Не тушите свет: как защитить АСУ ТП от атак с Industroyer и подобным ВПО

Не тушите свет: как защитить АСУ ТП от атак с Industroyer и подобным ВПО

Автоматика и оборудование, отвечающее за подачу электроэнергии, оказались недоступны, так как киберпреступники очистили на них всю конфигурацию, лишив операторов возможности управлять системой.

image

Автор: Андрей Прошин, руководитель направления по развитию бизнеса услуг и сервисов SOC компании «Ростелеком-Солар».

“В ночь с 17 на 18 декабря в нескольких районах Киева и прилегающих районах Киевской области произошло отключение электричества...” Так начинается большинство заметок про вызванную кибератакой аварию 2016 года на подстанции “Пивнична” (330 кВ) в украинском селе Новые Петровцы. Исследователи назвали вредоносное ПО, которое использовали хакеры, Industroyer или Crashoverride.

Автоматика и оборудование, отвечающее за подачу электроэнергии, оказались недоступны, так как киберпреступники очистили на них всю конфигурацию, лишив операторов возможности управлять системой. К счастью, украинским коллегам, которые на тот момент находились непосредственно на объекте, удалось быстро восстановить работу подстанции за счет ручного управления.

Изучив данные, опубликованные по этой атаке, можно сделать несколько важных выводов:

  • атака являлась целенаправленной, то есть злоумышленникам необходимо было разработать индивидуальный инструментарий, изучив особенности реализации АСУ ТП на данном объекте. Все это требовало от них времени, высоких трудозатрат, экспертизы и инвестиций, что говорит о высоком уровне подготовки и мотивации киберпреступников;
  • киберпреступники находились внутри сети от 2х до 12 месяцев до самой атаки. Это время потребовалось им необходимо для исследования сети и подготовки атаки;
  • изначальное проникновение происходило через корпоративную сеть и, несмотря на сегментацию между OT- и ИТ-сетями, были найдены точки входа и хосты, имеющие доступ к обеим сетям;
  • злоумышленники использовали распространенные средства и методы, которые часто используются на начальном этапе атак на корпоративные сети: фишинг, утилиты кражи учетных данных (Mimikatz и аналоги), эксплуатация уязвимостей, сканирование сети, манипуляции с учетными данными и т.д.;
  • вредоносное ПО (Industroyer) является модульным и может быть модифицировано под атаки на другие типы промышленных объектов.
Как же обнаружить действия киберпреступников на разных этапах реализации подобной атаки? Какие источники событий необходимо подключить к центру мониторинга и реагирования на кибератаки (Security Operations Center, далее SOC) и какие сценарии детектирования необходимы? Постараемся ответить на эти вопросы ниже.

Как хакеры атакуют АСУ ТП

Атаки на АСУ ТП отличаются от атак на ИТ-инфраструктуру, хотя и имеют схожие принципы. На данный момент широко используются две методологии для описания действий киберпреступников в промышленных сетях:

Первая – Cyber Kill Chain, разработанная компанией Lockheed Martin в 2011 году. Изначально, согласно методологии, кибератака делилась на 7 стадий, но в 2015 года для сегмента АСУ ТП модель была дополнена еще 5 стадиями:

Рисунок 1.png Этап 1 описывает действия злоумышленника в корпоративной сети и завершается проникновением в промышленный сегмент сети.

Этап 2 описывает действия в сети АСУ ТП и завершается атакой на киберфизические системы и процессы.

Такое деление позволяет провести анализ атаки, структурировать подход как к применению защитных мер, так и мер по обнаружению и реагированию на возникающие инциденты.

Вторая – MITRE ATT&CK, которая уточняет модель Cyber Kill Chain и вводит понятия техник и тактик, используемых киберпреступниками на каждом этапе. Изначально компания Mitre выпустила 3 отдельные модели для разных типов систем: Enterprise (корпоративные сети), Mobile (мобильные технологии) и ICS (АСУ ТП). Но современные промышленные сети строятся с применением стандартных АРМ (автоматизированные рабочие места) инженеров/технологов/операторов и серверов, на которых работает специализированное ПО для управления промышленным оборудованием, контроллерами и сенсорами. Это подразумевает использование Microsoft Windows, Linux OC, SQL-серверов для организации Historian и других компонентов. Таким образом, в АСУ ТП и в корпоративных сегментах злоумышленники используют схожие техники и методы. Поэтому недавно Mitre объявила об объединении модели Enterprise (корпоративной сети) и ICS (АСУ ТП) в новую гибридную матрицу ATT&CK.

