編者按：2020年2月3日，知名工控安全公司Dragos發布了《EKANS勒索軟件和ICS運營》的專題報告。報告從EKANS背景和最新發現、EKANS勒索本身的特征、EKANS和MEGACORTEX之間的關系、該勒索軟件對ICS的影響和意義以及EKANS是否與伊朗有關等方面進行了詳細分析，最后從主機和網絡防御層面給出了緩解措施。

EKANS勒索軟件于2019年12月中旬出現，而Dragos于2020年1月初向其全球威脅情報服務的客戶發布了一份私有報告。盡管在加密文件和顯示贖金記錄方面作為勒索軟件樣本相對簡單，但EKANS具有附加功能以強制停止許多進程，包括與ICS操作相關的多個進程。盡管目前所有跡象都表明控制系統網絡上存在相對原始的攻擊機制，但靜態“攻殺清單”中列出的進程的特殊性表明，之前針對工業領域的勒索軟件并沒有表現很強的目的性。經過發現和調查，Dragos確定了EKANS與勒索軟件MEGACORTEX之間的關系，該勒索軟件還包含一些ICS特有的特征。在其報告中描述的勒索軟件中以工業過程為目標的標識是唯一的，代表了第一個已知的ICS特定勒索軟件變體。

盡管目前對EKANS勒索軟件的傳播機制尚不清楚，但是EKANS已經在警醒資產所有者和運營者獲得資產可見性的重要性。我們強烈建議，1、相關ICS資產所有者和運營者及時檢查其攻擊面，并判定具有ICS特定特征的分發和傳播破壞性惡意軟件（如勒索軟件）的機制。2、通過核查環境中的可用資產和連接，嘗試了解和分析對手針對特定資產部署專用于ICS的勒索軟件的潛在后果，對運營或相關流程的影響，并采取相應的防御措施。3、對進入ICS網絡的所有設備、數據、介質進行持續的嚴格的監測和審查，確保其可靠、干凈、可用；4、對ICS系統的關鍵數據、配置、邏輯做好及時的備份，保證備份的時效和可用；5、持續進行安全事件應急響應演練，確保響應計劃、流程、工具、人員的可用性和高效性。

一、EKANS勒索軟件簡要分析

EKANS似乎是網絡犯罪分子的杰作，而不是民族國家的黑客所為，這是一個令人擔憂的變化。

EKANS是一種用Go編程語言編寫的混淆勒索軟件變體，于2019年12月下旬首次在商業惡意軟件存儲庫中觀察到。唯一已知的相關樣本具有以下特征：

File Name: update.exe

MD5: 3d1cc4ef33bad0e39c757fce317ef82a

SHA1: f34e4b7080aa2ee5cfee2dac38ec0c306203b4ac

SHA256: e5262db186c97bbe533f0a674b08ecdafa3798ea7bc17c705df526419c1 68b60

對二進制文件的分析表明，它使用了多個自定義的Go庫來構造和確保執行，如圖1所示。

圖1：EKANS二進制文件中對自定義Go文件的引用

二進制文件本身由多個編碼的字符串組成。但是，編碼方案可以被標識和逆向，并且早在2020年1月7日就提供了公開可用的分析。在沙盒環境中檢查編碼的字符串以及監視惡意軟件的執行可以確定勒索軟件的程序流。

首先，惡意軟件會檢查受害者系統上是否有互斥量值“EKANS”。 如果存在，勒索軟件將停止并顯示一條消息“已經加密！”。否則，將設置互斥量值，并使用標準的加密庫函數繼續進行加密。受害者系統上的主要功能是通過Windows管理界面（WMI）調用實現的，該調用開始執行加密操作并刪除受害者上的卷影復制備份。

在繼續進行文件加密操作之前，勒索軟件會強制終止（“殺死”）按進程名稱列出的進程，該進程名位于惡意軟件的編碼字符串內的硬編碼列表中。Dragos在報告的附錄A中提供了評估過的具有進程功能或關系的完整列表。雖然某些引用的進程似乎與安全或管理軟件有關（例如奇虎360安全衛士和Microsoft System中心），列出的大多數進程都與數據庫（例如Microsoft SQL Server）、數據備份解決方案（例如IBM Tivoli）或與ICS相關的進程有關。

