- 1、本文档共5页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
2020年最大端点威胁:无文件恶意软件导语根据思科分析,2020年上半年,最严重也最常见的端点威胁是无文件恶意软件。2020年的新冠疫情,让端点安全站上了网络安全的风口浪尖,而端点安全面临的主要威胁又集中在几种最严重的攻击工具和策略上。一、简述根据思科安全报告对遥测数据的最新分析,2020年上半年,最严重也最常见的端点威胁是无文件恶意软件。所谓无文件威胁是指感染后在内存中运行的恶意代码,但并不存储在硬盘驱动器上。报告显示:Kovter、Poweliks、Divegent和
对工控安全威胁最大的五个恶意软件
目录
TOC \o 1-5 \h \z \o Current Document 编者按 1
\o Current Document Triton/Trisis 1
\o Current Document Incontroller/PipeDream 2
\o Current Document Industroyer/CrashOverride 3
\o Current Document BlackEnergy 3
\o Current Document Havex 4
编者按
提到工控系统恶意软件,人们首先会想第一个能直接攻击0T网络的震网 病毒(Stuxnet),但是震网病毒之后,又涌现大量新型恶意软件,对工控系统 构成严重威胁。
近年来,针对工控系统的恶意软件正变得更加复杂且易用。最初的震网病 毒需要通过U盘来潜入伊朗设施,但最新的工控恶意软件工具可通过网络远程 攻击。
“较新的0T恶意软件可以通过跨0T网络的中间系统远程部署,使攻击者 更方便地使用它来对付目标。” Mandiant的安全研究人员Kapellmann Zafra指 出:“新的工控系统恶意软件更加灵活,可以定制修改,以针对多个目标进行 部署。
Rapid?的首席安全研究员Deral Heiland则指出,针对工控系统的新型恶意 软件通常利用目标ICS/SCADA环境的正常功能以及相关的管理和控制协议。攻 击者对曾经相对闭塞和晦涩的ICS/SCADA通信协议(例如Codesys和Profinet) 有了更好的理解,并正在利用这些知识开发更复杂的工具。
以下是震网病毒之后,专为攻击工控系统而设计的五大恶意软件:
Triton/Trisis
Triton/Trisis被用于2017年针对沙特阿拉伯炼油厂的攻击。该恶意软件针对施耐德电气的安全仪表系统(SIS)Triconex的多个型号的设备,这些设备被炼油厂用于监控工厂的管理和硫回收系统。如果恶意软件按预期工作,它可能会引第1页共5页
第
第 PAGE #页共5页
发爆炸和设施内危险气体的释放。但施耐德电气Sis设备上的安全控制发现了 攻击者安装恶意软件的尝试,并触发了整个炼油厂的自动关闭。
Triton/Trisis针对炼油厂的施耐德安全仪表系统而设计。因此,Dragos当时 评估该恶意软件不会对施耐德电气的其他客户环境构成威胁。但Dragos评估 说,攻击者在攻击中使用的策略、技术和程序会被其他人复制。
Mandiant发现该恶意软件有多种功能,包括读写程序和查询施耐德SIS控 制器的状态;向控制器发送特定命令,例如“停止”;并使用恶意负载远程重 新编程它们。
Mandiant的Kapellmann Zafra透露:“Triton之所以特别危险,是因为它针 对的是安全系统,这意味着可能存在物理破坏的意图。”他说,该恶意软件针 对特定的资产,此类资产通过一种几乎没有记录的专有协议进行通信,这意味 着攻击者可能需要对工控设备进行逆向工程来开发恶意软件。
Incontroller/PipeDream
Incontroller/PipeDream是最近才发现的专门攻击工控系统的恶意软件威 胁。美国网络安全和基础设施安全局(CISA)等机构己确定该恶意软件对液化天然 气和电力供应商等能源机构和组织构成严重威胁。
