记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

资产管理在工控网络中的角色定位

大多数工业控制系统(ICS)都是几十年前设计和部署的。因而,它们缺乏IT网络中基本的资产发现和管理功能。 制造工业从传统上就一直挣扎于维护准确的资产清单。自动化营销软件公司TechValidate为工程和地理空间软件供应商鹰图公司做了一次针对185位制造工业从业者的调查,发现61%的业主经营人对自己找到支持应急响应所需信息的能力缺乏完全自信。超过半数的受访者20-80%的时间都耗费在查找和验证工厂信息上,包括进行工程验收。 随着网络威胁日益严重,很多制造工业公司希望能捍卫自身ICS网络。然而,缺了对资产的全面掌握,风险评估和有效防御应用都是不可能的。 为什么ICS网络缺乏资产管理 不同于高度进化的IT网络世界,工业网络常依赖于人工过程、注释和电子表格,没有自动化发现解决方案和非常高级的资产管理实践。很多工厂存
发布时间:2016-12-31 00:10 | 阅读:135098 | 评论:0 | 标签:术有专攻 工控 资产管理

火眼2016工业控制系统漏洞趋势报告:漏掉警告、暴露的工业环境

工业控制系统对于电网、电站、供水站、油气生产、食物饮料制造、运输系统等的作用像是科技版的骡子。经常不为人所知的是,我们的社会依赖这些系统来保证自身运转顺畅。然而,火眼发布的一份新的研究报告指出,如果机构运行存在漏洞的工业控制系统,将有可能让自己暴露在外界攻击者或恶意内部人员的风险之下。火眼iSight Intelligence 2016 ICS Vulnerability Trend Report的标题是“过载:来自工业控制系统15年漏洞的关键教训”。该研究收纳了从2000年1月到2016年4月的1552个工业控制系统漏洞和外界出现的漏洞利用。以下是对于关键内容和指导意见的总结。几乎每个工业控制系统厂商都受到漏洞影响有123家厂商受到了工业控制系统漏洞暴露的影响。这些存在漏洞的系统有可能正被你所在的机构工业控制
发布时间:2016-08-08 18:55 | 阅读:100492 | 评论:0 | 标签:行业动态 工控 漏洞 火眼

像癌症一样传播:世界首个PLC病毒问世

这是世界上首个真正意义上的工控蠕虫病毒,它能够对关键基础设施产生灾难性的后果,通过制造指数级增长的攻击,而且难以检测和制止。所幸的是,它现在还只是个POC(概念验证)。这个POC已经被两起独立的研究测试证实,能够以静默模式实现端到端的攻击。有人会说,震网不就是工控病毒吗?话虽这样说,但震网之类的工控恶意软件,包括“黑色能量”等是要依赖于一台被感染的计算机才能传播并感染PLC(可编程控制器)的,也就是说把被感染的计算机移除即可制止病毒的传播。开发出这个真正工控蠕虫POC的两位研究人员,Spenneberg(斯班伯格)和Brüggeman(布鲁格曼)表示,该病毒可以在西门子 S7 1200 可编程控制器之间像癌症一样的扩散, 并在改编之后作用于其他系统。而且还可以在代理链接中使用,作为立足点以进入基础设施的网络系统
发布时间:2016-05-09 07:00 | 阅读:97341 | 评论:0 | 标签:威胁情报 工控 蠕虫病毒

德国贡德雷明根核电站发现病毒

根据德国BR24通讯社的报道,贡德雷明根核电站的一个系统中发现了病毒。根据专家作出的初步评估,这个病毒没有对核电站的关键部分造成影响,也不会构成重大威胁。审计表明,与Stuxnet不同,这款病毒不是为核电站设计的,而是一款普通的病毒。可能的感染渠道之一就是病毒通过某个员工所使用的U盘被带入贡德雷明根核电站。IT专家Thomas Wolf对此事评论道,恶意软件的威胁还是会存在于断网的系统中,任何有数据交换的环节都可能成为传染渠道。Wolf还指出,即使在一个具有“全面病毒保护和先进安全管理”的环境下病毒仍能轻易传播。这次事件中,病毒是被发现的系统是一台用于将使用后的反应堆燃料转移到仓库的系统。“控制核反应过程的系统是模拟的,因此能够隔绝网络攻击。这些系统设计时加入了安全特性以防止被操纵。” 贡
发布时间:2016-04-28 21:00 | 阅读:119946 | 评论:0 | 标签:网络安全 ICS 工控