參考的ICS產品包括對GE的Proficy歷史數據庫的大量引用，其中包括客戶端和服務器進程。所引用的其他ICS特定功能包括GE Fanuc許可服務器服務和Honeywell的HMIWeb應用程序。其余與ICS相關的項目包括遠程監視（例如，類似于Historian的歷史記錄）或許可服務器實例，例如FLEXNet和Sentinel HASP許可管理器以及ThingWorx工業連接套件。如前所述，惡意軟件除了強制終止引用的進程外不執行任何操作。因此，該惡意軟件無法將命令注入或以其他方式操縱與ICS相關的過程。但是，在正常運行的系統（例如，數據歷史數據庫）上執行這類進程終止操作將導致網絡內可見性條件的損失。

加密后，通過在原始文件擴展名后添加隨機的五個字符（大小寫字母）來重命名文件。例如，Python PYD文件被加密，其他字符添加到PYD擴展名中。如圖2所示。

圖2：EKANS加密結果

加密后的系統不影響用戶訪問，并且系統不會重新引導、關機或關閉遠程訪問通道。這使EKANS與更具破壞性的勒索軟件有明顯的區別，例如2019年3月在挪威鋁業公司Norsk Hydro部署的LockerGoga變種。勒索軟件中的電子郵件地址使用類似于隱私的電子郵件服務，類似于Protonmail，稱為CTemplar。

完成進程終止和加密操作后，EKANS會將贖金記錄放到系統驅動器的根目錄（通常為C：）和活動用戶的桌面上。贖金記錄信息如圖3所示。

圖3：EKANS勒索軟件所留聯系信息

EKANS沒有內置的擴散或傳播機制。相反，它必須以交互方式或通過腳本啟動惡意軟件以感染主機。因此，EKANS遵循了在Ryuk和MEGACORTEX等其他勒索軟件家族中觀察到的趨勢，這些勒索軟件家族中，不會去自我傳播，而傾向于對企業網絡進行大規模破壞。一旦實現，勒索軟件就可以通過腳本、Active Directory攻擊或其他機制在整個網絡中擴散和有計劃傳播，以同時實現感染和系統破壞。

二、安全專家對EKANS的分析

在黑客入侵的歷史中，只有幾次發現了一段惡意代碼，試圖直接干預工業控制系統（即連接數字系統和物理系統之間鴻溝的計算機）。那些罕見的惡意軟件標本在伊朗銷毀核濃縮離心機，在烏克蘭造成停電?，F在，一個惡意軟件樣本浮出水面，該樣本利用控制系統的特定知識以更加直截了當、更熟悉的策略將其作為目標：殺死目標的軟件進程、加密基礎數據并將其劫持控制。

在過去的一個月中，包括Sentinel One和Dragos在內的安全公司的研究人員對名為Snake或EKANS的一段代碼感到困惑，他們現在認為這些代碼專門針對工業控制系統，涉及的行業包括煉油廠、電網和制造業。與其他勒索軟件一樣，EKANS會加密數據并向受害者顯示一個便條，要求受害者付款以解密數據；該名稱來自它作為受害者計算機上的文件標記植入的字符串，以標識其文件已被加密。

“這些工業控制系統機器是某些最高價值的目標?！本S蒂里·克雷梅茲，Sentinel One

但是EKANS還使用另一種技巧來加劇這種痛苦：它旨在終止受害計算機上的64種不同軟件進程，包括許多特定于工業控制系統的軟件進程。這樣一來，它就可以加密那些與控制系統程序交互的數據。與針對工業破壞而專門設計的其他惡意軟件相比，這種惡意軟件雖然粗糙，但針對性仍然很強，可以破壞用于監控基礎設施的軟件，例如石油公司的管道或工廠的機器人。這可能會帶來潛在的危險后果，例如阻止員工遠程監視或控制設備的運行。

EKANS實際上是第二種進入工業控制系統的勒索軟件。據Dragos公司稱，另一種名為Megacortex的勒索軟件毒株于去年春天首次出現，它具備殺死所有相同的工業控制系統過程的功能，實際上可能是同一位黑客開發的EKANS的前身。但是由于Megacortex還終止了其他數百個過程，因此其針對工業控制系統的功能在很大程度上被忽略了。

目前尚不清楚，針對以工業組織為目標的勒索軟件，其背后的主謀應該國家贊助的黑客（試圖制造破壞并利用勒索軟件的詭計來掩蓋其蹤跡），還是尋求經濟利益的真正的網絡犯罪分子。但是Sentinel One的研究員Vitali Kremez本月早些時候首次公開了EKANS的發現，一群被稱為惡意軟件獵殺團隊的研究人員認為，工業控制系統是勒索軟件攻擊者的天然目標。像醫院和政府一樣，如果這些工業控制系統停服，則會造成無法估量的損失。

Kremez說：“這些工業控制系統機器是某些最高價值的目標?！薄熬o要程度很高，數據可用性是任務的核心。因此，有很多動機可以激發攻擊者為此付出代價?！?/span>