Рисунок 2.png

Рис. 2. Методология MITRE Enterprise + АСУ ТП

Далее мы будем использовать обе рассмотренные методологии для детального анализа Industroyer.

Как реализована атака Industroyer

Основные этапы Industroyer можно представить в виде следующей схемы (включая ссылки на техники и тактики, описанные в MITRE):

Рисунок 3.png

Первичная компрометация заключалась в успешной атаке на ИТ-инфраструктуру компании и дальнейшее закрепление в ней. Скорее всего, первым шагом злоумышленников была целевая фишинговая почтовая рассылка на энергетические компании Украины в начале 2016 года. После этого они обнаружили сервер, который был подключен как к ИТ-, так и к ОТ-сети. Им оказался Data Historian сервер на базе Microsoft Windows Server с запущенным MS SQL-сервисом.

Перечисленные шаги привели к следующим последствиями для АСУ ТП:

  • персонал лишился возможности отслеживать состояние системы (Loss of View – T0829) и управлять ей (Loss of Conrol – T0827);
  • хакеры получили доступ к электротехническому оборудованию (выключатели/ разъединители цепи) и смогли управлять им (Manipulation of Control – T0831);
  • АСУ ТП, в свою очередь, получала неверное значение/статус с оборудования (“Primary Variable out of Limits”) и не могла корректно отображать информацию (Manipulation of View – T0832);
  • DoS-атака привела к недоступности системы релейной защиты Siemens SIPROTEC (Loss of Safety – T0880);
  • из-за блокировки COM-портов персонал лишился возможности управления (Denial of Control - T0880) и мониторинга оборудования (Denial of View - T0815) напрямую.

Действия злоумышленников увенчались успехом благодаря широким возможностям вредоноса Industroyer, который был разработан специально для этой атаки. Схематично его возможности можно представить следующим образом:

Рисунок 4.png

Упрощенная схема Industroyer, отчет компании Eset


Давайте разберем особенности работы каждого из компонентов. Эта информация будет полезна в дальнейшем для разработки подходов и техник для своевременного детектирования этой и подобных атак:

Компонент

Техника

Описание

Основной бэкдор

C&C (TOR) Использует HTTPS + TOR для соединения с C&C-сервером. При этом используется локальный прокси-сервер в сети атакуемой компании

Установка службы

При наличии административных привилегий устанавливает себя как сервис в Windows

Остановка / запуск процессов

Имеет возможность останавливать / запускать другие процессы в системе

Использование “нестандартных” каталогов

Для работы использует не типичные для запуска программ каталоги, в которые можно писать без прав локального администратора. В том числе: c:\users\public или с:\users\<executing user>

Изменение конфигурации текущих служб

Чтобы избежать детектирования, может скрываться за другим процессом, меняя значения ImagePath в реестре на свой бинарный файл

Дополнительный бэкдор

C&C

Использует другие серверы C&C для сохранения возможности управления в случае блокировки основного бэкдора

Masquerading / замена легитимного ПО на вредоносное

Представляет собой троянизированную версию Windows Notepad. Это полнофункциональное приложение, но вирусописатели добавили в него вредоносный код, который выполняется при каждом запуске.

Launcher

Загрузка и запуск DLL

Может загружать разные payload и запускать соответствующий DLL и конфигурационный файл

Отдельный процесс

Является отдельным исполняемым файлом (EXE)

Компонент IEC-101

Остановка легитимного процесса и замена его на свой

Пытается остановить легитимный процесс, управляющий RTU, и заменить его на себя. Компонент 101 пытается завершить этот процесс и обращается к указанному устройству, используя функции Windows API CreateFile, WriteFile и ReadFile. Первый СОМ-порт из файла конфигурации используется для фактической связи, два остальных – открыты, чтобы предотвратить обращение других процессов. Таким образом, компонент 101 может взять на себя управление устройством RTU

Взаимодействие с RTU (через COM-порт)

Пытается изменить параметры RTU, для чего выполняет итерацию по всем диапазонам IOA. Для каждого IOA создает пакет команд и отправляет их на устройство RTU. Основная цель компонента – изменить значение выключателя. На первом этапе он пытается переключить IOA в состояние Off, на втором – On, на заключительном – вернуть в значение Off.

