安帝科技--OT网络深层攻防技术专题之一： ICS恶意软件现状及趋势

编者按
俄乌战争加快了工业控制系统网络攻击的技战法创新，黎以冲突中的传呼机对讲机爆炸案刷新了对传统网络战的认知，人工智能、大模型降低了攻击者的时空成本。定向ICS恶意软件，PLC武器化、C2化，RTU勒索，OT网络深度横向移动，LOTL攻击，层出不穷；信息战、网络战、情报战到混合战，屡见不鲜，“关基”安全防护从未如此紧迫。
疫情之后网络安全行业并未如预期迎来高光时刻，卷死、死卷成了常态。卷未必是坏事，卷出思路来尝试，卷出时间来思考……OT网络安全如何回归工业本质，如何直面底层防御盲区？如何遏制网络攻击向动能攻击转化？如何守住关基安全最后一公里？强调关注“业务、人员和供应链”者有之，强调安全能力前置的“设计安全和默认安全”者有之，强调系统工程回归的“弹性工程和知情工程”者有之，强调关注“工业风险和安全运营”者有之，倡导内生的“内置安全、内嵌安全、出厂安全”者有之，等等。10月初，“五眼”联盟会同其日、韩、德、荷盟友推出了OT网络安全的六条原则，着重重申并强调了功能安全、业务理解、OT数据、分区隔离、供应链安全、人员意识，以保障OT环境功能安全、网络安全和业务连续性。
OT网络安全深层次问题是什么？ICS攻击技战术发展态势如何？未来产品、服务、解决方案走向何处？安帝科技试图对这些问题进行系统思考，尝试探寻自己的解决方案和发展路径。期望与业内同仁共同探讨，共同探索，共同成长。

ICS恶意软件现状及趋势

工业控制系统（ICS）在关键基础设施中的广泛应用，使其成为现代社会的核心支柱之一。然而，随着信息技术（IT）与操作技术（OT）的融合，以及工业物联网（IIoT）的快速发展，ICS系统正面临越来越严峻的网络安全威胁。ICS恶意软件，尤其是针对特定工业设备的定制化攻击，已经成为关基行业面临的主要挑战之一。这些恶意软件可以通过破坏控制逻辑、篡改传感器数据或禁用安全系统，对工厂设备、物理过程及人员的安全构成严重威胁。因此，当OT网络安全威胁深入底层、真正触及物理过程时，深入了解ICS（定向）恶意软件的定义、分类、现状及未来发展趋势，对于提升OT网络安全防御能力至关重要。

一、ICS恶意软件的定义与分类
顾名思义，ICS恶意软件应当是指对手专门针对ICS系统研制的用于突破、控制、破坏目的的专用软件或工具。但当前IT与OT深度融合的背景下，在ICS系统中同样存在相当比例的IT应用，使得传统的非专用恶意软件也可能对ICS系统形成控制或攻击能力，这与专门攻击类似PLC、RTU、SCADA等ICS设备的恶意软件造成混乱。在一些外文的文献中，通常出现ICS-tailored Malware、ICS-dedicated Malware、ICS-targeted Malware和ICS-focused Malware等表述，其想要表达的是定制的专门打击ICS控制设备的恶意软件。

1、ICS恶意软件相关概念
非针对性ICS恶意软件：这类恶意软件并非专门为入侵ICS环境而设计，它们的结构与传统恶意软件相似。其目标主要针对在ICS环境中运行的IT网络。随着IT和操作技术（OT）网络的融合，这类非针对性的恶意软件可能间接危害OT网络，并干扰ICS的正常运行状态。

针对性ICS恶意软件：这类恶意软件旨在获得在工业环境中的立足点，针对ICS操作进行攻击。攻击者通过传递以ICS为主题的恶意软件或为ICS量身定制（定向）的恶意软件来实现攻击。

ICS主题恶意软件：即打着ICS旗号的恶意软件，它们伪装成合法的ICS软件，如人机界面（HMI）安装程序，通常从公共互联网上获取。其目的是专门设计用来欺骗ICS操作人员并渗透OT网络。

ICS定制/定向恶意软件：设计用来攻击ICS相关环境中的特定组件，如可编程逻辑控制器（PLC）和安全仪表系统（SIS）。这类恶意软件检测识别难度大，开发成本高，开发此类恶意软件需要具备相当的ICS知识，它们还利用特定ICS产品的漏洞。

基于WEB的PLC恶意软件（WB PLC Malware）：通过入侵PLC内置的Web服务器，利用恶意JavaScript代码攻击PLC。这些代码在客户端浏览器中执行，而不是在PLC本身上执行。

本文重要要关注的就是ICS定向/定制恶意软件，行业内通常所熟知的Stuxnet、Havex、BlackEnergy2、CrashOverride和TRISIS等便属于这一类，这也是OT网络安全面临的最大最难的挑战之一。

