總部位于美國馬里蘭州的網(wǎng)絡(luò)安全公司Dragos是全球工控安全市場首個獨(dú)角獸企業(yè)，2021年Dragos完成2億美元D輪投資時估值超過20億美元。該公司專門保護(hù)生產(chǎn)天然氣、石油和化學(xué)品、采礦和生產(chǎn)線管理等工業(yè)企業(yè)的控制系統(tǒng)，其安全服務(wù)覆蓋了美國70%的電網(wǎng)。

近日，在遭遇疑似勒索軟件攻擊后，工控安全公司Dragos發(fā)布安全公告，披露在5月8日發(fā)生“網(wǎng)絡(luò)安全事件”，聲稱一個已知的勒索軟件犯罪組織試圖破壞Dragos的安全防御系統(tǒng)并滲透到內(nèi)網(wǎng)加密設(shè)備。

Dragos表示其公司網(wǎng)絡(luò)和安全平臺在攻擊中并未遭到破壞，攻擊者的橫向移動、提權(quán)、加密、駐留等攻擊手段大多被Dragos的多層安全控制和基于角色的訪問控制挫敗了，但攻擊者成功入侵了該公司的SharePoint云服務(wù)和合同管理系統(tǒng)。

鑒于Dragos在關(guān)鍵基礎(chǔ)設(shè)施和工業(yè)系統(tǒng)安全領(lǐng)域的重要地位，此次攻擊事件立刻成為業(yè)界觀摩的焦點(diǎn)，尤其是攻擊者的TTPs（技術(shù)、戰(zhàn)術(shù)、流程）和Dragos的事件響應(yīng)流程（下圖）。

攻擊者TTPs的MITRE ATT&CK映射

事件時間線

根據(jù)公告中提供的事件時間線，攻擊者通過新入職銷售員工之前泄露的個人電子郵件地址獲取訪問權(quán)限，隨后使用該員工個人信息冒充Dragos員工并完成員工入職流程中的初始步驟。

在入侵Dragos的SharePoint云平臺后，攻擊者下載了“一般用途數(shù)據(jù)”并訪問了25份通常僅供客戶使用的情報報告。

在攻擊者訪問員工帳戶的16小時內(nèi)，由于基于角色的訪問控制（RBAC）規(guī)則，攻擊者嘗試訪問了多個Dragos系統(tǒng)，包括消息傳遞、IT幫助臺、財務(wù)、提案請求（RFP）、員工識別和營銷系統(tǒng)，但都以失敗告終。

由于未能在Dragos的內(nèi)部系統(tǒng)成功部署勒索軟件，攻擊發(fā)生11個小時后，攻擊者轉(zhuǎn)而以披露事件來勒索Dragos，他們向Dragos高管發(fā)送了一封勒索電子郵件（下圖），由于在法定工作時間以外發(fā)送，該消息在5小時后才被閱讀。

Dragos的網(wǎng)絡(luò)安全部門在獲悉勒索消息五分鐘后立刻禁用了被盜用的員工帳戶，撤銷了所有活動會話，并阻止網(wǎng)絡(luò)犯罪分子的基礎(chǔ)設(shè)施訪問公司資源。

“我們相信，我們的分層安全控制成功阻止了威脅行為者部署勒索軟件的主要目標(biāo)，”Dragos在公告中指出：“我們阻止了攻擊者完成橫向移動、升級特權(quán)、建立持久訪問或?qū)A(chǔ)設(shè)施進(jìn)行任何更改。”

值得注意的是，作為慣用TTP的一部分，該網(wǎng)絡(luò)犯罪集團(tuán)不僅積極聯(lián)系Dragos的高管，還在對話中提及高管的家庭成員和聯(lián)系人。

顯然，攻擊者對目標(biāo)公司高管的家庭成員也有“研究”，他們知道Dragos高管家庭成員的名字。此外，在攻擊期間，網(wǎng)絡(luò)犯罪分子還通過個人電子郵件聯(lián)系了Dragos的高管。

Dragos提供的IOC中列出的IP地址之一（144.202.42[.]216）之前被發(fā)現(xiàn)托管SystemBC惡意軟件和Cobalt Strike，勒索軟件團(tuán)伙通常使用這兩種惡意軟件來遠(yuǎn)程訪問受感染的系統(tǒng)。

Equinix的CTI研究員Will Thomas認(rèn)為，SystemBC已被許多勒索軟件團(tuán)伙使用，包括Conti、ViceSociety、BlackCat、Quantum、Zeppelin和Play，因此很難確定攻擊背后的威脅行為者。

Thomas指出，該IP地址也被用于最近的BlackBasta勒索軟件攻擊，這可能有助于縮小嫌疑人范圍。

對于此次勒索軟件攻擊，Dragos明確表示不會助長網(wǎng)絡(luò)犯罪，將不會支付贖金。

“雖然外部事件響應(yīng)公司和Dragos分析師認(rèn)為事件得到了控制，但這是一項(xiàng)正在進(jìn)行的調(diào)查。由于我們選擇不支付勒索贖金而丟失并可能公開的數(shù)據(jù)令人遺憾。”Dragos總結(jié)道。

Dragos就此事件分享的經(jīng)驗(yàn)和建議如下：

• 加固IAM基礎(chǔ)架構(gòu)和流程
• 在整個企業(yè)中實(shí)施職責(zé)分離
• 將最小特權(quán)原則應(yīng)用于所有系統(tǒng)和服務(wù)
• 盡可能實(shí)施多因素身份驗(yàn)證
• 對已知的錯誤IP地址應(yīng)用顯式阻止
• 仔細(xì)檢查傳入電子郵件中的典型網(wǎng)絡(luò)釣魚觸發(fā)器，包括電子郵件地址、URL和拼寫
• 通過經(jīng)過測試的事件響應(yīng)手冊確保持續(xù)的安全監(jiān)控到位