過去，工業公司肯定受到了針對Windows的流行勒索軟件的打擊，例如去年對挪威鋁業公司Hydro Norsk進行的災難性網絡攻擊.但是EKANS和Megacortex則更進一步，邁進了工業控制系統的技術腹地。在EKANS終止的十幾個進程中，包括GE的Proficy軟件使用的進程。GE的Proficy軟件是一種“歷史數據庫”程序，用于保存工業環境中的操作信息記錄。類似的機制還有不少，比如檢查客戶對GE的Fanuc自動化軟件的有償使用許可，監視和管理軟件Thingworx，以及霍尼韋爾出售的控制界面程序。

表1：EKANS終止的進程列表樣例

“通過利用此功能，您不一定會導致工廠停頓下來，但會降低被攻擊者對環境的可見性和了解程度，”安全研究人員Joe Slowik表示，其對ICS安全公司Dragos指出的EKANS和Megacortex惡意軟件進行了分析。但是Slowik還指出，要預測GE的Fanuc軟件如何處理其許可檢查的中斷并不容易，這取決于行業和特定的客戶設置。如果將自動化軟件配置為沒有許可證就無法運行，則可能導致更嚴重的后果。Slowik說：“如果殺死許可服務器導致操作員不再能夠操作某些機器，那可能會導致失去控制的情況，這將變得危險?！?/span>

EKANS可以表明，工業黑客策略正向普通罪犯擴散。

Sentinel One說，EKANS受害者的名單可能包括巴林的國家石油公司Bapco。來自Sentinel One的Kremez說，這家安全公司從中東的一位客戶那里收到了EKANS惡意軟件的樣本，該客戶是從另一個組織在巴林的受感染網絡獲得的。惡意軟件顯示的至少一個版本的勒索消息要求受害者通過電子郵件bapcocrypt@ctemplar.com向勒索者發送電子郵件。（Bapco沒有回應WIRED的置評請求。）但是Dragos的Slowik指出，被EKANS瞄準的Fanuc自動化軟件通常用于管理制造設施中的設備，而不是石油公司。Slowik說：“這意味著那里還有其他受害者?！?/span>

基于部分Bapco的潛在定位，以色列安全公司Otorio上周聲稱EKANS實際上是伊朗政府資助的黑客的作品。畢竟據報道Bapco在12月下旬遭到了伊朗擦除器惡意軟件Dustman的攻擊，就在美國暗殺伊朗伊斯蘭革命衛隊下屬特種部隊“圣城旅”指揮官卡西姆·蘇萊曼尼（Qassem Soleimani）將軍導致與伊朗的緊張關系升級到斷裂點的幾天之前。

但是Dragos周一（2020.02.03）發表的報告與這一分析相矛盾，指出沒有證據表明Dustman攻擊和EKANS攻擊有關。Slowik指出EKANS與Megacortex的共同特征是其動機是犯罪而非政治。Megacortex的傳播遠比EKANS廣泛，并且被廣泛認為是網絡犯罪型勒索軟件。由于這兩個惡意軟件樣本似乎為同一個創建者，因此表明它們具有相同的意圖。

如果EKANS不是由國家資助的黑客（無論是伊朗人還是其他國家）的工作，那么通過某些措施，這將使其變得更加重要。與Megacortex一起，它將代表有史以來非國家網絡犯罪分子部署的首個工業控制系統惡意軟件。畢竟在過去，ICS惡意軟件僅限于高度復雜的情報機構，例如美國國家安全局和開發Stuxnet的以色列情報機構，其從2007年開始實施的破壞伊朗核濃縮計劃的活動，或來自俄羅斯的使用自動工具Industroyer或Crash Override的Sandworm黑客，其在2016年關閉基輔的電力供應。

EKANS可以表明，工業黑客的策略正向普通罪犯擴散。Slowik說：“這意味著非國家行為體對重大關鍵基礎設施實體產生重大影響或損害的意愿和能力在增強?！边@樣的想法一樣令人不安，相比伊朗黑客發動網絡戰爭攻擊其鄰居的物理基礎設施而言，網絡犯罪分子從事破壞這些物理基礎設施以牟取經濟利益，這更讓人感到前景堪憂。

三、緩解措施及建議

目前，Dragos還不知道EKANS如何在受害網絡中進行自我分發。抵制勒索軟件（例如EKANS）的主要防御措施首先是防止其到達網絡或在網絡中傳播。

3.1主機側

與其他一些最近的勒索軟件變種不同，EKANS沒有代碼簽名。因此，在控制系統網絡中實施控制以禁止執行未簽名的二進制文件可以減輕諸如此類的惡意軟件的執行。不幸的是，許多合法的供應商軟件包繼續以未簽名的形式分發，因此這種緩解策略在許多情況下可能不切實際。

