图片展示

警惕:EKANS勒索表明网络犯罪已针对工控系统行动

发表时间: 2020-02-14 11:10:09

来源: malwarebenchmark

浏览: 361

以前,ICS相关的恶意软件仅是国家背景的APT的游乐场,而EKANS表明,网络犯罪份子也开始瞄准了该领域。

尽管EKANS勒索软件并不复杂,但该恶意软件实在的表明了攻击者已经将目标选向了工业控制系统。EKANS也被称为Snake,用Golang编写的,将整个网络作为目标,并且存在大量混淆。样本:

File Name: update.exe

MD5: 3d1cc4ef33bad0e39c757fce317ef82a

SHA1: f34e4b7080aa2ee5cfee2dac38ec0c306203b4ac

SHA256: e5262db186c97bbe533f0a674b08ecdafa3798ea7bc17c705df526419c168b60

包含的Go libraries:

加密后,通过在原始文件扩展名后添加随机的五个字符(大小写字母)来重命名文件。例如,如图所示,Python PYD文件被加密,其他字符添加到PYD扩展名中。

完成进程停止和加密操作后,EKANS会将赎金记录放到系统驱动器的根目录(通常为C:\)和活动用户的桌面上。赎金记录如图所示。

关键基础设施安全公司Dragos在2月3日发布的一份报告中说,一种相当简单的勒索软件攻击引起了安全研究人员的注意,因为它具有迫使计算机停止与工业控制系统有关的特定活动或过程的能力。

过去,勒索软件通常会在工业控制系统(ICS)环境中造成破坏,这是恶意软件破坏性活动的副作用-加密数据会导致某些软件出现故障,从而导致中断。而EKANS勒索软件是主动针对ICS环境中的某些特定产品攻击的。

报告中指出,勒索软件的目标进程始于GE的Proficy data historian,该进程记录了网络上设备的事件和状态;GE Fanuc licensing服务器服务以及Honeywell的HMIWeb应用程序。

因此报告强烈建议ICS资产所有者和运营商检查其攻击面,并确定具有ICS特定特征的分发和分发破坏性恶意软件(如勒索软件)的机制。

针对ICS流程的目标使EKANS与MegaCortex勒索软件处于同一类别,后者已经成功感染了若干公司的系统,并要求勒索金额从20,000美元到580万美元不等。

停止其它进程的策略在恶意软件中很常见。作为感染系统的第一步,许多程序都将尝试停止防病毒。EKANS静态列出了它尝试停止的64个不同进程,但MegaCortex却拥有自己的,更大得多的1000个进程列表。EKANS目标进程:

进程

描述

bluestripecollector.exe

BlueStripe Data Collector

ccflic0.exe

Proficy Licensing

ccflic4.exe

Proficy Licensing

cdm.exe

Nimsoft Related

certificateprovider.exe

Ambiguous

client.exe

Ambiguous

client64.exe

Ambiguous

collwrap.exe

BlueStripe Data Collector

config_api_service.exe

ThingWorx Industrial Connectivity Suite, Ambiguous

dsmcsvc.exe

Tivoli Storage Manager Client

epmd.exe

RabbitMQ Server (SolarWinds)