物理隔离已是过去 工控网络如何更好地保护SCADA

2014年11月,来自本古里安大学的研究人员发布了AirHopper,该恶意软件可以强制计算机将敏感信息以键盘敲击的形式,通过无线电波传送给无线接收器。研究团队接下来在没有网络、SIM卡或WiFi的条件下演示了AirHopper的攻击过程。这项成果让人们更加担心物理隔离安全。当时,一些观察家仍旧看好物理隔离系统。比如来自Dark Reading的艾里加·克考斯基(Erika Chickowski)写道,系统管理员能够采取一定的措施,保护系统免受AirHopper和其它使用声音和非可见光传输恶意命令的威胁向量的攻击。比如将声音功能关闭、限制或完全禁止手机靠近物理隔离设备。但之后的事态发展并不利于物理隔离的支持者。今天,产业内的大多数人都认为物理隔离的设计华而不实。但这并不是说并不存在真正的物理隔离。埃里克·贝尔斯
发布时间:2016-02-01 16:30 | 阅读:135732 | 评论:0 | 标签:牛观点 牛闻牛评 SCADA 工控 物理隔离

美国工业控制系统网络应急响应小组2015年关键基础设施报告

美国工业控制系统网络应急响应小组(Industrial Control Systems Cyber Emergency Response Team,ICS-CERT)在过去的财年中共收到295个涉及关键基础设施的上报事件,与之相比,去年的事件数为245件。在 ICS-CERT 给出的2015年数据中,全部安全事件的三分之一涉及关键制造领域,该比例在2014年仅为27%。某高级持续威胁小组针对关键制造业和其它领域发动的鱼叉式钓鱼行动导致了这种上升。该小组被称为 APT3,黑客成员在行动中利用了 Adobe Flash Player 的一个零日漏洞(CVE-2015-3113)。ICS-CERT 称,2014年,该威胁源进行了一次侦查行动,使用社会工程学手段对付目标机构雇员,骗取有价值的信息。2014年,能源领域的
发布时间:2016-01-25 16:45 | 阅读:92529 | 评论:0 | 标签:牛观点 牛闻牛评 关键基础设施 工控 应急响应

如何实施工控系统的风险评估? 本周五14点在线讲座直播

安全牛在线技术讲座第二期来了!不用担心下雪、雾霾、冻成狗,不用考虑堵车、单双号、找停车位,不用签到找座位、找电源、找网络。只需在自己的办公环境里,甚至是家里,在自己的计算机上,听直播讲座!本次讲座的内容为“如何实施工控系统的风险评估”,主讲人为威努特工控安全公司联合创始人 赵宇。 赵宇赵宇,东北大学模式识别与智能系统专业毕业。多年信息安全行业研发及营销工作经验,历任华为安全产品硬件研发工程师、产品经理,绿盟科技高级产品推广经理,奇虎360高级安全咨询经理等职。曾负责华为USG2000防火墙的硬件开发,华为安全产品海外市场营销,绿盟云安全产品上市推广,360企业安全产品技术咨询等工作。对信息安全软硬件技术知识有着深厚的积累,精通企业信息安全体系建设及解决方案。讲座内容简介:一、工控风险评估综述包括评估原因、原则与
发布时间:2016-01-25 16:45 | 阅读:157599 | 评论:0 | 标签:动态 行业动态 安全牛 工控 风险评估

任何口令都可访问Advantech工业网关

由于网关生产商的编程错误,与互联网连接的工业设备可以被任何人访问。 台湾企业Advantech在去年10月份,为了移除一个硬编码密钥,给它的网关设备(串联到IP)固件打补丁。这个密钥存在漏洞,可允许远程攻击者进行未授权访问。但这个补丁却造成了一个更大的问题,任何口令都可解锁这些打了固件补丁的网关,这些网关用于把一直在使用中的陈旧的串联设备连接到遍布全世界工业环境中的TCP/IP和蜂窝式网络。Rapid7的研究人员发现了这个问题,漏洞存在于Advantech发布的EKI-1322型号的网关固件中,版本号为1.98。该网关用于连接串联设备和以太网设备到蜂窝式网络中。该网关的固件包含一个大量修改过的开源SSH服务器Dropbear,由于修改导致不再要求强制认证,任何用户都可用公钥和口令连接防问。除此之外,可
发布时间:2016-01-21 21:15 | 阅读:99719 | 评论:0 | 标签:动态 威胁情报 Advantech 工控 远程访问