與上述類似，但依靠更通用的機制，組織可以禁止或至少監視執行來自非標準或非更新來源的以前看不見的可執行文件。同樣，盡管給出了一些合法軟件包的創建和分發方式存在不完善之處，但這至少可以作為初始警報來提示進一步的調查，并可能限制惡意軟件在敏感網絡中的傳播。

具體來說，在ICS歷史數據庫操作的場景中，組織可以通過執行邏輯或監視歷史數據庫（例如本例中的GE Proficy）來識別多個端點停止通信的情況，并向歷史數據庫報告，從而潛在地識別正在進行的破壞性攻擊。同時。盡管系統可能仍然處于脫機狀態或受到損害，但在調查的早期識別此數據點將有助于事件的根本原因分析，比如通過標識潛在的ICS特定功能（例如在EKANS中顯示的功能）。

 盡管經常針對勒索軟件事件提供建議指導，但組織必須強調對重要文件和系統進行定期備份，并將其存儲在無法從常規網絡輕松訪問的安全位置。特別是對于ICS運行，備份必須包括最近的良好配置數據、項目文件和相關項目，以便在發生破壞性事件時能夠快速恢復。

3.2網絡側

在可能的情況下，確定通過網絡方式從企業網絡到控制系統機柜的未知二進制文件傳輸。盡管不完善，但確定可執行代碼何時進入ICS環境至少可以使防御者將此活動與其他可疑發現（例如新登錄或搗亂的登錄活動）相關聯，這些活動可能表明正在進行入侵。

Dragos的專業服務團隊與受勒索軟件攻擊破壞的公司進行深度合作。以下是從相關工業公司的勒索軟件事件中掌握的一些重要經驗教訓。

務必及時做好備份

許多勒索軟件攻擊也會影響備份基礎架構。在最近的一次勒索軟件事件中，Dragos做出了響應，攻擊者對Synology網絡連接存儲（NAS）進行了加密，該存儲作為服務器消息塊（SMB）共享安裝到所有系統上，以存儲備份。

幸運的是，一位工程師先前決定將備份副本復制到外部驅動器上。不幸的是，備份的時間大約為18個月，因此受害者丟失了很多生產數據，并且在此期間進行了工程改進和邏輯更改。除了維護脫機備份外，備份過程不僅應當考慮系統，還應考慮關鍵數據。例如，每三個月備份一次系統可能很好，但是可能需要一天或一小時才能獲得業務運營所需的關鍵數據。公司應確保根據重要性對這些信息進行識別和分類，并且如果所有系統都已加密，則這些信息將可用。此外，Dragos建議在進行任何重大變更后應備份邏輯。

不要忽略控制層

在工廠網絡上執行恢復工作時，主要重點可能是恢復監視控制，例如受影響的Windows資產。但是，攻擊者可能會使用勒索軟件來掩蓋次要過程的影響或掩蓋攻擊者的真實意圖。在最近的Dragos調查中，Dragos發現了攻擊者探測自動化控制器，可能是網絡枚舉和掃描的證據，但這很難驗證。在這種情況下，唯一可用的控制器邏輯可以追溯到18個月，因此執行邏輯驗證可以識別出許多意外更改，并且不清楚是攻擊者還是忘記記錄更改的操作員對此負責。

Dragos建議操作員確保頻繁備份控制器邏輯，并且在發生事故后可以使用一些程序來驗證邏輯。此外，資產所有者和運營商可能希望與供應商進行聯合調查，以識別控制器上可用的安全日志的類型。

及時響應尤其重要

實施勒索軟件攻擊的敵手會迅速采取行動。在許多情況下，對手對底層基礎結構或數據不感興趣，他們只是想盡快加密系統。在上述客戶勒索軟件事件中，響應者發現，從初始突破、獲取域管理員到全廠范圍勒索軟件部署之間的轉換時間不到24小時。在這種情況下，攻擊者在端點上丟棄了30多種工具，并強制使用了強制認證憑據。適當的監視和響應程序可以檢測到它們并阻止攻擊； 但是，響應者需要更迅速地采取行動。

參考資源

https://www.wired.com/story/ekans-ransomware-industrial-control-systems/

EKANS Ransomware and ICS Operations，2020.02.03，www.dragos.com

天地和興工控安全研究院 編譯

轉載來自：工業互聯網安全應急響應中心(微信號ICSCERT)