俄乌构兵加疾了工业支配编造收集攻击的技战法更始，黎以冲突中的传呼机对讲机爆炸案更始了对古代收集战的认知，人为智能、大模子低落了攻击者的时空本钱。定向ICS恶意软件，PLC军器化、C2化，RTU敲诈，OT收集深度横向挪动，LOTL攻击，数见不鲜；消息战、收集战、谍报战到混淆战，司空见惯，“合基”安定防护从未云云要紧。疫情之后收集安定行业并未如预期迎来高光时间，卷死、死卷成了常态。卷未必是坏事，卷出思绪来测验，卷出岁月来研究……OT收集安定怎么回归工业性质，怎么直面底层防御盲区？怎么拦阻收集攻击向动能攻击转化？怎么守住合基安定最终一公里？夸梗概贴“营业、职员和供应链”者有之，夸大安万才干前置的“计划安定和默认安定”者有之，夸大编造工程回归的“弹性工程和知情工程”者有之，夸梗概贴“工业危害和安定运营”者有之，倡议内生的“内置安定、内嵌安定、出厂安定”者有之，等等。10月初，“五眼”定约会同其日、韩、德、荷盟友推出了OT收集安定的六条规定，着重重申并夸大了功用安定、营业分解、OT数据、分区分隔、供应链安定、职员认识，以保险OT境遇功用安定、收集安定和营业一口吻性。OT收集安定深方针题目是什么？ICS攻击技兵书发扬态势怎么？他日产物、效劳、办理计划走向那边？安帝科技试图对这些题目实行编造研究，尝探索索本身的办理计划和发扬途径。盼愿与业内同仁配合切磋，配合搜索，配合生长。

　　跟着针对要害根底举措敲诈软件攻击的日益增加，攻击者对运营时间（OT）资产和支配编造的胁造空前添加。鉴于要害根底举措对国度安定的苛重性，敲诈攻击者将其视为最有利可图的方针。工业收集安定公司Dragos的2024年二季度陈述指出，黑客机合通过采用新计谋和杂乱门径，敲诈攻击的频率和紧张水准添加，并且方针越发鸠合正在工业部分，更加是修造业，占悉数敲诈软件事变的67%。有目共见的Colonial Pipeline和JBS Foods的大界限敲诈软件攻击证实，影响OT编造的敲诈软件攻击或许会正在国度和国际界限内形成紧张的经济芜杂。无论敲诈软件是否直接针对OT编造，它都或许对对OT运营爆发巨大的下游影响以至紧张粉碎。多年来，鲜有出现针对OT/ICS的专用敲诈软件攻击的事变，但缠绕针对性或专用ICS敲诈软件的商榷没有勾留，无论是出于探索主意提出的LogicLocker、Clearenergy、Scythe、DM-PLC敲诈，如故正在实际中出现了蛛丝马迹的ICS专用敲诈软件EKAHNS以及黑客声称的RTU敲诈事变，均证实OT/ICS定向敲诈时间的连续发扬。没有出现或很少出现的因为有多方面，好比犯警分子得不尝失，攻击ICS修设的时间门槛偏高，等等。但有一点不行看轻，那即是那些具有充裕资源的大玩家，其确实方针并不是敲诈赎金，或或许是用敲诈袒护其漫长攻击支配工业编造的主意。试图注明大凡意思上的IT敲诈软件攻击和定向OT的敲诈软件攻击，或许是障碍的，由于OT修设中也有IT编造，IT编造的敲诈同样会导致OT编造的运营间断。但将针对工业范围的大凡IT敲诈软件攻击与定向ICS/OT修设的敲诈软件攻击混为一讲，并非明智而且或许是无益的。本文试图聚焦ICS/OT定向（特意针对ICS修设如PLC、RTU）敲诈软件攻击的演进发扬，看到他日或许发作正在ICS/OT修设侧的高级胁造/敲诈。敲诈软件攻击是指正在收到赎金之前拒绝用户探访编造的一类收集攻击，它已疾速成为环球最有利可图的收集犯警之一，合键针对企业、当局机构和要害根底举措。与潜心于数据夺取或效劳间断的古代恶意软件分别，敲诈软件奇异的贸易形式是拒绝探访数据和编造，直到收到付款。

