行業(yè)動態(tài)

一組工控蜜罐招來四個零日攻擊

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2020-06-23    瀏覽次數(shù):
 

信息來源:安全牛


一個蜜罐引來四次零日攻擊,這就是工控系統(tǒng)安全性的血淋淋現(xiàn)狀,而且這還是全球普遍現(xiàn)象。

近日,為了研究當今工業(yè)控制系統(tǒng)面臨的安全威脅,研究人員使用了一個由120個高交互性蜜罐組成的虛假工業(yè)基礎(chǔ)設(shè)施網(wǎng)絡(luò),部署在22個國家/地區(qū),模仿可編程邏輯控制器(PLC)和遠程終端單元。

在13個月的時間內(nèi),攻擊者與蜜罐進行了80,000次交互(主要是掃描),并且有9次交互惡意使用了工業(yè)協(xié)議。

雖然這聽起來可能是一個小數(shù)目,但九次惡意交互中就有四次使用了前所未知的攻擊(零日漏洞攻擊),其中一種還是首次在野外被使用的概念驗證攻擊。

蜜罐檢測到的攻擊類型包括拒絕服務(wù)攻擊和命令重放攻擊已向設(shè)備制造商披露。

研究人員說:

盡管這個蜜罐系統(tǒng)的產(chǎn)量很小,但影響卻極大,因為這些都是ICS社區(qū)以前不知道的高級針對性攻擊手段。

這項研究已經(jīng)發(fā)布在在北約支持的網(wǎng)絡(luò)安全會議上(論文地址在文末)。

Industrial Defenica的工業(yè)安全研究員Mikael Vingaard也是該研究的作者之一,他說該蜜罐采集的數(shù)據(jù)是迄今為止在安全學術(shù)研究中使用最多的數(shù)據(jù)集,其暴露的零日漏洞的數(shù)量表明這些蜜罐高度“仿真”和可信。

另一位作者,劍橋大學計算機科學與技術(shù)系的邁克爾·道森(Michael Dodson)指出,如果這些攻擊針對真實工控系統(tǒng)設(shè)備而不是蜜罐,那么拒絕服務(wù)攻擊將在攻擊過程中完全關(guān)閉工控設(shè)備,或者導致其無法通過網(wǎng)絡(luò)進行通信。

但與拒絕服務(wù)攻擊相比,重放攻擊更加可怕。

如果攻擊者可以重放命令以更改設(shè)備狀態(tài)或?qū)懭爰拇嫫?,那么攻擊者就可以完全控制設(shè)備的行為,因此可以完全控制設(shè)備的控制過程。


 
 

上一篇:甲骨文公司泄露數(shù)十億條網(wǎng)絡(luò)數(shù)據(jù)記錄

下一篇:2020年06月23日 聚銘安全速遞