【工控安全】工控系統(tǒng)惡意感染軟件大多“業(yè)余”

　　工業(yè)控制安全公司Dragos發(fā)布新研究指出，每年有近3000個(gè)工業(yè)網(wǎng)站被普通的常規(guī)惡意軟件感染，但專門針對工業(yè)控制系統(tǒng)（ICS）的惡意軟件卻不常見。

　　Dragos威脅運(yùn)營總監(jiān)本·米勒表示，惡意軟件確實(shí)進(jìn)入了ICS環(huán)境，但大多數(shù)表現(xiàn)為“機(jī)會(huì)主義”。

　　Dragos分析了從VirusTotal（惡意軟件掃描服務(wù)）收集的1．5萬個(gè)樣本（3個(gè)月），研究人員確定，Sivis、Ramnit和 Virut病毒是工業(yè)設(shè)置中最常見的惡意程序。Dragos發(fā)博文解釋稱，這類感染十分常見，通常不會(huì)對物理安全構(gòu)成危險(xiǎn)。

　　另一方面，諸如BlackEnergy這類“量身定做”的威脅（破壞烏克蘭電網(wǎng)）在某些情況下會(huì)對工業(yè)環(huán)境構(gòu)成重大危害。但在收集的樣本中，Dragos僅發(fā)現(xiàn)12個(gè)是專門設(shè)計(jì)用來滲透工業(yè)控制系統(tǒng)的惡意軟件的實(shí)例。

　　在這12個(gè)實(shí)例中，最具危害性的要屬一款犯罪軟件。自2013年以來，這款軟件一再設(shè)法通過西門子可編程邏輯控制器（PLC）軟件攻擊美國某工業(yè)控制環(huán)境。報(bào)告稱，過去四年，這種活動(dòng)被記錄過10次。

　　Dragos認(rèn)為，不熟悉ICS環(huán)境的IT安全團(tuán)隊(duì)有時(shí)會(huì)將合法ICS軟件標(biāo)記為惡意軟件。Dragos報(bào)告了數(shù)千種獨(dú)特的ICS軟件，包括公共惡意軟件數(shù)據(jù)庫中的人機(jī)界面安裝程序、數(shù)據(jù)歷史存儲(chǔ)安裝程序和關(guān)鍵發(fā)生器。報(bào)告警告稱，這可能只是對手單純下載這些軟件文件用這種文件來學(xué)習(xí)和實(shí)踐。

　　Dragos報(bào)告稱，已發(fā)現(xiàn)了120多個(gè)合法ICS項(xiàng)目文件被錯(cuò)誤標(biāo)記，并提交到公共惡意軟件數(shù)據(jù)庫，包括核監(jiān)管委員會(huì)報(bào)告、變電站布局和威脅報(bào)告。

　　米勒表示，他們發(fā)現(xiàn)一些提供商和用戶并沒有意識(shí)到自己上傳的內(nèi)容會(huì)導(dǎo)致數(shù)據(jù)泄露，其中一些上傳文件還包括不應(yīng)該上傳的工程、合規(guī)和維修等內(nèi)容。