工业网络急需对RAT实施控制

2018 年09 月28日

远程管理工具(RATs)一直充满了争议性。的确,远程管理工具使人们避免了直接接触硬件的麻烦,不过与此同时,由于开放了设备的远程访问路径,从而将计算机系统置于危险中。工业环境下的远程访问尤其危险。针对RAT在工业计算机中的普及程度以及可能造成的伤害,来自KL ICS CERT的卡巴斯基同事进行了一次研究。

根据卡巴斯基安全网络统计数据,2018年上半年 ,使用Windows OS的工业系统中有三分之一安装了合法RAT。在工业系统中,我们指的是SCADA服务器、historian服务器、数据网关、工程师和运营者工作站以及人机界面计算机。

有时,当地管理员和工程师会在日常工作中使用RAT。有时,外部人员(比如系统集成商或工业控制系统开发者)需要通过远程访问以进行诊断、维护和故障检修。所以实际上,在某些情况下,使用RAT不是出于运行需求,而是为了降低服务成本。即使RAT是正常技术流程所需要的,仍有必要对可能的风险进行评估,甚至需要调整流程,以减少受攻击面。

另一种可能性也无法排除:为了骗过防护解决方案,恶意软件实施者有时会使用合法远程管理软件作为攻击工具。

问题出在哪里?

目前看来,似乎并非所有专家都了解工业网络内RAT的危险性。以下是我们同事在检查系统时发现的 RAT问题:

  • 他们经常使用系统权限;
  • 他们没有让管理员限制对系统的访问;
  • 他们没有采用多重身份认证;
  • 他们没有对客户端活动进行记录;
  • 他们存在漏洞,而且不止是尚未发现的漏洞(也就是说,公司没有对其 RAT及时更新);
  • 他们使用中继服务器,从而使得避开 NAT和本地防火墙限制成为可能;
  • 他们经常使用预设密码或持有硬编码证书;

在有些情况下,安全团队甚至不知道RAT在使用中,因此他们根本不会考虑到该攻击途径。

但主要问题在于,很难将RAT攻击与正常活动区分开来。在ICS事件的调查过程中,我们的CERT专家遇到了不法分子利用远程访问工具进行攻击的众多案例。

如何将风险降到最低

为了降低网络事故风险性,卡巴斯基实验室 ICS CERT建议采取以下步骤:

  • 对技术网络中所用的远程管理工具进行一次彻底审核,重点放在 VNC、RDP、TeamViewer、RMS/Remote Utilities;
  • 摒弃所有无法根据运营需求判断其正当性的RAT;
  • 分析并禁用任何非必须的、与自动控制系统软件相整合的远程管理软件;
  • 如果是运行时需要用到RAT,则禁用无条件访问。仅允许在有记录请求的情况下,启动无条件访问,但应限制访问时间;
  • 为每次远程管理会话创建详细的控制和事件记录。

你可以在Securelist博客看到完整调查报告。更多ICS相关的研究、警告和建议,请参见 卡巴斯基实验室ICS CERT网站