erlsrv.exe

Erlang

fnplicensingservice.exe

FLEXNet Licensing Service

hasplmv.exe

Sentinel Hasp License Manager

hdb.exe

Honeywell HMIWeb

healthservice.exe

Microsoft SCCM

ilicensesvc.exe

GE Fanuc Licensing

inet_gethost.exe

Erlang

keysvc.exe

Ambiguous

managementagenthost.exe

VMWare CAF Management Agent Service

monitoringhost.exe

Microsoft SCCM

msdtssrvr.exe

Microsoft SQL Server Integration Service

msmdsrv.exe

Microsoft SQL Server Analysis Services

musnotificationux.exe

Microsoft Update Notification Service

n.exe

Ambiguous

nimbus.exe

Broadcom Nimbus

npmdagent.exe

Microsoft OMS Agent

ntevl.exe

Nimsoft Monitor

ntservices.exe

360 Total Security

pralarmmgr.exe

Proficy Related

prcalculationmgr.exe

Proficy Historian Data Calculation Service

prconfigmgr.exe

Proficy Related

prdatabasemgr.exe

Proficy Related

premailengine.exe

Proficy Related

preventmgr.exe

Proficy Related

prftpengine.exe

Proficy Related

prgateway.exe

Proficy Secure Gateway

prlicensemgr.exe

Proficy License Server Manager

proficy administrator.exe

Proficy Related

proficyclient.exe

Proficy Related

proficypublisherservice.exe

Proficy Related

proficyserver.exe

Proficy Server

proficysts.exe

Proficy Related

prprintserver.exe

Proficy Related

prproficymgr.exe

Proficy Plant Applications

prrds.exe

Proficy Remote Data Service

prreader.exe

Proficy Historian Data Calculation Service

prrouter.exe

Proficy Related

prschedulemgr.exe

Proficy Related

prstubber.exe

Proficy Related

prsummarymgr.exe

Proficy Related

prwriter.exe

Proficy Historian Data Calculation Service

reportingservicesservice.exe

Microsoft SQL Server Reporting Service

server_eventlog.exe

Proficy Event Log Service, Ambiguous

server_runtime.exe

Proficy Related, Ambiguous

spooler.exe

Ambiguous

sqlservr.exe

Microsoft SQL Server

taskhostw.exe

Windows OS

vgauthservice.exe

VMWare Guest Authentication Service

vmacthlp.exe

VMWare Activation Helper

vmtoolsd.exe

VMWare Tools Service

win32sysinfo.exe

RabbitMQ

winvnc4.exe

WinVNC Client

workflowresttest.exe

Ambiguous

MegaCortex样本信息:

MD5: 53dddbb304c79ae293f98e0b151c6b28

SHA1: 2632529b0fb7ed46461c406f733c047a6cd4c591

SHA256: 873aa376573288fcf56711b5689f9d2cf457b76bbc93d4e40ef9d7a27b7be466

终止其他服务可能会导致更多中断。这可被用于识别ICS的恶意软件,它代表了一种相当原始的入侵形式。

包含字符串“ bapco”的电子邮件地址的存在已导致一些研究人员推测,EKANS与12月发生的Dustman 袭击有关,据报道,该袭击感染了巴林的国家石油公司,也称为Bapco。

但Slowik的报告中并不认同上述意见:“该电子邮件地址具有挑衅性,但EKANS样本似乎与Dustman事件无关。”“一种可能性是,事实上,EKANS实际上是在Dustman之前的一次Bapco事件中使用的,而另一种可能性是,当前的公开报道使该Dustman事件(广泛的信息都集中在沙特阿拉伯)与广泛且具有破坏性的勒索软件相混淆。大约在同一时间发生在Bapco的事件。”那么,谁编写了这个程序?Slowik不太确定。他说:“这是一个悬而未决的问题。” “有报道说这是伊朗的行动,但这有点牵强。”

过去,攻击公用事业或工业设施会引起犯罪者的高度关注,这使许多攻击者过于担心针对此类设施的后果。 Slowik说,然而,EKANS的出现证明了ICS资产所有者需要了解其基础结构的状态。

EKANS勒索软件是独特的,因为它加入了一些特定于ICS的特定恶意软件变体,例如Havex和CRASHOVERRIDE,并专门提及了工业流程。同时,EKANS这种功能的实际实现是极其原始的,具有不确定的工业影响。EKANS恶意软件及其停止特定的与工业相关的过程的尝试是围绕不断发展的对工业控制系统的网络威胁而进行的进一步发展。

因此,尽管EKANS的功能和威胁有限,但它代表的是一个相对较新的且深入关注ICS的恶意软件。以前,ICS相关的恶意软件仅是国家背景的APT的游乐场,而EKANS表明,网络犯罪份子也开始瞄准了该领域。

深入阅读,请参考:https://dragos.com/blog/industry-news/ekans-ransomware-and-ics-operations/

玖玖盾是一家专注于工控安全防护技术研究的高新技术企业。公司以研发工业互联网安全防护技术为己任,致力于为客户提供集事前威胁评估与分析、事中网络边界隔离与防护、事后网络安全监测与审计于一体的全生命周期工控安全解决方案。目前,公司产品及解决方案已广泛运用于轨道交通、石油石化、能源电力、军队军工、城市市政等多个行业领域,深受客户的认可和信赖。

玖玖盾

 

地址:浙江省杭州市余杭区文一西路1818-2号人工智能小镇5号楼308-1室

电话:0571-87567010

邮箱:sales@everfort.cn

 

 

致力于高端品牌网站建设

我们旨在为客户塑造顶尖的互联网形象,以高品质设计创造商业价值

 

 

 

XX网络科技有限公司  

80% of the industry leaders

 

 

XX网络科技有限公司致力专注于网站建设、企业邮箱、域名空间及服务器、等服务项目;

已为上千家企业提供了网站建设,网页设计,网站程序开发,Flash动画制作,网站售后维护等一条龙专项服务,深受广大客户的好评。

我们拥有专业优秀的设计和技术团队,以极具创意的网站设计、精湛卓越的网站开发技术,专业的网络策划团队为您量身定制满意的网站建设方案。


 

联系方式

 

公司地址:浙江省杭州市余杭区文一西路1818-2号

                  人工智能小镇5号楼308-1室

公司电话:0571-87567010

公司邮箱:sales@everfort.cn

 

图片展示

扫一扫关注玖玖盾

客服中心
客服电话
0571-87567010
上班时间
周一到周五
二维码