2、ICS恶意软件的分类
对ICS恶意软件进行分类有助于更清晰地理解不同类型的威胁，并根据其特点制定有针对性的防护措施。分类可以区分非定向和定向恶意软件，前者可能通过IT网络间接影响OT系统，而后者则专门针对工业控制系统的特定组件如PLC和SIS。分类还能够提升检测与响应效率，帮助预测未来的攻击趋势，并为制定更有效的安全策略提供依据。

图1：ICS恶意软件分类

3、示例-传统的PLC恶意软件

图2：用于控制逻辑或固件的PLC恶意软件

图示:
AN：攻击者有网络访问权
AP：攻击者有物理访问权
AW：攻击者有WEB访问权
MP：PLC恶意软件载荷位置
ME：PLC恶意软件执行位置
黄色：表示WB PLC恶意软件攻击特有的

二、ICS定向恶意软件的现状
据安帝科技OT安全研究团队的跟踪，目前共出现了10个ICS定向恶意软件，分别是STUXNET、HAVEX/Backdoor.Oldrea、LACKENERGY2、Industroyer/Crashoverride 、TRISIS/Triton、Industroyer2、SNAKE、PIPEDREAM、Fuxnet和FrostyGoop。其中最新的三个据称是俄乌战争中涌现出来的高度定制、设计复杂的定向ICS恶意软件。
1、Stuxnet
发现于2010年，Stuxnet是最早且最著名的ICS定向恶意软件，专门针对伊朗的核离心机。它通过破坏可编程逻辑控制器（PLC）的操作，导致物理设备失效，首次揭示了网络攻击对物理基础设施的潜在破坏力。
2、Havex/Backdoor.Oldrea
Havex是2013年发现的远程访问木马（RAT），它主要用于间谍活动，能够扫描受感染系统并发现SCADA或ICS设备，收集信息并反馈给攻击者。
3、BlackEnergy2
BlackEnergy2是2014年发现的恶意软件变体，专门攻击HMI（人机界面）软件。它被用于2015年乌克兰电网攻击中，导致大规模停电。
4、Industroyer/Crashoverride
2016年发现，Industroyer专门攻击电力传输系统，能够操控电网通信协议，破坏电力基础设施，被用于2016年乌克兰电力系统攻击。
5、TRISIS/Triton
2017年发现的TRISIS专门针对Schneider Electric的安全仪表系统（SIS），通过更改安全系统逻辑，可能导致物理破坏甚至人员伤亡。
6、Industroyer2
2022年被发现，它是Industroyer的升级版，进一步提升了对电力传输系统的攻击能力，尤其是针对乌克兰的能源设施。
7、SNAKE
SNAKE是一种复杂的ICS恶意软件，主要用于间谍活动和数据窃取，能够隐藏在网络中并持续发送工业数据给攻击者。据Dragos公司称其是第一个ICS勒索软件。
8、PIPEDREAM/INCONTROLLER
PIPEDREAM是2022年发现的恶意软件，具备破坏多种工业控制系统（ICS）的能力，针对Schneider Electric和Omron等控制器，旨在造成工业过程的破坏和设备损毁。
9、Fuxnet
Fuxnet首面于俄乌网络战场，是一种较新的恶意软件，模仿Stuxnet的攻击方式，专注于破坏核设施中的工业控制设备，然而其实际攻击事件较少公开。
10、FrostyGoop
FrostyGoop同样首现于俄乌网络战，是一种ICS定向恶意软件，攻击目标广泛，旨在通过修改PLC和其他工业设备的控制逻辑，导致操作失控或设备损毁。

