在 2021 年 RSA 網絡安全會議上，美國國土安全部部長亞歷杭德羅·馬約卡斯 (Alejandro Mayorkas) 就網絡安全形勢發表了一個劃時代的聲明：“讓我明確一點：勒索軟件現在對國家安全構成威脅。”

上周末，Mayorkas 的話聽起來很真實。對殖民地管道的勒索軟件攻擊——負責美國東海岸近一半的柴油、汽油和噴氣燃料——導致供應一些東部州的關鍵燃料網絡關閉。

這次攻擊的后果表明勒索軟件的后果是多么廣泛和具有破壞性。針對關鍵基礎設施和公用事業，網絡攻擊有可能破壞供應、損害環境，甚至威脅人類生命。

盡管完整的細節仍有待確認，但據報道，這次攻擊是由名為 DarkSide 的網絡犯罪組織的附屬機構進行的，并且可能利用了常見的遠程桌面工具。由于去年許多組織轉向遠程工作，包括工業控制系統 (ICS) 和運營技術 (OT) 的組織，遠程訪問已成為關鍵基礎設施中可利用的漏洞。

工業勒索軟件的興起

針對工業環境的勒索軟件呈上升趨勢，據報道自 2018 年以來增長了 500%。這些威脅通常利用 IT 和 OT 系統的融合，首先針對 IT，然后再轉向 OT。這在EKANS 勒索軟件中可以看到，該勒索軟件將 ICS 進程包含在其“殺死列表”中，以及在首次利用虛擬專用網絡 (VPN) 中的漏洞后破壞 ICS 的 Cring 勒索軟件。

Colonial Pipeline 入侵中的初始攻擊向量是否利用了技術漏洞、被破壞的憑據或有針對性的魚叉式網絡釣魚活動還有待觀察。據報道，這次攻擊首先影響了 IT 系統，Colonial 隨后關閉了 OT 運營以作為安全預防措施。Colonial 證實，勒索軟件“暫時停止了所有管道操作并影響了我們的一些 IT 系統”，這表明最終，OT 和 IT 都受到了影響。這是一個很好的例子，說明有多少 OT 系統依賴于 IT，因此 IT 網絡攻擊有能力破壞 OT 和 ICS 流程。

除了鎖定系統外，威脅參與者還從 Colonial 竊取了 100GB 的敏感數據。不幸的是，這種雙重勒索攻擊——在文件加密之前泄露數據——已成為常態而非例外，超過 70% 的勒索軟件攻擊涉及泄露。一些勒索軟件團伙甚至宣布他們將完全放棄加密，轉而采用數據盜竊和勒索方法。

今年早些時候，Darktrace 防御了針對關鍵基礎設施組織的雙重勒索勒索軟件攻擊，該組織還利用了常見的遠程訪問工具。本博客將深入概述發現的威脅，展示 Darktrace 的自學習 AI 如何自主響應與 Colonial Pipeline 事件極為相似的攻擊。

Darktrace 威脅發現

針對電力設備供應商的勒索軟件

在今年早些時候針對一家北美電力設備供應商的攻擊中，Darktrace 的工業免疫系統展示了其保護關鍵基礎設施免受針對具有 ICS 和 OT 的組織的雙重勒索勒索軟件的能力。

勒索軟件攻擊最初針對的是 IT 系統，并且由于網絡人工智能的自我學習，在它可能蔓延到 OT 并破壞運營之前就被阻止了。

攻擊者首先入侵了內部服務器，以便在 12 小時內竊取數據并部署勒索軟件。最初的入侵和部署之間的時間很短是不尋常的，因為勒索軟件威脅參與者通常要等待幾天才能在攻擊之前盡可能地在網絡生態系統中悄悄傳播。

攻擊是如何繞過安全堆棧的其余部分的？

攻擊者利用“以陸地為生”的技術融入企業的正常“生活模式”，使用受損的管理員憑據和組織批準的遠程管理工具，試圖保持不被發現。

Darktrace 通常會在攻擊者的技術、策略和程序 (TTP) 庫中看到對合法遠程管理軟件的濫用。特別是在 ICS 攻擊中，遠程訪問也正成為越來越常見的攻擊媒介。例如，在去年 2 月佛羅里達州水處理設施的網絡事件中，攻擊者利用遠程管理工具試圖操縱處理過程。

該攻擊者部署的特定勒索軟件還通過在加密文件時使用獨特的文件擴展名成功地避開了防病毒軟件的檢測。這些形式的“無簽名”勒索軟件很容易繞過依賴規則、簽名、威脅源和記錄的常見漏洞和暴露 (CVE) 列表的傳統安全方法，因為這些方法只能檢測以前記錄的威脅。

檢測前所未見的威脅（如無簽名勒索軟件）的唯一方法是尋找異常行為的技術，而不是依賴“已知不良”列表。這可以通過自學技術來實現，該技術甚至可以發現所有設備、用戶以及它們之間的所有連接與正常“生活模式”的最細微偏差。

暗跡洞察

初步妥協并建立立足點

盡管濫用了合法工具并且沒有已知簽名，但 Darktrace 的工業免疫系統能夠使用對正常活動的整體理解來檢測攻擊生命周期中多個點的惡意活動。

Darktrace 警告的新興威脅的第一個明顯跡象是特權憑證的不尋常使用。該設備還在事件發生前不久從 Veeam 服務器提供了一個不尋常的遠程桌面協議 (RDP) 連接，這表明攻擊者可能已經從網絡的其他地方橫向移動。