Компонент IEC-104

Остановка легитимного процесса

Пытается остановить легитимный процесс, управляющий RTU. По умолчанию, это D2MultiCommService.exe или другой процесс, указанный в конфигурации

Взаимодействие с RTU (через TCP/IP)

Пытается подключиться к RTU и изменить его параметры с использованием функций самого протокола IEC-104. Для этого сначала исследует доступные IOA, затем пытается изменить их значение

Создание лог-файла на файловой системе

Для отправки результатов злоумышленнику, компонент IEC-104 ведет лог-файл о своей работе

Компонент IEC 61850

Запуск процессов

Существует в виде отдельного исполняемого файла (61850.exe) и DLL (61850.dll)

Сканирование устройств

Определяет IP-адреса всех интерфейсов и сканирует все найденные сети на возможность подключения по TCP 102

Взаимодействие с RTU (через TCP/IP)

Подключается к RTU для сбора информации об устройстве и его состоянии

Создание лог-файла на файловой системе

Компонент записывает в лог-файл все собранные данные (IP-адреса, значения переменных и состояние узла)

Компонент OPC DA

Запуск процесса

Это отдельный вредоносный инструмент OPC.exe и OPCClientDemo.dll. Предположительно основан на проекте с открытым исходным кодом OPC Client. Запускается удаленно с помощью xp_cmdshell

Сканирование устройств

Используя протокол OPC DA, определяет доступные OPС серверы, ищет информацию по устройствам ABB (IOPCBrowseServerAddressSpace)

Изменение конфигурации

Пробует изменить состояние обнаруженных элементов OPC с помощью интерфейса IOPCSyncIO, прописывая значение 0x01 дважды

Создание лог-файла на файловой системе

Записывает в лог-файл все собранные данные (имя OPC-сервера, состояние имени элемента OPC, код качества и значение)

Уничтожение данных (data wiper)

Запуск процесса

Имя файла этого компонента haslo.dat или haslo.exe, он может быть исполнен компонентом запуска, либо использован в качестве отдельного вредоносного инструмента

Изменение конфигурации сервисов

устанавливает значение реестра ImagePath с пустой строкой в каждой обнаруженной записи в ветке реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

Удаление важных файлов

Сканирование всех подключенных жестких дисков и удаление важных конфигурационных файлов (pcmp, .paf и т.д.)

Остановка легитимного процесса

пробует завершить все процессы, включая системные, кроме собственного. Это приведет к тому, что система перестанет отвечать и в итоге выйдет из строя

Дополнительный инструмент:

Сканер сети

Скан портов

Работает аналогично сканеру сети NMAP

Дополнительный инструмент:

DoS-модуль

Эксплуатация уязвимостей

Инструмент эксплуатирует уязвимость CVE-2015-5374, чтобы вызвать зависание устройства

Переход в firmware update режим

DoS переводит устройство в режим Firmware Update


Используя новую гибридную модель MITRE для атак на АСУ ТП, Industroyer можно визуализировать следующим образом:
Рисунок 5.png

Как противостоять Industroyer

Как видно из предыдущего описания, хоть атака и является компонентной, ее сложное исполнение дает специалистам службы ИБ время и возможность детектировать действия хакеров по косвенным признакам, аномалиям в работе сети, хостов и приложений и по сигналам, поступающим с различных средств защиты.

Конечно, лучше не допускать проникновение злоумышленников в вашу корпоративную и промышленную сеть, максимально осложнив развитие атаки. Для этого необходимы следующие технические и организационные меры:

  • сегментация между ИТ- и ОТ-сетями;
  • инвентаризация используемого оборудования и ПО в АСУ ТП;
  • использование встроенных средств безопасности в АСУ ТП системах;
  • наличие антивирусных средств на хостах (АРМ и серверах);
  • работа над повышением осведомленности персонала в области ИБ (Security Awareness);
  • продуманная парольная политика;
  • налаженный процесс управления уязвимостями;
  • установка NGFW, IPS/IDS в ИТ-сети на периметре и между ИТ/ОТ;

Кроме этого, важно своевременно обнаружить и оперативно среагировать на действия киберпреступников. Для этого потребуется SOC и необходимые для его работы системы (SIEM, TIP, EDP/EDR, NAD и другие), которые станут для ИБ-специалистов источниками ценных данных. SIEM при этом должна быть настроена на определение перечисленных последовательностей событий, а SOC подготовлен к детектированию, анализу и реагированию на эти события.

