在 2021 年 RSA 網(wǎng)絡(luò)安全會(huì)議上，美國國土安全部部長亞歷杭德羅·馬約卡斯 (Alejandro Mayorkas) 就網(wǎng)絡(luò)安全形勢(shì)發(fā)表了一個(gè)劃時(shí)代的聲明：“讓我明確一點(diǎn)：勒索軟件現(xiàn)在對(duì)國家安全構(gòu)成威脅。”

上周末，Mayorkas 的話聽起來很真實(shí)。對(duì)殖民地管道的勒索軟件攻擊——負(fù)責(zé)美國東海岸近一半的柴油、汽油和噴氣燃料——導(dǎo)致供應(yīng)一些東部州的關(guān)鍵燃料網(wǎng)絡(luò)關(guān)閉。

這次攻擊的后果表明勒索軟件的后果是多么廣泛和具有破壞性。針對(duì)關(guān)鍵基礎(chǔ)設(shè)施和公用事業(yè)，網(wǎng)絡(luò)攻擊有可能破壞供應(yīng)、損害環(huán)境，甚至威脅人類生命。

盡管完整的細(xì)節(jié)仍有待確認(rèn)，但據(jù)報(bào)道，這次攻擊是由名為 DarkSide 的網(wǎng)絡(luò)犯罪組織的附屬機(jī)構(gòu)進(jìn)行的，并且可能利用了常見的遠(yuǎn)程桌面工具。由于去年許多組織轉(zhuǎn)向遠(yuǎn)程工作，包括工業(yè)控制系統(tǒng) (ICS) 和運(yùn)營技術(shù) (OT) 的組織，遠(yuǎn)程訪問已成為關(guān)鍵基礎(chǔ)設(shè)施中可利用的漏洞。

工業(yè)勒索軟件的興起

針對(duì)工業(yè)環(huán)境的勒索軟件呈上升趨勢(shì)，據(jù)報(bào)道自 2018 年以來增長了 500%。這些威脅通常利用 IT 和 OT 系統(tǒng)的融合，首先針對(duì) IT，然后再轉(zhuǎn)向 OT。這在EKANS 勒索軟件中可以看到，該勒索軟件將 ICS 進(jìn)程包含在其“殺死列表”中，以及在首次利用虛擬專用網(wǎng)絡(luò) (VPN) 中的漏洞后破壞 ICS 的 Cring 勒索軟件。

Colonial Pipeline 入侵中的初始攻擊向量是否利用了技術(shù)漏洞、被破壞的憑據(jù)或有針對(duì)性的魚叉式網(wǎng)絡(luò)釣魚活動(dòng)還有待觀察。據(jù)報(bào)道，這次攻擊首先影響了 IT 系統(tǒng)，Colonial 隨后關(guān)閉了 OT 運(yùn)營以作為安全預(yù)防措施。Colonial 證實(shí)，勒索軟件“暫時(shí)停止了所有管道操作并影響了我們的一些 IT 系統(tǒng)”，這表明最終，OT 和 IT 都受到了影響。這是一個(gè)很好的例子，說明有多少 OT 系統(tǒng)依賴于 IT，因此 IT 網(wǎng)絡(luò)攻擊有能力破壞 OT 和 ICS 流程。

除了鎖定系統(tǒng)外，威脅參與者還從 Colonial 竊取了 100GB 的敏感數(shù)據(jù)。不幸的是，這種雙重勒索攻擊——在文件加密之前泄露數(shù)據(jù)——已成為常態(tài)而非例外，超過 70% 的勒索軟件攻擊涉及泄露。一些勒索軟件團(tuán)伙甚至宣布他們將完全放棄加密，轉(zhuǎn)而采用數(shù)據(jù)盜竊和勒索方法。

今年早些時(shí)候，Darktrace 防御了針對(duì)關(guān)鍵基礎(chǔ)設(shè)施組織的雙重勒索勒索軟件攻擊，該組織還利用了常見的遠(yuǎn)程訪問工具。本博客將深入概述發(fā)現(xiàn)的威脅，展示 Darktrace 的自學(xué)習(xí) AI 如何自主響應(yīng)與 Colonial Pipeline 事件極為相似的攻擊。

Darktrace 威脅發(fā)現(xiàn)

針對(duì)電力設(shè)備供應(yīng)商的勒索軟件

在今年早些時(shí)候針對(duì)一家北美電力設(shè)備供應(yīng)商的攻擊中，Darktrace 的工業(yè)免疫系統(tǒng)展示了其保護(hù)關(guān)鍵基礎(chǔ)設(shè)施免受針對(duì)具有 ICS 和 OT 的組織的雙重勒索勒索軟件的能力。