Incontroller是Mandiant给该恶意软件的跟踪代号,包含三个恶意软件工 具,针对施耐德电气和欧姆龙的可编程逻辑控制器(PLC)以及任何基于开放平台 通信统一架构(OPC UA)的服务器。攻击者可使用该恶意软件对目标工业环境进 行侦察,并控制PLC,实施可能导致工厂中断、安全故障和潜在物理灾难的破 坏活动。
值得注意的是,Incontroller/PipeDream并未利用任何漏洞来破坏目标系 统。相反,它使用Modbus和Codesys这两种常见的工业协议与PLC进行通信 和交互。据Dragos称,该恶意软件利用本机功能的能力使其难以在工业环境中 被发现,该公司给该恶意软件分配的代号是PipeDreamo Dragos将该恶意软件 归因于一个可能位于俄罗斯的威胁组织,称之为Chernoviteo
Incontroller/PipeDream的三个主要组件是:一个从OPC环境中扫描和收集 数据的工具;一个可以通过Modbus和Codesys识别Schneider和其他基于
Modbus的PLC并与之交互的框架;以及专门设计用于通过HTTP和Telnet攻击 Omron设备的工具。
目前,Mandiant正在跟踪Tagrun Codecall和。mshell这三种威胁。
Mandiant高级技术分析经理Kapellmann Z
您可能关注的文档
- (题库版)全国计算机等级考试《三级网络技术》精选试题汇总.docx
- (题库版)全国计算机等级考试《三级网络技术》综合试题练习.docx
- 全国计算机等级考试《三级网络技术》高频考点试题汇总.docx
- (最新版)全国计算机等级考试《三级网络技术》试题汇总含历年真题.docx
- (最新版)全国计算机等级考试《三级网络技术》题库(真题整理).docx
- 全国计算机等级考试《三级网络技术》在线模拟试题.docx
- 【资格考试】系统集成项目管理师)--综合知识押题密卷.docx
- 2022计算机一级MSOffice重点试题及参考答案.docx
- VMware vCenter中的敏感信息泄露分析.docx
- 供应链网络安全潜在威胁及挑战.docx
- Haier海尔515升风冷变频多门冰箱 BCD-515WGHFD1BY6U1说明书用户手册.pdf
- Razer雷蛇雷蛇黑寡妇蜘蛛V4无线专业版75% RZ03-0513 支持和常见问题解答 用户指南 (French)说明书用户手册.pdf
- Siemens西门子工业ALPHA 3200 Eco — 母线 N BCL ALPHA 3200 Eco — 母线 N BCL使用手册.pdf
- Tenda腾达A33 说明书用户手册.pdf
- Hifiman头领科技ANANDA-BT说明书用户手册.pdf
- MIDIPLUS美派Routist RS GENII快速入门指南V1.0.0.pdf
- 玩家国度ROG Strix XG27UCG 液晶显示器 西班牙文版使用手册.pdf
- Zlg致远电子【用户手册】VBNET-4302用户手册 V1.03.pdf
- 玩家国度ROG Strix XG27UCG 液晶显示器 斯洛文尼亚版使用手册.pdf
- Siemens西门子工业ALPHA 3200 Eco — 电缆槽 3NJ4 ALPHA 3200 Eco — 电缆槽 3NJ4使用手册.pdf
最近下载
- 部编版八年级上册历史基础知识填空.docx
- 小学五年级上全册人自然社会教案可打印.doc
- DB11∕T 1598.3-2019 居家养老服务规范 第3部分:助医服务.docx VIP
- 人教版高中物理电学实验要点总结.pdf VIP
- 普通高中课程标准2023.pdf
- 幼儿园幼儿出游安全应急预案.docx VIP
- 2024浙江省执业药师继续教育答案-中医虚症辨证用药.docx VIP
- DB11_T 1598.2-2019 居家养老服务规范 第2部分:助餐服务.PDF VIP
- 简谱 爱永在 沂蒙山 王传亮.pdf
- 小学一年级音乐下(第三单元 音乐中的动物: 唱歌 咏鹅):C1跨学科学习活动设计-教学方案设计+学生学习成果+学习成果点评[2.0微能力获奖优秀作品].docx
文档评论(0)