上個月，已知的OT（運營技術）惡意軟件的數量從五個增加到七個。第一個被發現的惡意軟件是Industroyer2，它是在烏克蘭被發現的。正如現在流行的那樣，安全公司為他們發現的惡意軟件命名。這就是為什么第二個惡意軟件有兩個名字：Incontroller或Pipedream。這個惡意軟件在部署之前就被發現了。

Industroyer2[1]是Industroyer1的演變，首次出現在2014年。這兩種變種都針對電力能源部門，特別是在烏克蘭。由于該惡意軟件使用的是工業協議IEC-60870-5-104的命令，流量看起來像正常運行時的合法通信。

Incontroller[2]是一套新的惡意軟件組件，目標是美國的液化天然氣部門。與Industroyer2類似，pipedream使用流行的工業協議，如OPC-UA和ModbusTCP。此外，它還使用了工程工具的內置功能，與PLC（過程邏輯控制器）等OT設備進行交互。

這兩個惡意軟件清楚地表明，背后的犯罪分子已經進化，確實了解OT協議，并能夠使用CODESYS等合法軟件工程工具的內置功能。

在過去的幾年里沒有改變的是，SCADA系統控制方式仍然是 “即發即忘 “。一個命令從控制系統的服務器發送到現場的客戶端?？蛻舳藢⑹录D化為一個物理動作，比如打開或關閉一個斷路器。翻譯回網絡流量，這意味著一個包含命令的數據包足以擾亂整個工業過程或電力分配。

Industroyer2使用IEC-104，是IEC 60870-5-104的簡稱。IEC-104廣泛用于歐洲能源部門和公共事業部門，如水或廢水處理。
許多工業協議的一個特點是，即使協議是標準化的，其實施在不同的制造商甚至系統集成商之間也會有所不同。這意味著Hitachy能源公司實施的IEC-104與西門子的實施方式不同。運營商對它很熟悉，但對于網絡安全監控來說，這可能是一個挑戰。

監測的進一步困難是，一個傳輸IEC-104有效載荷的數據包可以有多個IEC-104的數據信息，稱為APDU。因此，傳統的基于TCP有效載荷的簽名檢測是行不通的。需要對有效負載進行解析，以了解每個APDU包含的命令類型：

自2022年4月初發現Industroyer2以來，到目前為止，已經發表了幾份分析該惡意軟件的報告。它們包含了惡意軟件如何工作的信息，捕獲的網絡數據，其中大多數包含了如何處理這種類型的惡意軟件的建議。仔細看看這些建議，或者現在稱為可操作項目，它們是高水平的項目。例如：

“使用異常檢測工具來檢測OT環境中發生的任何非正常活動”

“采用網絡分段，通過防火墻將敏感應用（如PCN）與其他網絡部分分開”

“利用ICS協議感知技術監控東西向ICS網絡”

在我看來，可操作性不強，或者需要有一整套的商業產品。對于大多數中小企業來說，這些產品并不適合操作。因此，我正在尋找如何以最小的努力檢測惡意軟件的方法。

讓我們來看看這個環境。SCADA網絡具有高度的確定性。意味著誰在與誰交談以及如何交談，即命令和控制模式是可重復的。對于IEC-104，這意味著在一天或工作日和周末的正常運行時間段內，可以發現相同類型和順序的IEC-104命令。

示例1：時間段為2個工作日和一個晚上，36小時：

發送的唯一命令是客戶端的時間同步。

將操作數據與可用的惡意軟件數據進行比較，可以看到惡意軟件的不同行為：

惡意軟件正在向客戶端設備發送一個又一個命令(ASDU=3)，在IOA中迭代。有點類似于檢查主機上的不同端口并嘗試登錄。

從防御者的角度來看，我們顯然不能阻止端口2404，也不能阻止惡意軟件使用的命令，因為一個或所有命令都是控制系統本身用于正常操作的。

但看看TypeID轉換，惡意軟件與合法流量是不同的：

在ntpng中，建立了三種檢測機制：

IEC意料之外的TypeID。由于操作員知道使用的TypeID，因此該檢查監視未知或不允許的TypeID，并向其發出警報。

IEC無效轉換。在這個檢查中，將在預定義的時間段內記錄TypeID轉換，即IEC60870學習期間，可在設置/首選項/行為分析下找到。如果檢測到未知的TypeID轉換，則會生成警報。

IEC無效命令轉換也會檢查轉換，但特別是命令的轉換。如果命令到命令的轉換量超過閾值，則會生成警報。

這三個檢查都可以在流檢查中找到。

對于“IEC無效轉換”，ntopng需要一個學習周期來跟蹤轉換。默認設置為6小時，但最有可能需要更長的學習時間，例如2天。

所有ntopng版本都支持IEC，因此您可以使用ntop工具監控您的網絡。

今日推薦

ntop產品介紹

虹科提供網絡流量監控與分析的軟件解決方案-ntop。該方案可在物理，虛擬，容器等多種環境下部署，部署簡單且無需任何專業硬件即可實現高速流量分析。解決方案由多個組件構成，每個組件即可單獨使用，與第三方工具集成，也可以靈活組合形成不同解決方案。包含的組件如下：

PF_RING：一種新型的網絡套接字，可顯著提高數據包捕獲速度，DPDK替代方案。

nProbe：網絡探針，可用于處理NetFlow/sFlow流數據或者原始流量。

n2disk：用于高速連續流量存儲處理和回放。