　　敲诈软件通过安置标准植入编造，操纵考查模块绘造方针，撒播代庖扩张教化，逃避模块禁用安定器械，加密引擎封闭数据，赎金界面施压受害者，号召和支配实行长途照料，加密泉币模块管造支拨，解密框架和擦除模块竣事敲诈经过，其杂乱性远超古代恶意软件，需特意防御。

　　1、何为定向ICS/OT敲诈？敲诈软件攻击者古代上潜心于楷模的IT编造，但正在过去十年中，他们依然将攻击才干扩展到ICS境遇。RaaS的普及也低落了瘫痪交通、水利、修造业和医疗保健等要害根底举措的时间门槛。然而，大大都影响工业举措的敲诈软件正在最初的攻击后还是依赖于古代的撒播门径，缺乏定造的OT攻击功用。只管云云，因为IT/OT调和而连续扩张的攻击面为敲诈软件浸透到要害劳动编造供应了更大的机缘。一朝进入ICS境遇，纵使是古代的敲诈软件也会对可用性和安定性形成紧张影响。

　　OT恶意软件是针对操作时间（OT）境遇计划的专用软件，合键攻击对象囊括工业支配编造、监控和数据收罗编造（SCADA）以及其他与要害根底举措干系的修设。其最终主意是粉碎、驾驭或间断要害营业流程，从而导致分娩挥霍、数据牺牲或安定隐患，或许激励广博的经济和社会影响。攻击者通过OT恶意软件或许竣工对根底举措的浸透，进而竣工其粉碎性主意。

　　模仿OT恶意软件的界说，这里对测验对定向ICS/OT敲诈攻击实行界定，即ICS/OT定向敲诈软件攻击（OT-Directed Ransom Attack，ICS-OT Directed Ransomware）是指特意针对工业支配编造/运营时间境遇执行的敲诈软件攻击。此类攻击的合键方针是要害根底举措和工业运营，攻击者通过浸透OT收集，支配要害修设或编造，胁造停工、数据透露或编造粉碎，以受害者支拨赎金。即使从普渡模子的方针上看，对待Level 3至Level 0层中非IT修设的敲诈攻击视为OT定向的敲诈软件攻击。

　　2、OT敲诈软件分类法为了编造地舆会敲诈软件攻击对ICS/OT组成的危害，必要一个组织化的分类法来对针对这些要害编造的敲诈软件行径的各类属性实行分类和描写。平凡有两种分类思绪，一种是基于教化前言、攻击方针和最终主意的攻击人命周期分类。另一种是以敲诈软件架构、功用及其对物理经过操作的影响为核心的时间分类。每个分类法都供应了合于敌手计谋、敲诈软件才干、方针优先级以及针对工业举措和ICS/OT的攻击紧张水准的苛器重角。

　　只管有大方针对工业企业和行业的敲诈软件攻击，也形成了巨大的影响和后果，但它们还是是以IT编造为攻击方针的敲诈，这里商榷的是定向攻击ICS/OT修设的敲诈软件。始末文件盘查和调研，目前无论存正在于试验室境遇的观念验证级其它ICS敲诈，如故实际案例中已披露的定向的ICS/OT敲诈软件，数目确实较少，其示例/实例有如下六种。1、驾驭ICS的敲诈-LogicLocker正在2014年的Black Hat USA安定集会上，佐治亚理工学院（GIT）的探索团队提出了针对ICS/SCADA编造的观念验证（PoC）敲诈软件LogicLocker，其观念验证（PoC）映现了敲诈软件对工业支配编造的潜正在胁造。LogicLocker或许识别其正在装有PLC软件的算计机上的运转境况、锁定修设并正在后台更改PLC参数。