Атаки подобные Industroyer организованы профессиональными злоумышленниками с высокой квалификацией, которые ведут себя максимально незаметно и пытаются избежать детектирования имеющимися средствами ИБ. Для их обнаружения в инфраструктуре рекомендуем, помимо полноценного мониторинга ИТ-сети, подключать и анализировать события с большого количества источников в АСУ ТП, включая:

  • операционные системы АРМ и серверов SCADA;
  • сетевое оборудование (коммутаторы, маршрутизаторы, межсетевые экраны);
  • наложенные средства защиты (антивирусное ПО, IDS на хостах);
  • специализированные средства защиты информации для промышленных сетей (IDS);
  • логи c контроллеров (ПЛК, РСУ) и прикладного программного обеспечения (SCADA, Data Historian).

Это позволит обнаружить мельчайшие ошибки киберпреступников. Чем раньше SOC обнаружит их действия, тем быстрее сможет их нейтрализовать (удалить из сети) и тем меньше потенциальных потерь понесет компания в целом и АСУ ТП, в частности.

То есть SOC должен:

  • видеть как можно больше событий ИБ;
  • иметь правила детектирования на всей цепочке ICS Kill Chain / MITRE ATT&CK;
  • иметь достаточно экспертизы в части аналитики для своевременного и корректного реагирования на возникший инцидент.

Все три пункта относятся к ИТ- и ОТ-сетям одновременно. Вопрос мониторинга в ИТ-сетях был описан уже не один раз, а вот на теме ОТ стоит остановиться чуть подробнее. Дополним таблицу с техниками, которые были использованы Industroyer, возможными сценариями детектирования и необходимыми источниками событий:

Техника

Описание

Источники событий

Сложность реализации

Сценарии детектирования

Основной Бэкдор

C&C (TOR)

Использует HTTPS + TOR для соединения с C&C-сервером. При этом используется локальный прокси-сервер в сети атакуемой компании

Firewall Прокси

СОВ

Средняя: зависит от наличия документации на систему (необходимые доступы и протоколы)

Профилируются сетевые подключения от АРМ ко всей инфраструктуре. Исключение из профиля – алерт.

Низкая

Использование Threat Intelligence (TI).

При обнаружении сетевых подключений к C&C/TOR – алерт.

Рекомендуется запускать TI на всей инфраструктуре, а не только в сегменте АСУ ТП, так как бэкдор может использовать промежуточные серверы как прокси.

Низкая

Настройка алертов по соответствующим категориям СЗИ.

Установка службы

При наличии административных привилегий устанавливает себя как сервис в Windows

Windows

Средняя: потенциально много ложных срабатываний

Установка службы или изменение соответствующих веток реестра.

Средняя: сложность детектирования для случаев svchost

Улучшенный вариант первого алерта: есть дополнительные фильтры на имена запускаемых процессов (powershell, cmd и т.д.) и на расположение.

Но вредоносное ПО часто запускается как svchost, и в этом случае правило детектирования требует доработок.

Остановка/запуск процессов

Может останавливать/

запускать другие процессы в системе

Windows

Средняя: потенциально много легитимной активности

Определение событий остановки процесса в Windows.

Важно:

- сценарий не работает на Windows 8.1 и выше;

- требует дополнительной проверки на остановку процесса при выключении хоста.

Лучше реализовывать через проверки в системе IT-мониторинга (Zabbix и проч.)

Использование “нестандартных” каталогов

Для работы использует не типичные для запуска программ каталоги, в которые можно писать без прав локального администратора. В том числе c:\users\public или с:\users\<executing user>

Sysmon

Endpoint Protection

Высокая: длительное профилирование

Профилируются факты запуска процессов в ОС Windows (host, user, image path).

Рекомендуется делать исключения на динамические пути.