勒索軟件攻擊最初針對(duì)的是 IT 系統(tǒng)，并且由于網(wǎng)絡(luò)人工智能的自我學(xué)習(xí)，在它可能蔓延到 OT 并破壞運(yùn)營之前就被阻止了。

攻擊者首先入侵了內(nèi)部服務(wù)器，以便在 12 小時(shí)內(nèi)竊取數(shù)據(jù)并部署勒索軟件。最初的入侵和部署之間的時(shí)間很短是不尋常的，因?yàn)槔账鬈浖{參與者通常要等待幾天才能在攻擊之前盡可能地在網(wǎng)絡(luò)生態(tài)系統(tǒng)中悄悄傳播。

攻擊是如何繞過安全堆棧的其余部分的？

攻擊者利用“以陸地為生”的技術(shù)融入企業(yè)的正常“生活模式”，使用受損的管理員憑據(jù)和組織批準(zhǔn)的遠(yuǎn)程管理工具，試圖保持不被發(fā)現(xiàn)。

Darktrace 通常會(huì)在攻擊者的技術(shù)、策略和程序 (TTP) 庫中看到對(duì)合法遠(yuǎn)程管理軟件的濫用。特別是在 ICS 攻擊中，遠(yuǎn)程訪問也正成為越來越常見的攻擊媒介。例如，在去年 2 月佛羅里達(dá)州水處理設(shè)施的網(wǎng)絡(luò)事件中，攻擊者利用遠(yuǎn)程管理工具試圖操縱處理過程。

該攻擊者部署的特定勒索軟件還通過在加密文件時(shí)使用獨(dú)特的文件擴(kuò)展名成功地避開了防病毒軟件的檢測(cè)。這些形式的“無簽名”勒索軟件很容易繞過依賴規(guī)則、簽名、威脅源和記錄的常見漏洞和暴露 (CVE) 列表的傳統(tǒng)安全方法，因?yàn)檫@些方法只能檢測(cè)以前記錄的威脅。

檢測(cè)前所未見的威脅（如無簽名勒索軟件）的唯一方法是尋找異常行為的技術(shù)，而不是依賴“已知不良”列表。這可以通過自學(xué)技術(shù)來實(shí)現(xiàn)，該技術(shù)甚至可以發(fā)現(xiàn)所有設(shè)備、用戶以及它們之間的所有連接與正常“生活模式”的最細(xì)微偏差。

暗跡洞察

初步妥協(xié)并建立立足點(diǎn)

盡管濫用了合法工具并且沒有已知簽名，但 Darktrace 的工業(yè)免疫系統(tǒng)能夠使用對(duì)正常活動(dòng)的整體理解來檢測(cè)攻擊生命周期中多個(gè)點(diǎn)的惡意活動(dòng)。

Darktrace 警告的新興威脅的第一個(gè)明顯跡象是特權(quán)憑證的不尋常使用。該設(shè)備還在事件發(fā)生前不久從 Veeam 服務(wù)器提供了一個(gè)不尋常的遠(yuǎn)程桌面協(xié)議 (RDP) 連接，這表明攻擊者可能已經(jīng)從網(wǎng)絡(luò)的其他地方橫向移動(dòng)。

三分鐘后，設(shè)備啟動(dòng)了持續(xù) 21 小時(shí)的遠(yuǎn)程管理會(huì)話。這使得攻擊者可以在更廣泛的網(wǎng)絡(luò)生態(tài)系統(tǒng)中移動(dòng)，同時(shí)又不會(huì)被傳統(tǒng)防御發(fā)現(xiàn)。然而，Darktrace 能夠檢測(cè)到異常的遠(yuǎn)程管理使用情況，作為指示攻擊的另一個(gè)預(yù)警。

雙重威脅第一部分：數(shù)據(jù)泄露

在最初的妥協(xié)后一小時(shí)，Darktrace 檢測(cè)到異常數(shù)量的數(shù)據(jù)被發(fā)送到 100% 罕見的云存儲(chǔ)解決方案 pCloud。出站數(shù)據(jù)使用 SSL 加密，但 Darktrace 創(chuàng)建了多個(gè)與大型內(nèi)部下載和外部上傳有關(guān)的警報(bào)，這些警報(bào)與設(shè)備的正常“生活模式”有很大偏差。