　　基于OT编造中也有IT有原形，本文的定向OT敲诈软件攻击是从攻击方针进取行了辨别，即以对楷模支配编造/支配修设（包括楼宇主动化（BAS）、物理接入支配编造（PACS）等）、通讯修设、SIS修设的敲诈。

　　另一种分类，即OT感知敲诈软件。OT资产常识和工业和讲作为来遍历、映照和驾驭要害根底举措境遇中的操作。一类是和讲感知敲诈软件：对工业和讲实行逆向工程，使敲诈软件或许融入或粉碎要害的ICS通讯。其计谋囊括：（1）被动解析操作员、传感器、驱动器和支配器之间的和讲调换，以映照资产脚色。（2）效仿有用的和讲对话流和数据类型，正在资产之间撒播。（3）驾驭和讲字段和有用载荷实质，以通报恶意代码和摆设更改。（4）引入和讲级病毒，通过有用的和讲动静调换（如客户端-效劳器交互）实行自我复造。另一类是针对嵌入式修设的敲诈软件：嵌入式修设与ICS/OT根底举措的集成度连续升高，催生出特意的敲诈软件攻击方针。攻击措施囊括：（1）通过滥用绽放调试端口、未经历证的固件更新和硬编码凭证，入侵集成的基于微支配器的传感器、驱动器和仪器。（2）通过主动扫描器理会嵌入式 Web和照料界面以查找破绽。（3）开始入侵拥有后端邻接的集成 IoT 和边际修设，从而冲破物理分隔。

　　3、定向ICS敲诈软件发扬IT敲诈软件攻击是一种高利润的贸易操作，专业攻击者盼愿通过上述三板斧（加密受害者的数据、胁造透露受害者的隐私数据、胁造攻击受害者的客户）获取高额赎金。但IT敲诈者的套途正在OT/ICS定向敲诈中却难以得逞。从时间上讲，即使加密精确，且攻击者供应了牢靠的解密密钥，则解密ICS-OT数据库和过程文献是或许的。不过攻击者先前加密的ICS-OT编造的任何片面，正在解密后都或许无法安定运转。用户能够依据必要获取解密密钥，但不行将其用于支配要害的面向安定（safety）流程的编造。昭彰，这一点实用于面向安定（safety）的编造。故仅凭用户数据执行敲诈对攻击者而言或许没有收益。

　　敲诈软件的攻击形式连续演变，不再节造于古代的数据加密，不再用于巧取豪夺，而是有心粉碎工业修设、粉碎流程，以及直接驾驭物理安定编造参数和成立。大方有记实的行径证实，攻击者存心驾驭、粉碎支配逻辑，迫使涡轮机和带头机等修设处于安定支配以表的物理危殆状况，并禁用那些检测和主动缓解担心全景况的内置障碍保障装配和人工警报。

　　攻击者对安定仪表编造、维持继电器、迫切紧闭阀和其他收集物理安定机造显示其极大的趣味，测验、搜索以领悟呼应境况并评估形成实际天下损害的才干。攻击者还显示出对驾驭化学品、石油、自然气和水的物理流量和储罐液位的趣味，以评估动作境遇攻击前言的潜力。这些时间超越了古代的数据加密，能够蓄谋修造工业事件和损害场景。

　　攻击者或许通过杂乱的恶意软件注入攻击起码这三种修设，被攻击的修设随后被用来缔结恶意营业。一种或许的攻击场景是，敲诈软件教化水管造举措的要害收集，改良水管造参数，正在饮用水中增添更多的氯或其他化学物质，然后条件巨额赎金来解锁和克复PLC。

　　该敲诈软件的触发器或许囊括春联网ICS修设的初始教化，以及通过内网和教化修设出现存正在破绽和虚弱性的PLC修设。攻击者能够操纵这些虚弱性实行横向和纵向浸透，最终锁定方针PLC并索要赎金。2、粉碎支配逻辑的敲诈–ClearEnergy2017年4月初，以色列工业收集安定公司CRITIFENCE颁布了敲诈软件验证模子，基于肃清PLC的梯形逻辑图的敲诈软攻击的原型，一名能源肃清（ClearEnergy）。

