{{{sourceTextContent.title}}}

Eine neue Ära für ICS-Sicherheit? Libelle stellt die eingehende Handlung vor

{{{sourceTextContent.subTitle}}}

Letzter Monat, aktualisierten wir unseren Artikel auf dem Libelle malware, um die Forschungsresultate durch Joel Langill von RedHat Cyber zu verkünden, ein führender Unabhängiger ICS-Sicherheitsexperte

{{{sourceTextContent.description}}}

Joels Forschung zeigte, dass die Libellekampagne auf pharmazeutische Ziele sich konzentrierte, eher als Energiesektorziele, da gehabt vorher berichtet.

Heute geben wir Teil B unseres Weißbuches auf der Libelle frei, die benannt wird, „, das Malware analysierend.“ In ihm berichtet Joel über die ausführliche Analyse, die er von den Angriffsvektoren der Kampagne bildete, vom malware selbst, vom Trojanized Software-Inhalt er verursachte und von seiner Befehl-undsteuerung (C2) Infrastruktur.

Wenn Sie nicht Libelle berücksichtigen, können Sie meinen früheren Artikel lesen, der einen Überblick festsetzt. Oder, beachten Sie, dass der Grund, den ist wir auf ihn richten, weil es das erste fortgeschrittene malware da Stuxnet zum Haben Nutzlasten war, die ICS-Bestandteile zielen.

Zusätzlich war Libelle eine technisch erreichte und strategisch durchgeführte Kampagne, die einer neuen Ära der Drohung signalisiert? die der Handlung eingehend.

Industrielle Cyber-Sicherheit? s-neue Wirklichkeit: Handlung eingehend

Die Libellekampagne bestand aus einem variierten Arsenal der Angriffsvektoren, unten beschrieben.

Zusätzlich die beleidigenden enthaltenen zahlreichen Web site C2 der Libelle, die verwendet wurden, um modernisierte Software-Module an angesteckte Computer zu liefern.

Diese Nutzlastenmodule führten Tätigkeiten, wie durch:

Sammeln von Basisdaten über das angesteckte System und seine Konfiguration

IC-in Verbindung stehende Konfigurationsakten- und VPN Konfigurationsakten sammeln (einschließlich Kennwörter)

Einzelaufzählung aller Windows-Wirte in den Inhausnetzen

Fragen der Windows Wirte und des PLCs für OPC-in Verbindung stehende Dienstleistungen

Versuch, neue OPC-Fälle zu verursachen

Auf Kommunikationen auf TCP-Service-Häfen hörend, verband allgemein mit industriellen Protokollen

Umfaßt Ihre Risikobeurteilung diese Drohung-Quellen?

Libelle benutzte eine scharfsinnige Zusammenstellung von Bahnen zum Kontrollsystem. Z.B. zeigten die Trojanized Software-Downloadangriffe, wie verlässliche Versorgungsketteverkäufer gewohnt sein können, böswillige Nutzlasten direkt an schwieriges zu liefern, Endpunkte zu erreichen, wie ICS-Ausrüstung.

Interessant war die Trojanized Lieferanten-Software durch Benutzer mit non-administrative Konten installierbar, obwohl die gesetzmäßige Software blockiert wurde. So können sogar Computer, die mit sicherer lokaler Politik „verhärtet worden“ sind, angesteckt werden.

Schließlich war ein anderer bemerkenswerter Aspekt der Libelle, dass seine Nutzlasten dauerhafte Installation auf Techniklaptopen gewannen und dann Untersuchungresultate von lokalisierten ICS-Systemen für neueres Getriebe zu den Bedienern C2 notierten, als der Laptop verschoben wurde. So können tragbare Geräte, die sich von lokalisierten ICS-Netzen auf weniger sichere Büronetze werden bewegen lassen, Informationen über das sichere System zu den Angreifern über das Internet neu legen.

Beweis des Windows- Xpendes des Service-Risikos

In den letzten Monaten haben wir einige Artikel über das Risiko zu den kritischen Systemen des Auftrags wegen des Endes des Services (EOS) von Windows Xp geschrieben. Die Libellekampagne liefert Beweis dieses Risikos, wie das malware nur die 32-Bitversionen der Lieferanten-Software-Downloads zielte, obwohl andere Versionen vorhanden waren.

Dieses unterstreicht die Notwendigkeit an der Industrie, Maßnahmen zum sicheren Kern ICS, besonders SIS-Systeme, durch aktuelle eingehende optimale Verfahren der Verteidigung und industriell fokussierte Sicherheitstechniken jetzt zu ergreifen.

Zu mehr Information über das Beschäftigen Windows Xp EOS-Risiko, sehen Sie unser Weißbuch, „Windows- Xpende des Services? Praktische Wahlen für industrielle Anwendungen.“

Eric Byres wiegt sich auf der Libelle Malware

Nach der Überprüfung, stellten sich die Informationen in „Teil B dar? Das Malware analysierend,“, Eric Byres kommentierte:

„Die Kombination der eingehenden Strategie der Handlung der Libelle und der Tatsache, dass sie traditionelle TischplattenSicherheitskontrollen verhinderte, hebt das dringende Bedürfnis am Zusammenbringen der eingehenden Sicherheit der Verteidigung auf dem Betriebsfußboden hervor. Nicht nur müssen wir die ICS-Vorrichtungen, aber die Notwendigkeiten der Industrie auch verteidigen, bessere Verteidigung für das ICS-Netz zu betrachten.

Z.B. den nicht autorisierten HTTP-Verkehr würde zu überwachen, der aus ein ICS-System herauskommt, eine sehr wirkungsvolle Verteidigung gegen dieses malware gewesen sein. Die meisten ICS-Systeme sollten nicht zu den web server auf dem Internet, besonders eine mit URL wie „sinfulcelebs.freesexycomics.com in Verbindung stehen.“

Die Tatsache, die die Libellekampagne für fast ein Jahr ohne Abfragung laufen ließ, zeigt, dass die Überwachung und die Kontrolle von ICS handeln (besonders Auslandsverkehr) ist noch unannehmbar Armen in vielen Industrien. „

{{medias[5387].title}}

{{medias[5387].description}}