該設(shè)備繼續(xù)泄露數(shù)據(jù)九小時(shí)。對(duì)設(shè)備下載的文件（使用未加密的 SMB 協(xié)議傳輸）的分析表明它們本質(zhì)上是敏感的。幸運(yùn)的是，Darktrace 能夠查明被泄露的特定文件，以便客戶可以立即評(píng)估入侵的潛在影響。

雙重威脅第二部分：文件加密

不久之后，當(dāng)?shù)貢r(shí)間 01:49，受感染的設(shè)備開始加密 SharePoint 備份共享驅(qū)動(dòng)器中的文件。在接下來的三個(gè)半小時(shí)內(nèi)，該設(shè)備在至少 20 個(gè) SMB 共享上加密了超過 13,000 個(gè)文件。Darktrace 總共為相關(guān)設(shè)備產(chǎn)生了 23 條警報(bào)，占相應(yīng) 24 小時(shí)期間產(chǎn)生的所有警報(bào)的 48%。

Darktrace 的網(wǎng)絡(luò) AI 分析師隨后自動(dòng)展開調(diào)查，確定內(nèi)部數(shù)據(jù)傳輸和 SMB 上的文件加密。由此，它能夠呈現(xiàn)將這些不同異常之間的點(diǎn)連接起來的事件報(bào)告，將它們拼湊成一個(gè)連貫的安全敘述。這使安全團(tuán)隊(duì)能夠立即采取補(bǔ)救措施。

如果客戶一直使用Antigena Network，Darktrace 的自主響應(yīng)技術(shù)，毫無疑問，在大量數(shù)據(jù)被泄露或文件加密之前，該活動(dòng)就會(huì)停止。幸運(yùn)的是，在看到警報(bào)和網(wǎng)絡(luò) AI 分析師報(bào)告后，客戶能夠使用 Darktrace 的“咨詢專家”（ATE）服務(wù)進(jìn)行事件響應(yīng)，以減輕攻擊的影響并協(xié)助災(zāi)難恢復(fù)。

在威脅破壞關(guān)鍵基礎(chǔ)設(shè)施之前檢測(cè)它

目標(biāo)供應(yīng)商負(fù)責(zé)監(jiān)督 OT，并與關(guān)鍵基礎(chǔ)設(shè)施關(guān)系密切。通過促進(jìn)早期響應(yīng)，Darktrace 阻止了勒索軟件進(jìn)一步傳播到工廠車間。至關(guān)重要的是，Darktrace 還最大限度地減少了運(yùn)營中斷，有助于避免攻擊可能產(chǎn)生的多米諾骨牌效應(yīng)，不僅影響供應(yīng)商本身，還影響該供應(yīng)商支持的電力公司。

正如最近的 Colonial Pipeline 事件和上述威脅所揭示的那樣，勒索軟件是監(jiān)督所有形式的關(guān)鍵基礎(chǔ)設(shè)施（從管道到電網(wǎng)及其供應(yīng)商）的工業(yè)運(yùn)營的組織的一個(gè)緊迫問題。借助自學(xué)習(xí) AI，可以在造成損害之前通過實(shí)時(shí)威脅檢測(cè)、自主調(diào)查以及（如果被激活）有針對(duì)性的機(jī)器速度響應(yīng)來處理這些攻擊向量。

展望未來：使用自學(xué) AI 全面保護(hù)關(guān)鍵基礎(chǔ)設(shè)施

4 月下旬，拜登政府宣布了一項(xiàng)雄心勃勃的努力，以“保護(hù)美國的關(guān)鍵基礎(chǔ)設(shè)施免受持續(xù)和復(fù)雜的威脅”。能源部 (DOE) 的100 天計(jì)劃專門尋求“為電力公司的工業(yè)控制系統(tǒng)提供網(wǎng)絡(luò)可見性、檢測(cè)和響應(yīng)能力”的技術(shù)。

拜登政府的網(wǎng)絡(luò)沖刺顯然需要一種保護(hù)關(guān)鍵能源基礎(chǔ)設(shè)施的技術(shù)，而不僅僅是最佳實(shí)踐措施和法規(guī)。如上述威脅發(fā)現(xiàn)所示，Darktrace AI 是一項(xiàng)強(qiáng)大的技術(shù)，它利用無監(jiān)督機(jī)器學(xué)習(xí)以機(jī)器速度和精度自主保護(hù)關(guān)鍵基礎(chǔ)設(shè)施及其供應(yīng)商。