總部位于美國馬里蘭州的網(wǎng)絡安全公司Dragos是全球工控安全市場首個獨角獸企業(yè)，2021年Dragos完成2億美元D輪投資時估值超過20億美元。該公司專門保護生產(chǎn)天然氣、石油和化學品、采礦和生產(chǎn)線管理等工業(yè)企業(yè)的控制系統(tǒng)，其安全服務覆蓋了美國70%的電網(wǎng)。

近日，在遭遇疑似勒索軟件攻擊后，工控安全公司Dragos發(fā)布安全公告，披露在5月8日發(fā)生“網(wǎng)絡安全事件”，聲稱一個已知的勒索軟件犯罪組織試圖破壞Dragos的安全防御系統(tǒng)并滲透到內(nèi)網(wǎng)加密設備。

Dragos表示其公司網(wǎng)絡和安全平臺在攻擊中并未遭到破壞，攻擊者的橫向移動、提權(quán)、加密、駐留等攻擊手段大多被Dragos的多層安全控制和基于角色的訪問控制挫敗了，但攻擊者成功入侵了該公司的SharePoint云服務和合同管理系統(tǒng)。

鑒于Dragos在關鍵基礎設施和工業(yè)系統(tǒng)安全領域的重要地位，此次攻擊事件立刻成為業(yè)界觀摩的焦點，尤其是攻擊者的TTPs（技術、戰(zhàn)術、流程）和Dragos的事件響應流程（下圖）。

攻擊者TTPs的MITRE ATT&CK映射

事件時間線

根據(jù)公告中提供的事件時間線，攻擊者通過新入職銷售員工之前泄露的個人電子郵件地址獲取訪問權(quán)限，隨后使用該員工個人信息冒充Dragos員工并完成員工入職流程中的初始步驟。

在入侵Dragos的SharePoint云平臺后，攻擊者下載了“一般用途數(shù)據(jù)”并訪問了25份通常僅供客戶使用的情報報告。

在攻擊者訪問員工帳戶的16小時內(nèi)，由于基于角色的訪問控制（RBAC）規(guī)則，攻擊者嘗試訪問了多個Dragos系統(tǒng)，包括消息傳遞、IT幫助臺、財務、提案請求（RFP）、員工識別和營銷系統(tǒng)，但都以失敗告終。

由于未能在Dragos的內(nèi)部系統(tǒng)成功部署勒索軟件，攻擊發(fā)生11個小時后，攻擊者轉(zhuǎn)而以披露事件來勒索Dragos，他們向Dragos高管發(fā)送了一封勒索電子郵件（下圖），由于在法定工作時間以外發(fā)送，該消息在5小時后才被閱讀。

Dragos的網(wǎng)絡安全部門在獲悉勒索消息五分鐘后立刻禁用了被盜用的員工帳戶，撤銷了所有活動會話，并阻止網(wǎng)絡犯罪分子的基礎設施訪問公司資源。

“我們相信，我們的分層安全控制成功阻止了威脅行為者部署勒索軟件的主要目標，”Dragos在公告中指出：“我們阻止了攻擊者完成橫向移動、升級特權(quán)、建立持久訪問或?qū)A設施進行任何更改。”

值得注意的是，作為慣用TTP的一部分，該網(wǎng)絡犯罪集團不僅積極聯(lián)系Dragos的高管，還在對話中提及高管的家庭成員和聯(lián)系人。

顯然，攻擊者對目標公司高管的家庭成員也有“研究”，他們知道Dragos高管家庭成員的名字。此外，在攻擊期間，網(wǎng)絡犯罪分子還通過個人電子郵件聯(lián)系了Dragos的高管。

Dragos提供的IOC中列出的IP地址之一（144.202.42[.]216）之前被發(fā)現(xiàn)托管SystemBC惡意軟件和Cobalt Strike，勒索軟件團伙通常使用這兩種惡意軟件來遠程訪問受感染的系統(tǒng)。

Equinix的CTI研究員Will Thomas認為，SystemBC已被許多勒索軟件團伙使用，包括Conti、ViceSociety、BlackCat、Quantum、Zeppelin和Play，因此很難確定攻擊背后的威脅行為者。

Thomas指出，該IP地址也被用于最近的BlackBasta勒索軟件攻擊，這可能有助于縮小嫌疑人范圍。

對于此次勒索軟件攻擊，Dragos明確表示不會助長網(wǎng)絡犯罪，將不會支付贖金。

“雖然外部事件響應公司和Dragos分析師認為事件得到了控制，但這是一項正在進行的調(diào)查。由于我們選擇不支付勒索贖金而丟失并可能公開的數(shù)據(jù)令人遺憾。”Dragos總結(jié)道。

Dragos就此事件分享的經(jīng)驗和建議如下：

• 加固IAM基礎架構(gòu)和流程
• 在整個企業(yè)中實施職責分離
• 將最小特權(quán)原則應用于所有系統(tǒng)和服務
• 盡可能實施多因素身份驗證
• 對已知的錯誤IP地址應用顯式阻止
• 仔細檢查傳入電子郵件中的典型網(wǎng)絡釣魚觸發(fā)器，包括電子郵件地址、URL和拼寫
• 通過經(jīng)過測試的事件響應手冊確保持續(xù)的安全監(jiān)控到位