惊了!针对智能制造系统的网络攻击来袭
编者按
如今,越来越多的企业采用智能制造技术来提高制造效率。尽管使用智能制造技术带来了许多好处,如降低了成本提高了生产效率,但是威胁行为体可以利用这些目标寻求在智能制造设施中立足或横向移动的机会。尽管智能制造系统的公司网络和外界隔离,但是攻击者仍有可能使用其他更常规的方法来攻陷系统。对此,网络安全公司趋势科技联合米兰理工大学的研究人员发布了《针对智能制造系统的攻击:前瞻性安全分析》报告,该报告研究发现,对智能制造系统进行攻击时,高级攻击者可能会使用的三个攻击入口点是:工程工作站、自定义工业物联网(IIoT)设备、制造执行系统(MES)。同时,研究人员针对不同的攻击者模型假设,研究了五种可能的攻击案例:使用恶意工业插件、自定义IIoT设备木马化、利用脆弱的移动HMI、MES上的数据处理、使用易受攻击或恶意的自动化逻辑。报告的最后,研究人员从网络、端点、IIoT设备和自动化软件等方面给出了安全建议。
网络安全公司趋势科技和米兰理工大学的研究人员分析了针对智能制造环境的攻击的可能入口点和载体,同时在这个过程中发现了几个新的漏洞。米兰理工大学拥有专门的工业4.0实验室,其制造设备通常部署在真实环境中。趋势科技与该大学合作,通过对实际智能制造环境的透彻分析,深入研究探索了多种攻击媒介、威胁行为者可能会使用这些攻击媒介对智能制造系统发起非常规攻击,研究成果以《针对智能制造系统的攻击:前瞻性安全分析》报告形式发布。
-
完成实际工作的物理机器,例如装载机、钻机、工业机器人; -
人机界面(HMI),操作员可用来监视和控制进度。除了传统的HMI,还有移动HMI,它们本质上是执行HMI角色的应用程序; -
可编程逻辑控制器(PLC),用作物理机、HMI和网络其余部分之间交互的接口。
攻/击/入/口/点
在该报告中,研究人员发现,在对智能制造系统进行攻击时,高级攻击者可能会使用的三个主要入口点为:工程工作站、自定义工业物联网(IIoT)设备、制造执行系统(MES)。
工程工作站
另一个例子涉及KUKA的KUKA.Sim机器人和计算机数控(CNC)设备的工程和开发软件。该问题与eCatalog功能相关,该功能允许用户导入其他人制作的3D模型。研究人员发现,该软件没有对从eCatalog下载的数据进行任何完整性检查,并且客户端和服务器之间的通信没有加密,使得中间人(MITM)攻击者能够恶意更改模型。
自定义IIoT设备开发环境
趋势科技警告表示,如果攻击者以某种方式使目标能够使用特洛伊木马程序库或直接在开发工作站上更改代码,他们就可以远程获得对工厂的完全访问权限。
MES数据库
MES数据库存储来自MES的敏感数据,例如工作单和工作模板。MES数据库被系统的其余部分隐式信任,这意味着可以访问网络或未经身份验证的MES数据库的攻击者可以通过伪造或更改数据库中的记录来更改生产。
攻/击/案/例
研究人员在不同的攻击模型假设下,利用这三种攻击入口点,测试了五种攻击的可行性。
利用恶意工业插件
研究人员表明,攻击者可以通过使用特定于工业自动化的恶意加载项和易受攻击的开发环境来访问工程工作站。然后,攻击者可以使用工程工作站来窃取机密并远程对任务程序进行木马化,以便横向移动到系统的其他部分,目的是改变工厂的生产,或者至少保持持久性以便将来进行活动。攻击者还可以利用以下事实:加载项可以访问实现不同功能所必需的系统资源。这意味着上载的加载项可用于恶意目的,例如,用于附加恶意代码或收集敏感数据。
自定义IIoT设备木马化
为自定义IIoT设备进行开发通常涉及使用资源、教程和库,这些资源、教程和库已上载到可公开访问的存储库,而这些存储库缺少旨在检查其完整性的机制或审核过程。研究表明,其中一些开发工具可能会将恶意功能集成到其代码中,甚至可能具有由创建者或采用预先存在的库,对其进行修改然后重新上传的开发人员无意中引入的漏洞。
利用脆弱的移动HMI
移动HMI的主要安全风险与传统的安全风险相同:它们存在于封闭的有线网络中,该网络确定了HMI与系统其余部分之间的信任。攻击者可以通过发现移动HMI中的弱点并利用它来影响与其交互的物理机,从而利用这种信任关系。例如,正如在演示中所展示的那样,移动HMI可能泄漏了攻击者可以发现并用于与系统端点进行交互的敏感信息。
MES上的数据处理
研究表明,攻击者可以通过在生产中引入错误(例如,通过更改操作中使用的参数值以在最终产品中造成缺陷),直接导致MES导致产品制造中的故障,或者在操作的参数值中引入越界值,这将导致拒绝服务,这实际上会阻碍生产。
在复杂的制造机器中使用易受攻击或恶意的自动化逻辑
智能制造中使用的复杂机器依靠自动化逻辑来执行其制造任务。研究表明,设法访问网络或目标机器本身的攻击者可以故意编写滥用特定功能的恶意程序,或者可以利用程序员不经意间引入程序中的漏洞(与编写的程序相当)通用编程语言。这两种情况之间存在相互作用,易受攻击的恶意逻辑可能会导致各种后果,包括信息盗窃和意外机器移动。
保/护/智/能/制/造/系/统/前/瞻/性/方/法
-
在网络级别,应该进行深层数据包检查,以支持相关的操作技术(OT)协议来发现异常有效负载; -
对于端点,应该定期进行完整性检查,以接收有关任何更改的软件组件的警报; -
对于IIoT设备,应要求代码签名。但是,它不仅应仅限于最终固件,还应包括任何其他依赖关系,以保护它们免受可能隐藏恶意功能的第三方库的侵害; -
自动化软件的风险分析应根据需要进行定制。例如,在协作机器人与人类并肩工作的系统中,应在固件级别实现安全性。
关于趋势科技
趋势科技公司是网络安全解决方案的全球领导者,帮助确保交流数字信息的世界安全。该公司面向消费者、企业和政府的创新解决方案为数据中心、云环境、网络和端点提供了分层的安全性。趋势科技所有的产品协同工作,以无缝共享威胁情报,并提供具有集中式可见性和控制力的互联威胁防御,从而提供更好、更快的保护。趋势科技在全球50多个国家/地区拥有6,000多名员工,并拥有全球最先进的全球威胁情报,可确保用户互联世界安全。
关于米兰理工大学
米兰理工大学是一所培养工程师、建筑师和工业设计师的科技大学。学校始终致力于教学和研究的质量和创新,通过实验研究和技术转让与商业和生产世界建立了富有成果的关系。研究一直与教学理论联系在一起,这是一项优先承诺,使米兰理工大学能够在国际取得高水平、高质量的研究成果,从而使科研成果融入商业世界。
天地和兴工控安全研究院编译
参考资源
【1】https://www.trendmicro.com/vinfo/us/security/news/internet-of-things/threats-and-consequences-a-security-analysis-of-smart-manufacturing-systems
【2】https://www.securityweek.com/researchers-analyze-entry-points-vectors-manufacturing-system-attacks
【3】https://business.financialpost.com/pmn/press-releases-pmn/business-wire-news-releases-pmn/trend-micro-research-identifies-critical-industry-4-0-attack-methods
(文章来源:天地和兴)