總部位于美國(guó)馬里蘭州的網(wǎng)絡(luò)安全公司Dragos是全球工控安全市場(chǎng)首個(gè)獨(dú)角獸企業(yè)，2021年Dragos完成2億美元D輪投資時(shí)估值超過(guò)20億美元。該公司專(zhuān)門(mén)保護(hù)生產(chǎn)天然氣、石油和化學(xué)品、采礦和生產(chǎn)線管理等工業(yè)企業(yè)的控制系統(tǒng)，其安全服務(wù)覆蓋了美國(guó)70%的電網(wǎng)。

近日，在遭遇疑似勒索軟件攻擊后，工控安全公司Dragos發(fā)布安全公告，披露在5月8日發(fā)生“網(wǎng)絡(luò)安全事件”，聲稱(chēng)一個(gè)已知的勒索軟件犯罪組織試圖破壞Dragos的安全防御系統(tǒng)并滲透到內(nèi)網(wǎng)加密設(shè)備。

Dragos表示其公司網(wǎng)絡(luò)和安全平臺(tái)在攻擊中并未遭到破壞，攻擊者的橫向移動(dòng)、提權(quán)、加密、駐留等攻擊手段大多被Dragos的多層安全控制和基于角色的訪問(wèn)控制挫敗了，但攻擊者成功入侵了該公司的SharePoint云服務(wù)和合同管理系統(tǒng)。

鑒于Dragos在關(guān)鍵基礎(chǔ)設(shè)施和工業(yè)系統(tǒng)安全領(lǐng)域的重要地位，此次攻擊事件立刻成為業(yè)界觀摩的焦點(diǎn)，尤其是攻擊者的TTPs（技術(shù)、戰(zhàn)術(shù)、流程）和Dragos的事件響應(yīng)流程（下圖）。

攻擊者TTPs的MITRE ATT&CK映射

事件時(shí)間線

根據(jù)公告中提供的事件時(shí)間線，攻擊者通過(guò)新入職銷(xiāo)售員工之前泄露的個(gè)人電子郵件地址獲取訪問(wèn)權(quán)限，隨后使用該員工個(gè)人信息冒充Dragos員工并完成員工入職流程中的初始步驟。

在入侵Dragos的SharePoint云平臺(tái)后，攻擊者下載了“一般用途數(shù)據(jù)”并訪問(wèn)了25份通常僅供客戶(hù)使用的情報(bào)報(bào)告。

在攻擊者訪問(wèn)員工帳戶(hù)的16小時(shí)內(nèi)，由于基于角色的訪問(wèn)控制（RBAC）規(guī)則，攻擊者嘗試訪問(wèn)了多個(gè)Dragos系統(tǒng)，包括消息傳遞、IT幫助臺(tái)、財(cái)務(wù)、提案請(qǐng)求（RFP）、員工識(shí)別和營(yíng)銷(xiāo)系統(tǒng)，但都以失敗告終。

由于未能在Dragos的內(nèi)部系統(tǒng)成功部署勒索軟件，攻擊發(fā)生11個(gè)小時(shí)后，攻擊者轉(zhuǎn)而以披露事件來(lái)勒索Dragos，他們向Dragos高管發(fā)送了一封勒索電子郵件（下圖），由于在法定工作時(shí)間以外發(fā)送，該消息在5小時(shí)后才被閱讀。

Dragos的網(wǎng)絡(luò)安全部門(mén)在獲悉勒索消息五分鐘后立刻禁用了被盜用的員工帳戶(hù)，撤銷(xiāo)了所有活動(dòng)會(huì)話，并阻止網(wǎng)絡(luò)犯罪分子的基礎(chǔ)設(shè)施訪問(wèn)公司資源。

“我們相信，我們的分層安全控制成功阻止了威脅行為者部署勒索軟件的主要目標(biāo)，”Dragos在公告中指出：“我們阻止了攻擊者完成橫向移動(dòng)、升級(jí)特權(quán)、建立持久訪問(wèn)或?qū)A(chǔ)設(shè)施進(jìn)行任何更改。”

值得注意的是，作為慣用TTP的一部分，該網(wǎng)絡(luò)犯罪集團(tuán)不僅積極聯(lián)系Dragos的高管，還在對(duì)話中提及高管的家庭成員和聯(lián)系人。

顯然，攻擊者對(duì)目標(biāo)公司高管的家庭成員也有“研究”，他們知道Dragos高管家庭成員的名字。此外，在攻擊期間，網(wǎng)絡(luò)犯罪分子還通過(guò)個(gè)人電子郵件聯(lián)系了Dragos的高管。

Dragos提供的IOC中列出的IP地址之一（144.202.42[.]216）之前被發(fā)現(xiàn)托管SystemBC惡意軟件和Cobalt Strike，勒索軟件團(tuán)伙通常使用這兩種惡意軟件來(lái)遠(yuǎn)程訪問(wèn)受感染的系統(tǒng)。

Equinix的CTI研究員Will Thomas認(rèn)為，SystemBC已被許多勒索軟件團(tuán)伙使用，包括Conti、ViceSociety、BlackCat、Quantum、Zeppelin和Play，因此很難確定攻擊背后的威脅行為者。

Thomas指出，該IP地址也被用于最近的BlackBasta勒索軟件攻擊，這可能有助于縮小嫌疑人范圍。

對(duì)于此次勒索軟件攻擊，Dragos明確表示不會(huì)助長(zhǎng)網(wǎng)絡(luò)犯罪，將不會(huì)支付贖金。

“雖然外部事件響應(yīng)公司和Dragos分析師認(rèn)為事件得到了控制，但這是一項(xiàng)正在進(jìn)行的調(diào)查。由于我們選擇不支付勒索贖金而丟失并可能公開(kāi)的數(shù)據(jù)令人遺憾。”Dragos總結(jié)道。

Dragos就此事件分享的經(jīng)驗(yàn)和建議如下：

• 加固IAM基礎(chǔ)架構(gòu)和流程
• 在整個(gè)企業(yè)中實(shí)施職責(zé)分離
• 將最小特權(quán)原則應(yīng)用于所有系統(tǒng)和服務(wù)
• 盡可能實(shí)施多因素身份驗(yàn)證
• 對(duì)已知的錯(cuò)誤IP地址應(yīng)用顯式阻止
• 仔細(xì)檢查傳入電子郵件中的典型網(wǎng)絡(luò)釣魚(yú)觸發(fā)器，包括電子郵件地址、URL和拼寫(xiě)
• 通過(guò)經(jīng)過(guò)測(cè)試的事件響應(yīng)手冊(cè)確保持續(xù)的安全監(jiān)控到位