Изменение конфигурации текущих служб

Может скрываться за другим процессом (путем изменения значения ImagePath в реестре на свой бинарный файл)

Windows

Endpoint Protection

Низкая

Изменение соответствующих веток реестра (ImagePath)

Дополнительный Бэкдор

C&C

Использует другие серверы C&C для сохранения возможности управления в случае блокировки основного бэкдора

Firewall Прокси

СОВ

Средняя: зависит от наличия документации на систему (необходимые доступы и протоколы)

Профилируются сетевые подключения от АРМ ко всей инфраструктуре. Исключения из профиля - алерт

Низкая

Использование TI. При обнаружение сетевых подключение к C&C/TOR – алерт.

Рекомендуется запускать на всей инфраструктуре, а не только в сегменте АСУ ТП, так как бэкдор может использовать промежуточные серверы как прокси.

Низкая

Настройка алертов по соответствующим категориям СЗИ

Masquerading/ замена легитимного ПО на вредоносное

Представляет собой троянизированную версию Windows Notepad. Это полнофункциональное приложение, в которое добавлен вредоносный код, выполняемый при каждом запуске.

Windows

Sysmon

Endpoint Protection

Высокая: длительное профилирование

Создание профиля запускаемых легитимных процессов в ОС Windows (host, user, image path) и сравнение запускаемых процессов с профилем

Низкая

Запуск системных процессов из нестандартных директорий

Низкая

Использование механизма Application Control на Endpoint Protection решении

Launcher

Загрузка и запуск DLL

Может загружать разные payload и запускать соответствующий DLL и конфигурационный файл

Sysmon

Endpoint protection

Средняя: длительное профилирование

Отслеживание событий загрузки неподписанной DLL-библиотеки в запускаемый процесс.

В общем случае, потребуется профилирование используемых сертификатов в системе, так как злоумышленники могут подписать DLL доступными сертификатами (comodo и т.д.)

Отдельный процесс

Является отдельным исполняемым (EXE) файлом

Windows Event Log

Высокая: длительное профилирование

Создание профиля запускаемых легитимных процессов в ОС Windows (host, user, image path) и сравнение запускаемых процессов с профилем

Низкая

Использованием механизма Application Control на Endpoint Protection решение

Компонент IEC-101

Остановка легитимного процесса и замена его на свой

Пытается остановить легитимный процесс, управляющий RTU, и заменить его на себя. Компонент 101 пытается завершить этот процесс и обращается к указанному устройству, используя функции Windows API CreateFile, WriteFile и ReadFile. Первый СОМ-порт из файла конфигурации используется для фактической связи, два остальных открыты, чтобы предотвратить обращение других процессов. Таким образом, компонент 101 может взять на себя управление устройством RTU.

Windows

Высокая

Определение событий остановки процесса в Windows.

Важно:

- не работает на Windows 8.1 и выше.

- необходимы доп. проверки на остановку службы при выключении хоста.

Лучше реализовывать через проверки в системе IT-мониторинга (Zabbix, например).

Взаимодействие с RTU (через COM порт)

Пытается изменить параметры RTU, для этого выполняет итерацию по всем диапазоном IOA. Для каждого IOA создает пакет команд и отправляет на устройство RTU. Основная цель компонента – изменить значение выключателя. На первом этапе компонент пытается переключить IOA в состояние Off, на втором – On, на заключительном – вернуть в значение Off.

Логи ПЛК

Endpoint Protection

Высокая: интеграция с конкретными типом ПЛК (могут отличаться возможности логирования)

На текущий момент времени нет примеров явного обнаружения такого события. Каждый раз нужно разрабатывать свою логику сценария в зависимости от возможностей логирования на ПЛК и АРМ.

Создание лог-файла на файловой системе

Для отправки результатов злоумышленнику, компонент IEC-104 ведет лог-файл о своей работе.

Sysmon

Endpoint Protection

Низкая (но и низкая эффективность)

Использование специфичных IoC для поиска названия файлов, создаваемых в ОС.

Компонент IEC-104

Остановка легитимного процесса

Пытается остановить легитимный процесс, управляющий RTU. По-умолчанию, это D2MultiCommService.exe или другой процесс, указанный в конфигурации.

Windows

Высокая

Определение событий остановки процесса в Windows.

Важно:

- не работает на Windows 8.1 и выше.

- необходимы доп. проверки на остановку службы при выключении хоста.

Лучше реализовывать через проверки в системе IT-мониторинга (Zabbix, например).