表1：迄今为止发现的ICS定向恶意软件

总体来看，上述十个已知的ICS定向恶意软件，基本出自以色列、美国、俄罗斯等具备高级网络能力的国家，首先用运于中东冲突、俄乌战争中关键基础设施的攻击和破坏。
最近黎巴嫩爆炸案中遥控或引爆传呼机和对讲机的指令或程序到底是什么样的，或许永远不会披露。最新的爆料称对对讲机的控制时间更长，一直在秘密地获得通信内容。而对传呼机的改装，是2022年之后进行的，无论隐蔽获取信息，还是用某个指令引爆，作者认为这些隐秘工作的程序也应该归入恶意ICS程序，因为以色列方面称其为“通讯特洛伊木马”，也是远程控制程序的一种。
因此，公开已知的ICS恶意程序，永远只是冰山一角。
三、ICS定向恶意软件的发展趋势
可编程逻辑控制器（PLC）作为ICS的核心组件，通过控制逻辑监控传感器并操控执行器。然而，近年来PLC的固件层开始包含定制的Web服务器，客户可以通过浏览器远程监控和控制系统，这引发了特有的安全问题。有研究者揭示了这些Web技术在工业环境中的安全隐患，并提出一种新的基于Web的PLC恶意软件，能够绕过现有的安全防护，实施有效的攻击。
1、基于WEB的PLC恶意软件涌现的背景
随着工业控制系统（ICS）与信息技术（IT）的融合，传统的工业设备如可编程逻辑控制器（PLC）越来越多地集成了网络功能，例如嵌入式网络服务器。这种技术进步虽然提高了操作便利性和可持续性，但也引入了新的安全风险。特别是，现代PLCs的嵌入式网络服务器可以通过Web应用程序接口（APIs）进行监控和控制物理过程，这为恶意软件提供了新的攻击途径。与传统的PLC恶意软件（如Stuxnet）不同，这些新型的基于网络的PLC（WB PLC）恶意软件不需要感染PLC的控制逻辑或固件，而是通过感染托管在PLC中的Web应用程序来实现攻击。
2、WB PLC恶意软件的优势
WB PLC恶意软件与传统PLC恶意软件相比具有多项优势，一是平台独立性：由于它基于Web，因此与特定的PLC型号或固件无关，使得攻击更加灵活。二是易于部署：通过Web界面进行攻击，不需要物理接触或复杂的网络访问权限。三是持久性：能够通过Web应用程序的APIs与PLC进行交互，即使在重置或更换硬件后也能保持存在。四是影响范围广：能够利用Web界面的功能执行各种操作，包括操纵传感器读数、禁用安全警报和操纵物理执行器等。五是隐蔽性：可以通过Web应用程序的APIs进行攻击，而不需要修改PLC的控制逻辑或固件，从而更难以被发现。

图3：基于WEB的PLC恶意软件示意

3、WB PLC恶意软件的现实威胁
研究者通过创建一个名为IronSpider的WB PLC恶意软件样本，展示了这种新型恶意软件的潜在危害。在实验中，IronSpider能够在不需要系统级妥协的情况下，通过恶意网站利用跨源请求，攻击WAGO 750 PLC。攻击者利用PLC Web应用程序中的零日漏洞，通过恶意网站成功地将恶意代
码部署到PLC中。运行成功后，IronSpider能够实施如下三项破坏性任务。
操纵过程：通过修改Web HMI的DOM来显示虚假的传感器读数。
控制执行器：通过与HMI的UI进行交互，秘密地改变电机速度的设定点。
用后自毁：在完成任务后，IronSpider能够清除所有感染痕迹，包括从PLC存储中删除恶意有效载荷，并恢复出厂设置。
实验环境模拟了一个精确控制三相220V AC工业电机的场景，这与伊朗核设施中Stuxnet攻击的目标相似。实验结果表明，IronSpider能够在7.4秒内成功地将电机速度设定点提高到危险水平，触发紧急系统，表明攻击成功并造成了物理损害。
管中窥豹，沿着这一思路，未来基于WEB的PLC/RTU/SCADA/Sensor/IoT类恶意软件将层出不穷。
随意地缘政治摩擦和网络战争的升级，定向的ICS恶意软件必然随之水涨船高、竞合演进。未来，类似IronSpider样本的恶意软件必然现身于现代网络战争，其悄无声息地篡改传感器读数、禁用安全警报甚至操纵物理执行器，WB PLC恶意软件的现实威胁已迫在眉睫，给防御者提出了巨大挑战。

小结

检测WB PLC恶意软件面临着巨大挑战，不仅因为它们通常与合法的Web应用程序代码混合执行，遵守所有浏览器规则，而且不需要对PLC进行系统级修改。这使得现有的基于签名的传统入侵检测系统无法有效识别这类威胁。

OT网络安全相关方需要采取新的策略和技术。浏览器开发者可以通过实施“私有网络访问”规范来限制公共网站对私有网络的访问。PLC供应商需要为Web应用程序提供更好的隔离措施，例如使用内容安全策略（CSP）和子资源完整性（SRI）来限制不受信任的代码执行。OT网络安全服务商可以提供专门针对PLC环境配置的Web应用防火墙（WAF），以检查非Web PLC协议。ICS环境中的所有参与者，包括操作员、工程师和安全专家，都需要对Web安全威胁有更深的了解，并接受相应的培训，以识别和防御WB PLC恶意软件的潜在威胁。

参考文献
【1】Ryan Pickren, Tohid Shekari, Saman Zonouz, Raheem Beyah，Compromising Industrial Processes using Web-Based Programmable Logic Controller Malware，Network and Distributed Systems Security (NDSS) Symposium 2024，26 February – 1 March 2024, San Diego, CA, USA，https://dx.doi.org/10.14722/ndss.2024.23049
【2】Yassine Mekdad，The Rise of ICS Malware: A Comparative Analysis， February 2022，https://www.researchgate.net/publication/358435509