近日據(jù)外媒報(bào)道,根據(jù)EKANS勒索軟件的新樣本顯示,如今的網(wǎng)絡(luò)攻擊者正在使用各種方法攻擊關(guān)鍵的工業(yè)公司。
在上周三(7月1日)發(fā)布的一份研究報(bào)告中,F(xiàn)ortiGuard實(shí)驗(yàn)室的研究人員BenHunter和FredGutierrez稱(chēng),針對(duì)工業(yè)控制系統(tǒng)(ICS)的惡意軟件對(duì)威脅者來(lái)說(shuō)仍然有利可圖。據(jù)2020年Verizon的數(shù)據(jù)違反報(bào)告,盡管勒索軟件僅占2019年所有惡意軟件事件的三分之一,但是一旦黑客將其應(yīng)用到核心關(guān)鍵系統(tǒng)中,如公用事業(yè)和制造業(yè),那么感染所造成的影響可能是毀滅性的。
據(jù)悉,EKANS勒索軟件家族是一種被用于定向ICS活動(dòng)的病毒。研究人員獲得了兩個(gè)版本的樣本,一份來(lái)是5月份得到的,另一份來(lái)自于6月份。從樣本中可以看出這兩個(gè)基于windows的示例都是用GO編寫(xiě)的,這是一種在惡意軟件開(kāi)發(fā)社區(qū)中被廣泛使用的編程語(yǔ)言,因?yàn)樗鄬?duì)容易編譯,可以在不同操作的系統(tǒng)上工作。
與此同時(shí),為了幫助分析,F(xiàn)ortiGuard創(chuàng)建了一個(gè)特定于�?八_斯的掩飾程序,發(fā)現(xiàn)盡管勒索軟件的5月份版本存在大量編碼錯(cuò)誤,但是該惡意軟件仍然能夠有效地攻擊ICS系統(tǒng)。因此,EKANS的設(shè)計(jì)是有意選擇受害者的,該惡意軟件將通過(guò)解析受害者公司的域名,并將這些信息與IP列表進(jìn)行比較,來(lái)確認(rèn)目標(biāo)。一旦目標(biāo)被捕獲,勒索軟件就會(huì)掃描域控制器以進(jìn)行攻擊。
兩種版本均具有典型勒索軟件的功能,一旦該惡意軟件落在易受攻擊的機(jī)器上,就會(huì)對(duì)文件進(jìn)行加密,并顯示一張勒索紙條,要求對(duì)方支付贖金,以換取解密密鑰。解密密鑰可能恢復(fù)(也可能不恢復(fù))對(duì)系統(tǒng)文件的訪問(wèn)。然而,6月的示例超出了這些特性,并且能夠提供高級(jí)功能,這些功能可能在工業(yè)設(shè)置中造成嚴(yán)重破壞,包括關(guān)閉主機(jī)防火墻的能力。
此前,網(wǎng)絡(luò)安全公司FireEye就已經(jīng)警告稱(chēng),針對(duì)ICS惡意軟件和黑客工具的開(kāi)發(fā)正在增加,其中大多數(shù)都是在過(guò)去10年開(kāi)發(fā)出來(lái)的。而且FireEye分析的大多數(shù)工具都被認(rèn)為是與供應(yīng)商無(wú)關(guān)的,但在某些情況下,目前這些軟件的設(shè)計(jì)也會(huì)損害特定公司提供的ICS設(shè)置。