　　ClearEnergy以宏大的加密算法教化算计机并加密其实质，然后条件受害者支拨赎金来解密该数据。该敲诈软件旨正在粉碎要害根底举措，SCADA和工业支配编造中的经过主动化逻辑。如核电厂和修设厂，水和废料举措，运输根底举措等。一朝正在受害机械上推行ClearEnergy，它将探寻易受攻击的可编程逻辑支配器（PLC），以便从PLC抓取梯形图逻辑图，并测验将其上传到长途效劳器。最终，ClearEnergy将启动一个准时器，它将触发一个过程，正在一幼时后从悉数PLC中擦除逻辑图，除非受害者允许支拨赎金来勾留攻击。

　　CRITIFENCE公司的科研职员发正在2017年还出现两个PLC破绽：CVE-2017-6032和破绽CVE-2017-6034。施耐德电气依然表明，Modicon系列PLC产物容易受到CRITIFENCE出现的破绽所攻击，并颁布了苛重的收集安定报告。美国疆土安十足的ICS-CERT也颁布了一项苛重的报告吐露：施耐德电气确认的根基缺陷应承攻击者轻松料想一个弱（1字节长度）的会线种或许性），以至能够嗅探。行使会话密钥，攻击者或许全体支配支配器，读取支配器的标准并用恶意代码重写。3、锁死固件更新的敲诈–Scythe2017年4月27日正在SecurityWeek新加坡ICS收集安定集会上，ICS安定照顾Alexandru Ariciu提出了一个名为“Scythe”的敲诈软件观念。观念验证则是由安定公司CRITIFENCE和佐治亚理工学院的探索职员配合斥地的，Scythe敲诈软件合键针对的是专用逻辑支配器（PLC）和其他平凡被以为危害较低的SCADA修设。

　　Ariciu正在集会上警惕说，这些不组成彰彰危害的劳动要害型支配编造或许会被长处驱动的收集犯警分子和其他胁造作为者胁造并操纵实行攻击。他指出，这些修设位于现场修设和OPC效劳器（比方长途终端单位或RTU）之间，肩负各品种型的输入/输出（I/O）编造。这些修设由嵌入式操作编造驱动，并运转Web效劳器，且数以千计的此类编造能够通过互联网轻松探访，攻击者能够通过行使犯罪版本更换其固件来胁造它们。

　　Scythe敲诈软件的攻击方针是那些或许通过互联网探访的、缺乏身份验证机造的SCADA修设。攻击者通过扫描收集寻找潜正在方针，并操纵探寻引擎如Shodan或Google来识别这些修设。一朝确定方针，攻击者会通过硬件调试领悟修设的做事道理，并斥地针对特定产物的破绽操纵。

　　Scythe的触发器是攻击者告捷入侵方针修设并安置恶意固件的时间。受害者正在测验探访修设时会收到敲诈报告，条件支拨赎金以克复修设功用。即使受害者支拨赎金，攻击者声称或许克复修设及其摆设，但本质上固件更新功用会被禁用，使得受害者难以自行克复修设。

　　Ariciu夸大，这种攻击或许会形成紧张粉碎，由于这些修设平日常劳动要害型编造的一片面，受害者支拨赎金的或许性较大。他还提到，很多机合招认他们从未琢磨过备份摆设，更加是由于这些修设一朝安放就很少从头摆设，这或许导致正在修设受到攻击时爆发紧张的后果。4、ICS拒绝效劳的敲诈-DM-PLCDM-PLC（Dead Man’s PLC）是一种针对操作时间（OT）境遇计划的新型收集敲诈攻击时间。它操纵OT境遇中现有的功用和通讯机造，创修一个隐藏的监控收集，将PLC（可编程逻辑支配器）和工程做事站（EW）邻接起来，使它们或许彼此轮询，监控攻击作为的任何差错。DM-PLC通过正在PLC上安放非常计划的恶意代码，使得一朝受害者测验更改受攻击者支配的境遇或未实时支拨赎金，就会触发相像于“断命开合”的机造，导致悉数PLC将输出成立为“ON”状况，或许正在物理境遇中形成紧张芜杂。这种攻击形式规避了现有的呼应和克复计谋，由于它不必要对PLC实行编造级探访或篡改，而是通过现有的通讯和安定功用来执行敲诈。

