?在對關鍵基礎設施和SCADA/ICS的網絡威脅中，一類針對工控系統的勒索軟件驗證模型，最近正變的流行起來。

　　2017年2月份佐治亞理工學院電氣和計算機工程學院的科學家們在有限的范圍內模擬了一個概念勒索軟件(LogicLocker)，主要目的是使用勒索軟件的攻擊手法來攻擊關鍵基礎設施、SCADA和工業控制系統。

　　2017年4月初，CRITIFENCE發布了勒索軟件驗證模型：ClearEnergy(中文譯名：能源清除)

　　2017年4月27日，安全周(Security Week )發表了一篇關于鎖住ICS固件來勒索的軟件 “Scythe”的文章。

　　在此，介紹一下最新的兩款勒索軟件：ClearEnergy、Scythe。

　　ClearEnergy主要利用PLC漏洞

　　CRITIFENCE的關鍵基礎設施和SCADA/ICS網絡威脅研究小組的科研人員發表聲明稱，發現兩個PLC漏洞：CVE-2017-6032和漏洞CVE-2017-6034。

　　CRITIFENCE安全研究員公布了供應商施耐德電氣公司的UMAS協議中的一個潛在安全漏洞。 UMAS協議似乎存在一個關鍵漏洞，該漏洞是由于協議會話密鑰設計不良，從而會導致身份驗證失效?！癠MAS是2.6系列中的Unity系列PLC和Unity OS中使用在管理控制層的內核級協議。 它依賴于Modicon Modbus協議，關鍵基礎設施，SCADA和工業控制系統中的通用協議，用于訪問從PLC到SCADA系統的未分配和分配的內存”。 令研究人員擔心的是，它可能在未來幾年內沒有辦法完全得到修復，因為它涉及到眾多的硬件和供應商。

　　據了解，施耐德電氣已經證實，Modicon系列PLC產品容易受到CRITIFENCE發現的漏洞所攻擊，并發布了重要的網絡安全通知。 國土安全部(ICS-CERT)也發布了一項重要的通知表示： 施耐德電氣確認的基本缺陷允許攻擊者輕松猜測一個弱(1字節長度)的會話密鑰(256種可能性)，甚至可以嗅探。 使用會話密鑰，攻擊者能夠完全控制控制器，讀取控制器的程序并用惡意代碼重寫。

　　在2017年4月初，CRITIFENCE發布了勒索軟件驗證模型，基于清除PLC的梯形邏輯圖的勒索軟件攻擊的原型。又名能源清除(ClearEnergy)。

　　ClearEnergy以強大的加密算法感染計算機并加密其內容，然后要求贖金來解密該數據。

　　ClearEnergy旨在破壞關鍵基礎設施，SCADA和工業控制系統中的過程自動化邏輯。如核電廠和設備廠，水和廢物設施，運輸基礎設施等。一旦在受害機器上執行ClearEnergy，它將搜索易受攻擊的可編程邏輯控制器(PLC)，以便從PLC抓取梯形圖邏輯圖，并嘗試將其上傳到遠程服務器。最后，ClearEnergy將啟動一個定時器，它將觸發一個進程，在一小時后從所有PLC中擦除邏輯圖，除非受害者愿意支付贖金來停止攻擊。

　　ClearEnergy影響了世界上最大的SCADA和工業控制系統制造商的大量PLC型號。施耐德電氣，AB，通用電氣(GE)以及更多廠商都容易受到ClearEnergy的傷害。

　　影響范圍：包括Schneider Electric Unity系列PLC和2.6版以及更高版本的Unity OS，其他領先供應商的PLC型號包括GE和Allen-Bradley(MicroLogix系列)，這些產品也被發現易受ClearEnergy攻擊的破壞。