低水平黑客也可远程攻击工业电机并造成物理破坏

造成物理破坏的黑客攻击屈指可数。臭名昭著的震网蠕虫是世上首个,它对伊朗的核离心机造成了物理破坏。2014年,德国报告了第二次黑客行为造成物理破坏的记录,该事件导致钢铁厂的熔炉产生破坏。这两次攻击都需要基于对目标的大量背景知识来发动。但研究人员近期已经发现了一种简单的方法,可以让技术水平比较低的黑客通过单次远程连接造成物理破坏,其中很多设备很容易通过互联网访问到。风扇电机、供水厂水泵、采矿、供暖和空调系统中的电机都由变频驱动器控制,很容易遭到攻击。驱动器是一种电子设备,可以设置并保持电机维持在特定速度工作的电子频率。这些电机最后会控制水泵、岩石破碎系统和空气压缩设备。雷德·威特曼(Reid Wightman)是 Digital Bond Labs 的安全研究人员,他发现,至少有四家变频驱动器的制造商都存在相同的漏
发布时间:2016-01-19 08:30 | 阅读:99122 | 评论:0 | 标签:威胁情报 牛观点 工控 物理破坏 黑客

没有确凿证据表明乌克兰停电与恶意软件有关 但工控系统的确越来越危险

一位美国政府网络安全官员警告称:官方去年监测到工控系统网络渗透攻击有所上升,且由于暴露在互联网上,这些系统很容易被攻破。工控系统是控制工业过程操作的一组计算机,从电站、钢铁厂到饼干厂和酿酒厂,到处都有它们的身影。国土安全部(DHS)工业控制系统网络应急响应小组( ICS-CERT)的马蒂·爱德华兹说:“我们看到越来越多工控系统层权限被获取的案例。”ICS-CERT帮助美国公司调查针对工控系统及公司网络的可疑网络攻击。上月末,乌克兰当局控诉俄罗斯发动网络攻击致使其大规模停电。这或许是首例由网络攻击引发的停电事件。自此,对关键基础设施安全的关注度就显著上升。在迈阿密参加S4大会的300名关键基础设施和安全专家称,该事件导致美国公司纷纷自省自身系统是否能抵御住类似的攻击。爱德华兹认为,攻击的增加主要是因为有更多的工控
发布时间:2016-01-17 11:00 | 阅读:104373 | 评论:0 | 标签:牛观点 牛闻牛评 工控 恶意软件 电力系统

施耐德电气重要信息安全通知——M340以太网模块Web服务漏洞

漏洞概述在登录M340web页面时,输入90-100个字符的随机密码可导致M340以太网模块拒绝服务、通讯中断。受影响用户使用M340web页面或未关闭web服务,并未经防火墙或其他隔离保护将M340接入其他网络或公共网络的用户。凡采用施耐德电气整体解决方案的用户,以及由施耐德电气实施的项目,以太网模块与非生产网络之间已经部署了保护或隔离措施。受影响产品BMXNOC0401 (版本早于 v2.09)BMXNOE0100 (版本早于 v3.10)BMXNOE0100H (版本早于 v3.10)BMXNOE0110 (版本早于 v6.30)BMXNOE0110H (版本早于 v6.30)BMXNOR0200 (版本早于 v1.70)BMXNOR0200H (版本早于 v1.70)BMXP342020 (版本早于 v
发布时间:2016-01-14 22:20 | 阅读:106994 | 评论:0 | 标签:动态 威胁情报 CyberX 工控 施耐德 漏洞