　　物理境遇芜杂：DM-PLC激活后，悉数PLC的输出或许被成立为“ON”状况，这或许导致物理修设如电机、传送带、阀门等的非预期操作，进而正在工业境遇中形成芜杂和潜正在的物理损害。

　　编造克复障碍：因为DM-PLC行使现有功用和通讯机造，受害者很难正在不触发恶意代码的境况下克复编造。攻击者还或许通过成立暗号维持和加密来阻挡受害者探访或更改PLC和EW上的摆设和代码。

　　合规性和信赖题目：受影响的机合或许面对禁锢机构的审查，希罕是即使它们肩负要害根底举措或管造敏锐数据。其它，客户和团结伙伴的信赖或许受损。

　　为了防备他日的攻击，机合或许必要增强其OT境遇的安定要领，囊括厘正监控、增强探访支配、按期实行安定审计和更新安定计谋。DM-PLC代表了一种新的、更为隐藏和拥有粉碎性的收集敲诈攻击形式，对OT境遇的安定性提出了新的离间。5、间断工业过程后加密的敲诈–EKANSEKANS敲诈软件于2019年12月初次被出现，代表了针对工业支配编造(ICS)和监控与数据收罗(SCADA)境遇的收集胁造的明显发扬。与合键影响IT收集的古代敲诈软件分别，EKANS 特意包括一个旨正在终止与ICS操作干系的过程的“终止列表”。这种有针对性的门径反响了一种令人担心的趋向，即攻击者映现了对ICS特定功用的分解，标识着敲诈软件计谋的改观。

　　EKANS敲诈执行的前序设施，平日常通过收集垂钓或操纵破绽操纵浸透到企业收集。一朝进入，恶意软件就能够手动或通过剧本推行。这种门径有利于大界限入侵，使攻击者或许正在整体收鸠合撒播敲诈软件。

　　EKANS的合键方针是要害的ICS过程，囊括与数据史书数据库和人机界面 (HMI) 干系的过程。通过终止这些过程，EKANS或许导致工业运营的可见性和支配力丢失，这或许对修造业和能源行业形成倒霉影响。比方，终止与GE的Proficy数据史书数据库干系的过程或许会导致大方数据损失和运营停机，从而影响完全效力和安定性。据Accenture Security MegaCortex 敲诈软件陈述，EKHANS拟终止过程列表上有252个过程名。

　　推行后，EKANS会加密文献并留下敲诈信，条件支拨解密用度。此类攻击的后果不单限于直接的经济牺牲。ICS运营间断或许会导致长岁月停机、禁锢罚款和潜正在的安定隐患。机合或许会被迫克复手动操作，从而导致出格的运营效力低下和危害。

　　其它，EKANS的广博影响凸显了资产悉数者火急必要增强其收集安定态势。领悟和筹备 ICS 资产和邻接对待减轻此类敲诈软件带来的危害至合苛重。EKANS的非常性夸大了主动要领正在防御针对要害根底举措的新兴收集胁造方面的苛重性。跟着敲诈软件连续发扬，警备和预备对待保险工业运营至合苛重。6、加密RTU编造文献的敲诈–GhostSec敲诈2023年1月，GhostSec黑客机合声称告捷加密了史书上第一个RTU（长途终端单位），激励了对工业敲诈软件体贴的新一轮商榷。只管这一声明具体实性受到质疑，但它确实突显了工业支配编造（ICS）面对的潜正在胁造。RTU敲诈软件的浮现，预示着攻击者或许从古代的IT编造转向针对操作时间（OT）的攻击，更加是那些对要害根底举措至合苛重的编造。