　　值得注意的是ClearEnergy的關鍵部分(雖然不是完整部分)在GitHub上開源。任何人都可以下載獲得并修改。

　　ClearEnergy概念模型的運行界面如下：

　　ULKG的運行界面：

　　MRCT的運行界面：

　　Scythe主要利用固件繞過漏洞

　　2017年4月27日，安全周(Security Week)發布了一篇題為“ New SCADA Flaws Allow Ransomware, Other Attacks ”的文章，該文章源于ICS安全公司Applied Risk 于2017年新加坡ICS網絡安全會議的演講。該演講和文章強調了ICS ransomware，該公司稱之為“Scythe”。

　　“Scythe”攻擊目標是“SCADA設備”?？梢岳霉碳炞C繞過漏洞，并鎖住升級更新固件的功能?！癝cythe”的ransomware攻擊也可以針對不顯眼的SCADA設備，并且可能被認為風險較小。

　　應用風險開發和演示的攻擊場景將從攻擊者掃描Web的潛在目標開始。據Ariciu介紹，許多設備可以使用Shodan搜索引擎進行識別，但通過簡單的Google搜索可以找到更多的目標。

　　作者Ariciu已經對來自不同供應商的四臺設備進行了測試，發現可以直接從互聯網訪問近10,000個系統。研究人員表示，這些系統中的大多數都缺少任何身份驗證機制，方便訪問。

　　該攻擊依賴于固件驗證繞過漏洞，可以利用該漏洞將惡意軟件替換為合法固件。在Applied Risk描述的ransomware場景中，攻擊者連接到目標設備的接口，為目標設備的配置創建一個備份，并安裝可以破壞常規進程的固件。

　　受害者看到受感染的設備已經斷開連接，當他們訪問它進行分析時，他們會收到ransomware消息。

　　Scythe勒索軟件的勒索界面如下：

　　為了防止受害者恢復固件，攻擊者可以“禁用”固件和配置更新功能。在大多數情況下，“恢復出廠設置”功能不會減輕攻擊，因為進程不會恢復原始固件。不過，黑客也可以禁用此功能。

　　雖然Ariciu描述的攻擊防止受害者恢復固件，但如果受害者支付贖金，攻擊者仍然可以恢復設備及其配置。這是因為固件更新功能實際上沒有被禁用。用戶需要知道固件文件的名稱才能啟動更新。如果攻擊者分配了32個字符或更多的隨機文件名，那么受害者將無法確定它來進行固件更新。

　　研究人員已經警告說，一旦確定特定設備如何被入侵，攻擊者就可能通過利用供應商提供的固件更新實用程序來發起大規模攻擊。

　　受到警告的用戶表示，他們從未考慮進行配置備份，特別是因為這些設備在部署后很少被重新配置。但是，考慮到花費大量時間配置設備，丟失配置可能會產生嚴重的后果。

　　受影響的四家公司表示。這些設備的價格介于€300至€1,000之間，也就是說設備的價格很貴。其中有兩家廠商承認固件驗證繞過漏洞的嚴重性。但他們表示，修復安全漏洞并不是一件容易的事情，他們仍然在尋求解決問題的最佳方法。

　　商業模式與勒索軟件的博弈

　　在2017年1月下旬，據報告，勒索軟件感染了一個豪華的奧地利酒店，阻止了給客人制作新的房間鑰匙卡，基本上鎖定他們的房間。由于每個酒店房間每晚花費高達幾百美元，受害者決定支付大約1600美元的攻擊者來恢復系統并繼續正常的業務操作。

　　雖然PLC、ICS網絡到目前為止沒有受到惡意勒索軟件的攻擊。但不是因為他們更安全，而是犯罪份子在之前的很長一段時間里沒有找到一個合適的商業模式。隨著網絡犯罪分子明顯抓住勒索軟件的盈利能力，他們似乎開始將ICS網絡視為下一個潛在的受害者，因為這些系統很少受到特別的保護。

　　針對工控系統里的勒索軟件發展速度如此的快，在兩個月的時間里：從LogicLocker到ClearEnergy的功能已經比較完善了，再到Scythe的出現。這是值得引起我們警示的。設備商、用戶、安全廠商都要提前做好防御措施，才能在未來打好這場硬仗。