搞掉电网的“黑暗能量”新增磁盘擦除和SSH后门工具

专注入侵能源行业公司的网络间谍团伙“黑暗能量”近期更新了他们的武器库,添加了破坏性清除数据的组件和带后门的SSH服务器。该团伙最近攻击了乌克兰配电网和媒体公司,导致电力中断和数据丢失。该团伙已活跃了好些年,被安全社区根据其主要恶意软件工具的名字冠以“沙虫”(Sandworm)或“黑暗能量” (BlackEnergy)之名。它的主要目标是运营工业控制系统的公司企业,尤其是在能源产业,但也涉及高级政府组织、市政府、联邦应急服务、国家标准机构、银行、学术研究院所和地产公司。杀毒软件厂商ESET的安全研究人员称,过去几个月里,该团伙攻击了乌克兰媒体和能源产业的公司企业。这些新的攻击行动透露出该团伙技术上的一些改变。11月,乌克兰计算机应急响应小组(CERT-UA)报告称:该国10月地方选举期间,多家媒体机构遭遇“黑暗能
发布时间:2016-01-11 18:30 | 阅读:118839 | 评论:0 | 标签:动态 威胁情报 blackenergy 工控 电力系统 后门

工业物联网的五大关键挑战

物联网(IoT)是当今科技最主要的潮流之一。作为计算和通信领域的创新融合,物联网及其“智能”设备已准备好在人机交互方面的彻底变革。物联网已经开始向各种细分市场渗透,这种渗透最为显著的一个垂直领域就在工业界。事实上,能源、医疗保健、汽车和其他行业也正开始与工业物联网(IIoT)相融合。这些行业所用的设备,比如传感器、机器人、混合罐和胰岛素泵,越来越多地加入了物联网的“大军”。IIoT将彻底改变未来,不仅仅是工业系统的未来,还有牵涉其中的很多人的未来。如果能充分挖掘工业物联网的潜力,很多人将从其无数的机会中创造价值并受益。比如智能电网和智能医疗,以及新型的具备意识制造生态系统的研发。问题在于,能相连互通并接入互联网的设备有可能会威胁到工业控制系统(ICS)的安全。这些系统是公共事业、能源和核产业运营的关键。更准确地
发布时间:2015-12-22 01:50 | 阅读:96212 | 评论:0 | 标签:牛观点 牛闻牛评 工控 物联网

Havex:以工控设备为狩猎目标的恶意软件

在过去一年,我们对Havex恶意程序家族及其背后的组织保持了高度的关注。Havex被认为以不同工业领域为目标进行攻击的恶意软件,并且在最初的报告中,该恶意软件对能源行业尤为感兴趣。Havex的主要构成为通用的远程木马(Remote Access Trojan,RAT)和用PHP编写的服务器程序。可以在服务器的代码中看到“Havex”这个名字。在2014年的春天,我们发现Havex开始对工业控制系统(IndustrialControl Systems, ICS)有特殊的兴趣,该恶意软件背后的组织使用了一个创新型木马来接近目标。攻击者首先把ICS/SCADA制造商的网站上用来供用户下载的相关软件感染木马病毒,当用户下载这些软件并安装时实现对目标用户的感染。我们收集并分析了Havex的88个变种,主要
发布时间:2014-07-18 12:05 | 阅读:157564 | 评论:0 | 标签:系统安全 apt havex 工控 工控设备安全 恶意软件

2013黑帽大会:失控 – 针对工业SCADA系统的漏洞利用(一)

SCADA vs DCS        SCADA系统通常应用于不需要实时控制的场合,其设备通常会分布在一个很大的地理区域(例如石油管线),并且为了操作方便需要远程访问。 集散控制系统(DCS)通常应用于实时控制(例如工厂、组装线),其设备通常是部署在一个区域。 网络结构Figure1标准DCS网络拓扑结构Figure 2标准SCADA网络拓扑结构        标准的SCADA网络由多个层构成的,层与层之间形成了关键系统间的隔离,除此之外,通常能够在其业务网段发现更有危害的网络传输。SCADA网络可以采用多种传输手段来实现远程现场设备和
发布时间:2013-12-16 15:30 | 阅读:95808 | 评论:0 | 标签:系统安全 scada SCADA漏洞 工控 漏洞

公告

九层之台,起于垒土;黑客之术,始于阅读

推广

工具

标签云