　　收集安定公司Red Balloon探索职员正在后续的理会中指出了RTU敲诈的少少离间，正在警惕和向例的根底上指出了一个相当极度的设施：禁用或以其他形式篡改工业修设。这证实RTU敲诈正在时间上是或许的，只然而大都专家以为RTU或PLC级其它“真正”工业敲诈软件的条件和影响都使得犯警分子参预个中的或许性很幼。由于回报相似太微薄，无法阐明与此类作为干系的时间投资和政事危害是否合理。

　　一种更为合理的声明，或者或许代表了一种更规避的趋向，国度接济的攻击者行使相像敲诈软件的操作动作粉碎性收集攻击的袒护。这种伪装成敲诈软件的作为依然发作过多次，其成就、影响和误导水准各不肖似。

　　RTU敲诈软件的潜正在影响是远大的。它不单或许导致分娩间断和经济牺牲，还或许激励安定事件和境遇危害。与古代的IT敲诈软件分别，针对RTU和PLC（可编程逻辑支配器）的攻击或许直接影响到物理经过，形成更紧张的后果。

　　本文梳理的OT/ICS定向敲诈软件中，对ICS/OT修设执行攻击的措施囊括了PLC驾驭、支配逻辑粉碎、固件更新锁定、ICS拒绝效劳、工业干系的过程间断、文献加密等，这与IT敲诈是不大肖似的操作。体贴OT/ICS定向敲诈，是盼愿把OT收集安定探索者和从业者的重心聚焦到这些工业修设自己，由于对这类攻击的影响后果越发紧张，而识别出现、监测预警、呼应治理的难度更大、门槛更高，必要民多更多地探索和理会。他日必要着重体贴以下三个方面的发展：一是虚拟PLC的发扬或许为敲诈软件攻击造造新的攻击面。西门子的S7-1500、罗克韦尔的Studio 5000、施耐德电气的EcoStruxure Control Expert、三菱电机的GX Works3以及贝加莱主动化的Automation Studio是方今虚拟PLC的代表。这些产物平凡通过收集照料，黑客能够操纵收集破绽或弱口令长途攻击。同时，虚拟PLC依赖的软件平台和收集若存正在破绽，或许成为操纵的条目。其它，与其他IT编造的集成也或许引入新的危害，摆设差错或照料欠妥更容易受到攻击。比拟物理PLC，虚拟PLC缺乏相应的物理安定要领，是以正在广博行使中造成了更大的揭破面。二是OT定向敲诈攻击不愿定是加密文献和数据。跟着OT（运营时间）境遇中针对ICS（工业支配编造）修设的敲诈攻击日益增加，攻击者的计谋已不再节造于单纯的数据加密。自己对OT境遇的文献和数据的加密，或许并不行为其带来赎金收益。而今，黑客或许通过攻击PLC（可编程逻辑支配器）、RTU（长途终端单位）等要害修设，执行效劳间断、操控修设或胁造透露敏锐消息，从而迫使企业支拨赎金。这种攻击不单或许导致巨大的经济牺牲，还或许胁造到职员安定和修设寻常运转。

　　三是务必警备以ICS/OT定向敲诈为名的APT攻击。正在方今针对工业支配编造（ICS）的高级络续性胁造（APT）攻击中，攻击者常以伪装成敲诈软件攻击的方法掩护其确实希图。这种计谋不单激励受害者的可骇，促使其疾速选取要领，如编造合停和支拨赎金，从而疏散对潜正在后门或恶意行径的属意力。这种作为的有用性正在于其情绪操控，使受害者更体贴短期牺牲而看轻永远安定隐患。国度接济的胁造作为者更存心愿行使ICS敲诈软件的操作动作粉碎性收集攻击的袒护。