近日趨勢科技的研究人員披露了其工廠蜜罐試驗項目的成果，發現工業組織應更關注由經濟利益驅動的網絡犯罪分子發起的攻擊，而不是由經驗豐富的國家贊助組織所發起的網絡威脅。

該蜜罐模擬了一家工廠，并設計得極其逼真。工業環境包括ICS硬件、物理主機和安全加固的虛擬機。ICS硬件包括來自Siemens、Allen-Bradley和Omron的PLC；虛擬機運行用于控制工廠的HMI、控制堆垛機的機器人工作站、以及用于對PLC進行編程的工程工作站；物理機用作工廠的文件服務器。

為了使一切顯得更加真實，研究人員創建了一家假冒公司，該公司稱自己為“為特殊客戶服務的小型工業原型制作精品店”。研究人員還為此開發了一個網站并預留了電話號碼，當有電話撥入時會播放語音指示讓呼叫者留言。

圖1：完整的蜜罐設計，紅色框表示SharkTap以太網流量捕獲設備

為了使蜜罐成為更具吸引力的目標，專家有意將一些端口保持開放狀態，包括一些無需密碼即可訪問的VNC服務、PLC和以太網/IP。

該蜜罐于2019年5月上線，之后趨勢科技的研究人員對其進行了7個月的監控。實驗結束后，該蜜罐完全下線。

毫不奇怪，該蜜罐最初主要被掃描程序作為攻擊目標，研究人員阻止了來自Schodan、ZoomEye和Shadowserver等已知掃描服務的請求。

當蜜罐聯機并正確配置后，趨勢科技發現了大量嘗試濫用系統和資源的欺詐活動，如將飛行里數兌換成禮品卡并通過升級移動訂戶帳戶來購買智能手機。

有些黑客給該蜜罐安裝了加密貨幣礦工，包括安裝了兩個文件加密勒索軟件，該勒索軟件攻擊與惡意軟件Crysis和Phobos相關。一些網絡犯罪分子還試圖安裝偽造的勒索軟件，該勒索軟件只重命名了文件，以使它們看起來像是被加密的，但實際上并未對其進行加密。

就控制系統攻擊而言，趨勢科技表示，PLC大多被一些未知的掃描程序作為攻擊目標，這些掃描程序使用黑名單以外的工具和服務進行相關的掃描活動，主要收集有關暴露設備的信息，盡管似乎沒有惡意，但是專家們說，不能否認掃描是可能為準備以后的攻擊而進行的偵察活動的一部分。

對于蜜罐中的Allen-Bradley MicroLogix PLC，研究人員觀察到了許多未知命令。盡管這些命令看起來似乎無害，但未知的命令可能會導致某些較舊的設備崩潰，正如幾年前Cisco Talos研究人員所證明的那樣。

在某些情況下，攻擊者關閉了被攻擊成功的設備上運行的應用程序，甚至會關閉該設備或注銷當前用戶。

從ICS角度來看，一些最有趣的活動發生在12月。一名威脅者啟動了工廠，停止了傳送帶，停止了工廠，然后關閉了應用程序窗口。一天之后，同一位威脅者啟動了碼垛機并打開了其光學系統的日志視圖。趨勢科技表示，威脅者可能也只是好奇會發生什么。

趨勢科技高級威脅研究人員Stephen Hilt解釋說：“在大多數情況下，攻擊者在看到某個進程已開始運行時便會立即停止該進程。在自12月起的3次攻擊中，有一次攻擊者讓系統運行了幾個小時，我們最終像“公司”認識到發生了攻擊事件一樣，重置所有數據來終止該攻擊。從那以后，我們再也沒有看到這個攻擊者發起任何進一步攻擊活動?！?Hilt表示，他們分析的任何源IP地址都不能鏈接到已知的威脅組織。

趨勢科技網絡安全副總裁Greg Young對該研究發表評論時表示，“通常，對工業控制系統（ICS）的網絡威脅的討論僅限于旨在破壞關鍵流程的高度復雜的國家級攻擊。盡管這些確實給工業4.0帶來了風險，但我們的研究證明，更常見的威脅更有可能出現。因此，小型工廠和工業廠房所有者不應該假定威脅者不會攻擊他們。缺乏基本的保護措施可能會對相對直接的勒索軟件或加密劫持攻擊敞開大門，這可能造成嚴重后果?！?/span>