OT網絡攻擊技術新動向：真正的PLC勒索，防得了嗎？

當前，OT網絡攻擊技術也逐步深入工業底層，定向擦除，RTU勒索，PLC投毒，控制網絡深度橫向移動，技術復雜度正在深化;另一個趨勢是攻擊組織從秘密進程退化和間諜活動，逐步轉變為公開的網絡敲詐勒索(cyber extortion，Cy-X)，而PLC勒索正是OT網絡攻擊的最新技術動向。OT網絡安全從業者的共識表明，即使針對OT(操作技術)資產啟動基于加密的Cy-X技術，為工程流程設計的典型恢復實踐也將提供足夠的彈性。然后，一項新的研究成果表明，這種共識將面臨新的挑戰。Richard Derbyshire、Benjamin Green、Charl van der Walt和David Hutchison在上周發表在康奈爾大學策劃的研究共享平臺rXiv上的研究論文中，提出了一種稱為DM-PLC(Dead Man的PLC )的攻擊方法，僅使用現有功能，將整個環境視為受勒索的實體，所有資產不斷相互輪詢，以確保攻擊不被篡改，將任何偏差視為類似于Dead Man開關的爆炸觸發器。在經過學術同行評審和行業驗證的OT測試平臺上實施和評估了DM-PLC的概念證明，證明了該方法的惡意功效。該研究表明這是邁向可行的OT環境Cy-X的務實一步，承認通常所說的彈性過程并將其武器化。當然，研究者也從OT環境下的網絡、工程工作站、PLCs三個層面提出了相應的緩解此類攻擊的方法。

根據這篇論文的描述，DM-PLC是邁向可行Cy-X技術的實用第一步方法，該技術直接針對OT設備，同時規避現有響應和恢復策略的彈性。DM-PLC利用OT環境中的現有功能，同時創建一個由可編程邏輯控制器(PLC)和工程工作站(EW)組成的隱蔽監控網絡，不斷相互輪詢、監控攻擊行為的任何偏差，并拒絕受害者的配置訪問。

研究人員表示：“如果受害者試圖改變對手控制下的環境，或者沒有及時支付贖金，DM-PLC將激活類似于Dead Man開關的觸發器，導致所有PLC將其輸出設置為‘ON’狀態，從而導致受害者的物理環境發生混亂?！? “DM-PLC帶來的針對OT的攻擊符合新興對手(即網絡犯罪分子)的作案手法，并反映了從基于加密的Cy-X技術向更具創造性的勒索攻擊方式的轉變。這項工作強調了這樣一個事實：攻擊對手不需要大量投資、經驗或對PLC的復雜根級訪問來進行此類針對OT的網絡攻擊。”

也就是說，DM-PLC表明，攻擊對手可以通過簡單地使用針對受害者的現有通信和安全功能來勒索整個OT環境。

研究者的評估過程采用了DM-PLC方法的三種典型場景：1) 從網絡中移除PLC。2) DM-PLC贖金定時器到期。3) 受害者在“支付”贖金后輸入解密代碼。

在上述三個場景對DM-PLC方法的評估被認為是成功的，因為測試都取得了預期的結果。場景1和2的預期結果是所有適用的PLC和工程工作站通過將其輸出設置為“ON”來發出警報并造成操作影響，這已成功觀察到。對于場景3，預期的結果是DM-PLC的成功解除武裝，這也是觀察到的。然而，這并不意味著DM-PLC沒有其局限性。

DM-PLC方法的實際運用在兩個PLC和一個EW(工程工作站)上作為概念驗證進行了演示。然后，在經過學術同行評審和行業驗證的測試平臺上對DM-PLC進行擴展和評估，確定其優勢和局限性。為OT資產所有者提出了緩解技術，以保護自己將來免受此類攻擊。

DM-PLC專注于OT資產(主要是EW和PLC)之間現有的相互通信。然而，如果對手選擇，它可以擴展到其他OT資產，例如遠程終端單元(RTU)和人機界面(HMI)。