Взаимодействие с RTU (через TCP/IP)

Пытается подключиться к RTU и изменить его параметры с использованием функций самого протокола IEC-104. Для этого сначала исследует доступные IOA, затем пытается изменить их значение.

Firewall СОВ

Низкая

Обработка алертов соответствующих СЗИ (события сканирования).

Средняя

На основе логов МЭ проверка кол-ва уникальных хостов\портов с одного хоста-источника за нужный интервал времени.

Для запуска рекомендуется ограничивать список портов, по которым идет проверка "сканирования". Это позволит снизить нагрузку на SIEM и повысить точность обнаружения.

Создание лог-файла на файловой системе

Для отправки результатов злоумышленнику, компонент IEC-104 ведет лог-файл о своей работе.

Sysmon

Endpoint Protection

Низкая (но и низкая эффективность)

Использование специфичных IoC для поиска названия файлов, создаваемых в ОС.

Компонент IEC 61850

Запуск процессов

Существует в виде отдельного исполняемого файла (61850.exe) и DLL (61850.dll).

Windows

Sysmon

Endpoint Protection

Высокая

Профилируются факты запуски процессов в ОС Windows (host, user, image path)

Рекомендуется делать исключения на динамические пути.

Сканирование устройств

Есть функция сканирования: определяет ip-адреса всех интерфейсов и сканирует все найденные сети на возможность подключения по TCP 102.

Firewall СОВ

Низкая

Обработка алертов соответствующих СЗИ (события сканирования).

Низкая

На основе логов МЭ проверка количества уникальных хостов\портов с одного хоста-источника за нужный интервал времени.

Для запуска рекомендуется ограничивать список портов, по которым идет проверка "сканирования". Это позволит снизить нагрузку на SIEM и повысить точность обнаружения.

Взаимодействие с RTU (через TCP/IP)

Подключается к RTU для сбора информации об устройстве и его состоянии.

СОВ

Низкая

Обработка алертов соответствующих СЗИ – передача команд, разбор соответствующих протоколов, алерты на отклонения от "стандартного" набора команд и т.д.

Создание лог-файла на файловой системе

Компонент записывает в лог-файл все собранные данные (ip-адреса, значения переменных и состояние узла).

Sysmon

Endpoint Protection

Низкая (но и низкая эффективность)

Использование специфичных IoC для поиска названия файлов, создаваемых в ОС.

Компонент OPC DA

Запуск процесса

Отдельный вредоносноый инструмент OPC.exe и OPCClientDemo.dll. Предположительно основан на проекте с открытым исходным кодом OPC Client.

Запускается удаленно с помощью xp_cmdshell

Windows

Sysmon

Endpoint Protection

Высокая

Профилируются факты запуска процессов в ОС Windows (host, user, image path).

Рекомендуется делать исключения на динамические пути.

Сканирование устройств

Используя протокол OPC DA, определяет доступные OPС-серверы, ищет информацию по устройствам ABB (IOPCBrowseServerAddressSpace)

СОВ

Низкая

Обработка алертов соответствующих СЗИ: события сканирования

Изменение конфигурации

компонент OPC DA пробует изменить состояние обнаруженных элементов OPC при помощи интерфейса IOPCSyncIO, прописывая значение 0x01 дважды

СОВ

Низкая

Обработка алертов соответствующих СЗИ: изменение параметров

Создание лог-файла на файловой системе

Компонент записывает в лог-файл все собранные данные (имя OPC-сервера, состояние имени элемента OPC, код качества и значение)

Sysmon

Endpoint Protection

Низкая (но и низкая эффективность)

Использование специфичных IoC для поиска названия файлов, создаваемых в ОС

Уничтожение данных (data wiper)

Запуск процесса

Имя файла этого компонента haslo.dat или haslo.exe, он может быть исполнен компонентом запуска, либо использоваться в качестве отдельного вредоносного инструмента.

Windows

Sysmon

Endpoint Protection

Высокая

Профилируются факты запуски процессов в ОС Windows (host, user, image path)

Рекомендуется делать исключения на динамические пути

Изменение конфигурации сервисов

Устанавливает значение реестра ImagePath с пустой строкой в каждой обнаруженной записи в ветке реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

Windows

Sysmon

Endpoint Protection

Низкая

Изменение соответствующих веток реестра (параметр image path)

Удаление важных файлов

Сканирование всех подключенных жестких дисков и удаление важных конфигурационных файлов (pcmp, paf и т.д.)

