合法的远程管理工具(RAT)对工业网络构成严重威胁:这些工具被安装到31.6%的工业控制系统(ICS)计算机上,但是这些工具经常被忽视,除非该组织或企业的安全团队发现网络罪犯已经使用RAT安装了勒索软件或加密货币挖矿软件,或者窃取了机密信息甚至资金。这一情况是卡巴斯基实验室安全专家在对这一问题进行专门研究时发现的。
远程管理工具(RAT)是一种允许第三方远程访问计算机的合法软件工具。工业企业的员工经常使用这些工具来节省资源,但是恶意用户同样可以偷偷使用这些工具访问目标计算机。
根据卡巴斯基实验室工业控制系统网络应急响应小组(ICS CERT)发布一篇报告,远程管理工具(RAT)在所有行业都应用普遍:卡巴斯基实验室产品保护的ICS计算机中,有近三分之一都安装了远程管理工具。更为重要的是,几乎五分之一的RAT工具都与工业控制系统(ICS)软件默认绑定。这使得系统管理员更容易忽视它们,因此对威胁攻击者更具吸引力。
根据研究,恶意用户使用远程管理工具软件来:
- 未授权访问目标网络;
- 利用恶意软件感染网络,实施网络间谍攻击和破坏,或者通过攻击的网络访问金融资产。
远程管理工具构成的最大威胁在于其能够获得被攻击系统中提升权限的能力。在实践中,这意味着能够获得对工业企业的无限制控制,从而可以导致重大的经济损失以及现实灾难。这些能力通常是通过基本的暴力攻击获得的,就是使用所有可能的字符组合来猜测密码,直到发现正确的密码。虽然暴力破解是最常用的获取RAT控制权限的方法,但攻击者也会寻找和使用RAT软件本身的漏洞来攻击。
“具备远程管理工具(RAT)的工业控制系统数量很多,这一点让人担忧,而且很多组织甚至没有意识到与RAT相关的风险有多么严重。例如,我们最近观察到一次针对一家汽车公司的攻击,该公司的一台计算机上安装了RAT工具。这导致几个月以来,一直有攻击者舱室在这台计算机上安装不同的恶意软件,我们的安全解决方案每周至少拦截两次这样的行为。如果这家企业没有得到我们的安全软件的保护,后果将不堪设想,至少是不愉快的。但是,这并不意味着企业应当立即从网络中清除所有RAT软件。毕竟,它们是非常有用的应用程序,能够节省时间和金钱。但是,应该特别谨慎对待位于网络上的RAT软件,尤其是在工业控制系统(ICS)网络上,因为它们通常是关键基础设施的一部分,”卡巴斯基实验室ICS CERT资深安全研究员Kirill Kruglov说。
为了降低涉及RAT的网络攻击风险,卡巴斯基实验室ICS CERT建议采取以下技术措施:
- 审核在工业网络上使用的应用程序和系统远程管理工具。清除工业生产过程中并不需要的所有远程管理工具。
- 审核并禁用ICS软件附带的远程管理工具(有关详细说明,请参阅相关软件文档),前提是工业生产过程中并不需要这些工具。
- 密切监控和记录工业过程所需的每个远程控制会话的事件;默认要关闭远程访问,只有在需要使用时再启用,而且只能在有限的时间内使用。
请访问 卡巴斯基实验室ICS CERT网站阅读完整版报告。