研究人員發現，從技術角度來看，EW通常是基于Windows的設備，具有企業IT資產中遇到的典型漏洞。EW的關鍵在于它通過工業配置軟件進行了增強，使其能夠通過工業協議進行通信并配置嵌入式OT設備，例如可以具有多種架構的PLC。這些設備通常具有最小的操作系統，例如Linux的修改版本，甚至是定制的實現，操作員和潛在對手都無法訪問這些操作系統。

研究人員表示：“然而，在操作員可以訪問的級別，有大量可用的功能，例如ICMP、SNMP服務器和HTTPS服務器?！? “PLC由EW上的工業配置軟件使用該軟件支持的工業協議進行編程。該程序由EW推送到PLC，控制PLC的工作以及它如何感知和控制物理過程。它可以用梯形邏輯等多種語言編寫，并且可以完全定制;然而，PLC供應商提供的默認庫函數是常用的?！?/span>

研究人員還詳細介紹了DM-PLC攻擊場景，其中現代對手在滲透到受害者的OT環境時似乎沒有遇到挑戰，并且從描述該過程中無法獲得任何價值或新穎性。因此，本文不關心部署DM-PLC之前的初始訪問或橫向移動。即假設攻擊對手已經完成了這些戰術并且已經就位。

研究顯示，不同組織之間的OT環境的物理和邏輯布局可能存在很大差異，而且不同部門之間的這種差異可能會進一步加劇。

DM-PLC將現有工作作為靈感和經驗教訓，尋求通過使用合法的、供應商提供的PLC功能來進一步發展OT Cy-X的現有概念。DM-PLC的關鍵功能是規避當前最佳實踐響應和恢復的彈性，因此刪除受影響的PLC并不是一種不會對受害者造成后果的選擇。這也意味著DM-PLC不得對操作過程產生負面影響，除非它被篡改或其贖金計時器已過期;如果攻擊過程很快造成負面影響或后果，可能會阻止受害者支付費用來代替更換受影響的設備。

高級DM-PLC需求的目標集可通過EW以最低限度的先決條件進行部署;與現有操作代碼并行運行;不影響現有的操作代碼;并且對篡改/響應和恢復過程具有彈性。該研究還包括篡改檢測;可能造成不良的廣泛的運營影響;需要一把鑰匙才能將控制權交還給系統所有者;并且可以在武器化之前進行測試。

總之，DM-PLC創建了一個由PLC和EW組成的隱蔽監控網絡，不斷地相互輪詢，如果對手控制下的任何資產偏離攻擊或支付超時窗口到期，就會觸發類似Dead Man開關的警報，該警報將在整個隱蔽監控網絡中傳播，并將所有輸出轉為“ON”狀態。這是通過僅使用現有的合法功能來實現的，這表明對手不需要針對OT開發復雜的漏洞，從而顯著降低OT網絡攻擊的潛在成本。

DM-PLC方法的成功實施意義重大。但畢竟DM-PLC方法還是存在其局限性，組織可以采取一些措施來更好地保護自己。這些技術不僅作為預防措施，而且還提供警報功能。加強網絡安全監測的事件通報，以及制定響應和恢復計劃，均是一些關鍵的措施。類似DM-PLC這類攻擊技術，隨著時間的推移而發展，使得事前預防措施無效的情況下，響應、恢復等彈性能力尤其重要。

這項研究提出的方法實實在在地向OT所有者和運營商發出了警告，表明這種攻擊是可行的，需要特別注意防范。這再次警告OT網絡安全工作者，延續現有的依賴重新利用IT安全概念的做法，將是行不通的?？尚械乃悸窇撌侵攸c關注OT的設計安全性，以便現有功能不能被武器化。

參考資源

1、https://industrialcyber.co/industrial-cyber-attacks/researchers-detail-dead-mans-plc-approach-that-works-towards-viable-cyber-extortion-for-ot-cybersecurity/

2、https://arxiv.org/pdf/2307.09549.pdf

3、https://industrialcyber.co/features/cybersecurity-to-be-baked-into-product-design-development-processes-rather-than-remain-afterthought/