏洞利用框架（ICSSPLOIT）和工業(yè)安全漏洞利用框架。

鑒于漏洞利用模塊的簡(jiǎn)單性和可訪(fǎng)問(wèn)性，它們對具有各種技能水平的威脅行為者有吸引力。即使是不太熟練的威脅行為是也可能會(huì )利用漏洞利用模塊，而無(wú)需完全了解漏洞的工作原理或不知道利用漏洞所需的每個(gè)命令。盡管跟蹤的大多數利用模塊可能是為研究和滲透測試開(kāi)發(fā)的，但它們也可以在整個(gè)攻擊生命周期中使用。

利用模塊統計

自2010年以來(lái)，Mandiant Intelligence跟蹤了三個(gè)主要利用框架的利用模塊：Metasploit、Core Impact和Immunity Canvas。研究人員目前跟蹤與超過(guò)500個(gè)漏洞相關(guān)的數百個(gè)ICS專(zhuān)用漏洞利用模塊，其中71％是潛在的零日漏洞。如圖3所示。目前，Immunity Canvas的利用最多，主要是由于俄羅斯安全研究公司 GLEG的努力。

Metasploit框架漏洞利用模塊值得特別關(guān)注。盡管模塊數量最少，但Metasploit是免費提供的，并且廣泛用于IT滲透測試，而Core Impact和Immunity Canvas都是商業(yè)工具。這使得Metasploit在這三個(gè)框架中最為方便利用。但是，這意味著(zhù)模塊開(kāi)發(fā)和維護由社區提供，這很可能導致模塊數量減少。

同樣值得由ICS產(chǎn)品供應商檢查漏洞利用模塊的數量。分析結果如圖4所示，其中顯示了利用模塊數量最多（超過(guò)10個(gè)）的供應商。

圖4不是針對某個(gè)供應商，而是哪些產(chǎn)品受到漏洞利用作者的最多關(guān)注。造成這種情況的因素有很多，其中包括可供測試的軟件的可用性，針對特定漏洞編寫(xiě)漏洞利用程序的總體難度，或者漏洞如何與漏洞利用者的專(zhuān)業(yè)知識相匹配。

圖中包括的一些供應商已被其他公司收購，但是由于在收購之前已發(fā)現漏洞，因此分別進(jìn)行了跟蹤。施耐德電氣就是一個(gè)例子，該公司于2011年收購了7-Technologies，并更改了其產(chǎn)品組合的名稱(chēng)。特別強調，該圖僅計算漏洞利用模塊，而不考慮漏洞利用的程度。來(lái)自不同框架的模塊可以針對同一漏洞，并且每個(gè)模塊都應單獨計數。

ICS網(wǎng)絡(luò )行動(dòng)工具和軟件開(kāi)發(fā)框架彌補了知識和專(zhuān)業(yè)技能的空白

研究人員和安全從業(yè)人員經(jīng)常發(fā)布的ICS專(zhuān)用網(wǎng)絡(luò )行動(dòng)工具是有用的資產(chǎn)，可幫助組織了解持續存在的威脅和產(chǎn)品漏洞。但是，由于是公開(kāi)可用的內容，它們也可以降低對以OT網(wǎng)絡(luò )為目標的威脅參與者的門(mén)檻。盡管成功地對OT環(huán)境進(jìn)行攻擊通常需要威脅參與者具備高水平的技能和專(zhuān)業(yè)知識，但本文中討論的工具和漏洞利用模塊使得彌合這種知識差距變得更加容易。

意識到ICS網(wǎng)絡(luò )行動(dòng)工具的泛濫，應該成為不斷演變的威脅格局的重要風(fēng)險指標。這些工具為防御者提供了在測試環(huán)境中進(jìn)行風(fēng)險評估并利用匯總數據進(jìn)行溝通并從公司高管獲得支持的機會(huì )。那些不關(guān)注可用的ICS網(wǎng)絡(luò )行動(dòng)工具的組織，對于尋求新功能的老練攻擊者和缺乏經(jīng)驗的威脅參與者而言，都有可能成為容易得手的目標。

來(lái)源：網(wǎng)信防務(wù)