三分鐘后，設備啟動了持續 21 小時的遠程管理會話。這使得攻擊者可以在更廣泛的網絡生態系統中移動，同時又不會被傳統防御發現。然而，Darktrace 能夠檢測到異常的遠程管理使用情況，作為指示攻擊的另一個預警。

雙重威脅第一部分：數據泄露

在最初的妥協后一小時，Darktrace 檢測到異常數量的數據被發送到 100% 罕見的云存儲解決方案 pCloud。出站數據使用 SSL 加密，但 Darktrace 創建了多個與大型內部下載和外部上傳有關的警報，這些警報與設備的正常“生活模式”有很大偏差。

該設備繼續泄露數據九小時。對設備下載的文件（使用未加密的 SMB 協議傳輸）的分析表明它們本質上是敏感的。幸運的是，Darktrace 能夠查明被泄露的特定文件，以便客戶可以立即評估入侵的潛在影響。

雙重威脅第二部分：文件加密

不久之后，當地時間 01:49，受感染的設備開始加密 SharePoint 備份共享驅動器中的文件。在接下來的三個半小時內，該設備在至少 20 個 SMB 共享上加密了超過 13,000 個文件。Darktrace 總共為相關設備產生了 23 條警報，占相應 24 小時期間產生的所有警報的 48%。

Darktrace 的網絡 AI 分析師隨后自動展開調查，確定內部數據傳輸和 SMB 上的文件加密。由此，它能夠呈現將這些不同異常之間的點連接起來的事件報告，將它們拼湊成一個連貫的安全敘述。這使安全團隊能夠立即采取補救措施。

如果客戶一直使用Antigena Network，Darktrace 的自主響應技術，毫無疑問，在大量數據被泄露或文件加密之前，該活動就會停止。幸運的是，在看到警報和網絡 AI 分析師報告后，客戶能夠使用 Darktrace 的“咨詢專家”（ATE）服務進行事件響應，以減輕攻擊的影響并協助災難恢復。

在威脅破壞關鍵基礎設施之前檢測它

目標供應商負責監督 OT，并與關鍵基礎設施關系密切。通過促進早期響應，Darktrace 阻止了勒索軟件進一步傳播到工廠車間。至關重要的是，Darktrace 還最大限度地減少了運營中斷，有助于避免攻擊可能產生的多米諾骨牌效應，不僅影響供應商本身，還影響該供應商支持的電力公司。

正如最近的 Colonial Pipeline 事件和上述威脅所揭示的那樣，勒索軟件是監督所有形式的關鍵基礎設施（從管道到電網及其供應商）的工業運營的組織的一個緊迫問題。借助自學習 AI，可以在造成損害之前通過實時威脅檢測、自主調查以及（如果被激活）有針對性的機器速度響應來處理這些攻擊向量。

展望未來：使用自學 AI 全面保護關鍵基礎設施

4 月下旬，拜登政府宣布了一項雄心勃勃的努力，以“保護美國的關鍵基礎設施免受持續和復雜的威脅”。能源部 (DOE) 的100 天計劃專門尋求“為電力公司的工業控制系統提供網絡可見性、檢測和響應能力”的技術。

拜登政府的網絡沖刺顯然需要一種保護關鍵能源基礎設施的技術，而不僅僅是最佳實踐措施和法規。如上述威脅發現所示，Darktrace AI 是一項強大的技術，它利用無監督機器學習以機器速度和精度自主保護關鍵基礎設施及其供應商。

美國能源部網絡沖刺目標	暗跟蹤功能
增強檢測、緩解和取證能力。	使用自學習網絡 AI 檢測復雜和新穎的攻擊，以及內部威脅和預先存在的感染，無需規則、簽名或 CVE 列表。 網絡 AI 分析師實時提供事件調查，以通過可操作的見解快速啟動補救措施 包含處于早期階段的新興攻擊，然后才升級為危機。
部署能夠在關鍵工業控制系統 (ICS) 和運營技術 (OT) 中實現近乎實時的態勢感知和響應能力的技術和系統。	自學習 AI 可立即理解、識別和調查 ICS/OT 網絡中的所有異常活動，無論是人為驅動還是機器驅動。 在適當的情況下采取行動有針對性地響應以消除威脅，無論是主動還是人工確認模??式。 自學習 AI 適應生態系統的演變，無需調整或人工輸入即可實現實時感知。
加強關鍵基礎設施 IT 網絡的網絡安全態勢。	將安全事件情境化，適應新技術，并將調查結果轉化為人類可以在幾分鐘內采取行動的安全敘述。 跨 IT 和 OT 系統的統一視圖。 在更高的 Purdue 級別和 IT 系統中檢測、調查和響應威脅，然后再“溢出”到 OT。
部署技術以提高 ICS 和 OT 系統中威脅的可見性。	“即插即用”部署與技術架構無縫集成。 呈現 3D 網絡拓撲，對所有用戶、設備和子網具有精細的可見性。 自學資產識別持續對所有 ICS/OT 設備進行分類。 識別和調查所有表明新出現攻擊的威脅活動——無論是 ICS 勒索軟件、APT、零日攻擊、內部威脅、預先存在的感染、DDoS、加密挖掘、錯誤配置或前所未見的攻擊。