Windows

Endpoint Protection

Низкая

Контроль массового изменения или удаления критичных файлов (в рамках настройки и особенностей работы приложений, при конфигурации системы для мониторинга)

Остановка легитимного процесса

Пробует завершить все процессы, включая системные, кроме собственного. Это приведет к тому, что система перестанет отвечать и в итоге выйдет из строя

Windows

Высокая

Определение событий остановки процесса в Windows.

Важно:

- сценарий не работает на Windows 8.1 и выше.

- требует дополнительной проверки на остановку службы при выключении хоста.

Лучше реализовывать через проверки в системе IT-мониторинга (Zabbix, например)

Доп. Инструмент: Сканер портов

Скан портов

Работает аналогично NMAP

FW

СОВ

Низкая

Обработка алертов соответствующих СЗИ: события сканирования

Низкая

На основе логов МЭ проверка количества уникальных хостов\портов с одного хоста-источника за нужный интервал времени.

Для запуска рекомендуется ограничивать список портов, по которым идет проверка "сканирования". Это позволит снизить нагрузку на SIEM и повысить точность детектов

Доп. Инструмент: DoS модуль

Эксплуатация уязвимостей

Инструмент эксплуатирует уязвимость CVE-2015-5374, чтобы вызвать зависание устройства.

СОВ

Низкая

Обработка алертов соответствующих СЗИ

Переход в Firmware Update режим

DoS переводит устройство в режим Firmware Update

Логи ПЛК

СОВ

Низкая

Обработка алертов соответствующих СЗИ: отправка команды FIRMWARE UPDATE

Высокая: интеграция с конкретным типом ПЛК (могут отличаться возможности логирования)

Определение команды на основании логов ПЛК. Однако в зависимости от вендора и версии они могут не содержать достаточной информации (пользователя, IP-адреса и т.д.).

Помимо корректной настройки средств защиты и детектирования, также важна своевременная и квалифицированная реакция на атаку со стороны ИБ-специалиста. Одна из главных трудностей при борьбе с атаками подобными Industroyer заключается в том, что области IТ и ОТ имеют существенные различия. Аналитик должен знать как работают промышленные протоколы, из каких компонентов состоят системы, к чему могут привести те или иные действия злоумышленника, а также иметь общее преставление о технологических процессах в компании. В «Ростелеком-Солар», например, специалисты Solar JSOC проходят обучение на базе стендов, а также повышают свою квалификацию в рамках обмена знаниями и создания базы знаний. Кроме того, в подключении конкретной АСУ ТП к мониторингу всегда принимают участие наши специалисты по защите АСУ ТП, а с существующими заказчиками мы периодически организуем киберучения и Red Teaming.

Заключение

Атака Industroyer была нацелена на электроэнергетические компании, но схожие методы и техники злоумышленники могут применять в разных отраслях экономики. Комбинация функций детектирования/реагирования на кибератаки на базе SOC и правильное внедрение технически-организационных мер по защите инфраструктуры позволит значительно снизить вероятность успешного выполнения кибератаки.

В частности, SOC должен одновременно видеть и ИТ-инфраструктуру, и производственные сети. Особенно важной задачей является обнаружение атаки на ранних стадиях Cyber Kill Chain, так как в момент уничтожения данных или отправки команд на ПЛК что-либо предпринимать будет уже поздно. Именно поэтому аналитикам SOC должны быть доступны события и логи как с разнообразного ИТ-оборудования/ПО, так и из промышленного сегмента, включая ПЛК, АРМ, прикладное ПО, серверы SCADA и Historian, контроллеры домена, сетевое оборудование, специализированные СЗИ.

Мониторинг АСУ ТП имеет свою специфику, однако общие принципы схожи с детектированием атак в ИТ-инфраструктуре. Тем не менее для аналитиков SOC необходимо проводить обучение для понимания общих принципов работы промышленных систем и особенностей применения в них протоколов и технологий.

В пятом выпуске мы расскажем о кибератаках на Pfizer, SolarWinds, а также о масштабных хищениях с помощью изощренных взломов. Новый обзор в нашем Youtube канале!