CyberX公司某研究小組計劃發布一款開源在線工具——基于Web的免費沙箱工具,利用蜜罐功能捕捉并審查各類工業控制系統(ICS)惡意軟件樣本,能夠模擬真實世界中的工業網絡環境。
沙箱工具能夠解決哪些問題?
日前,該公司研究副總裁大衛·阿奇和他的團隊最初以研究目的開發出這套免費沙箱工具,他在采訪當中解釋稱:“這就像是一套專供工業控制系統使用的 VirusTotal(免費可疑文件分析服務的網站)。”
VirusTotal是目前廣泛流行的在線工具,能夠利用多種反病毒引擎對可疑文件及URL中的惡意軟件進行分析。此項目的目標在于創建一套能夠模擬真實世界中工業網絡的沙箱體系。
CyberX Labs表示,這款沙箱工具允許運行并解壓工業控制系統惡意軟件,而后檢測其中的 OPC(開放平臺通信)掃描或覆蓋 PLC 配置文件等惡意活動,同時提供快速的離線檢測功能。預計這款工具將在未來幾個月內正式與廣大用戶見面。
阿奇指出,現有網絡沙箱技術主要面向非工業控制系統或者IT環境,而無法有效針對專門的工業控制系統的惡意軟件——這是因為其并未考慮到 OT 協議與設備,也無法模擬 OT 組件。加之工業控制系統社區沒有足夠的工具,而且VirusTotal在處理工業控制系統相關惡意軟件時效果并不理想。
工控惡意軟件分析難度較大
Langner Communications公司創始人兼CEO拉爾夫·朗格納解釋稱,以震網(Stuxnet)病毒為例——首個震網變種于2007年被發送至 VirusTotal,但直到2012年震網才被真正檢測發現。他表示強烈支持面向工業控制系統相關惡意軟件構建 VirusTotal 的想法。作為頂尖震網病毒研究專家,朗格納表示工業控制系統惡意軟件分析是一項極耗時間的工作,他曾利用三年時間來分析震網病毒。
這款工業控制系統惡意軟件沙箱工具旨在高效發現專門針對工業控制系統的惡意軟件,并可模擬往來于 PLC 之間的流量類型,從而實現蜜罐功能。這意味著其可在安全空間內執行惡意軟件,包括對其進行解壓縮、功能執行并將其與已知變種進行匹配。這款工具中包含OT軟件、虛擬化工業控制系統進程與文件,外加一套低交互工業控制系統網絡(蜜罐元素)。
工業控制系統沙箱的概念并非新生事物:Trend Micro公司的研究人員們早在2013年就曾公布兩款基于蜜罐思路的架構,其根據供電企業的運營流程構建起一套典型的工業控制系統/數據采集與監控系統(SCADA)環境,其中還包括一款基于Web的水壓應用。據外媒報道,趨勢科技研究團隊曾在28天內發現了來自14個國家的39起針對工控系統的攻擊事件,并稱其中35%相關攻擊似乎來自中國,19%為美國,12%的為老撾。
京公網安備 11010502049343號