天地和兴工控安全研究院 编译

编者按：2020年2月3日，知名工控安全公司Dragos发布了《EKANS勒索软件和ICS运营》的专题报告。报告从EKANS背景和最新发现、EKANS勒索本身的特征、EKANS和MEGACORTEX之间的关系、该勒索软件对ICS的影响和意义以及EKANS是否与伊朗有关等方面进行了详细分析，最后从主机和网络防御层面给出了缓解措施。

EKANS勒索软件于2019年12月中旬出现，而Dragos于2020年1月初向其全球威胁情报服务的客户发布了一份私有报告。尽管在加密文件和显示赎金记录方面作为勒索软件样本相对简单，但EKANS具有附加功能以强制停止许多进程，包括与ICS操作相关的多个进程。尽管目前所有迹象都表明控制系统网络上存在相对原始的***机制，但静态“攻杀清单”中列出的进程的特殊性表明，之前针对工业领域的勒索软件并没有表现很强的目的性。经过发现和调查，Dragos确定了EKANS与勒索软件MEGACORTEX之间的关系，该勒索软件还包含一些ICS特有的特征。在其报告中描述的勒索软件中以工业过程为目标的标识是唯一的，代表了第一个已知的ICS特定勒索软件变体。

尽管目前对EKANS勒索软件的传播机制尚不清楚，但是EKANS已经在警醒资产所有者和运营者获得资产可见性的重要性。我们强烈建议，1、相关ICS资产所有者和运营者及时检查其***面，并判定具有ICS特定特征的分发和传播破坏性恶意软件（如勒索软件）的机制。2、通过核查环境中的可用资产和连接，尝试了解和分析对手针对特定资产部署专用于ICS的勒索软件的潜在后果，对运营或相关流程的影响，并采取相应的防御措施。3、对进入ICS网络的所有设备、数据、介质进行持续的严格的监测和审查，确保其可靠、干净、可用；4、对ICS系统的关键数据、配置、逻辑做好及时的备份，保证备份的时效和可用；5、持续进行安全事件应急响应演练，确保响应计划、流程、工具、人员的可用性和高效性。

一、EKANS勒索软件简要分析

EKANS似乎是网络犯罪分子的杰作，而不是民族国家的***所为，这是一个令人担忧的变化。

EKANS是一种用Go编程语言编写的混淆勒索软件变体，于2019年12月下旬首次在商业恶意软件存储库中观察到。唯一已知的相关样本具有以下特征：

File Name: update.exe

MD5: 3d1cc4ef33bad0e39c757fce317ef82a

SHA1: f34e4b7080aa2ee5cfee2dac38ec0c306203b4ac

SHA256: e5262db186c97bbe533f0a674b08ecdafa3798ea7bc17c705df526419c1 68b60

对二进制文件的分析表明，它使用了多个自定义的Go库来构造和确保执行，如图1所示。

图1：EKANS二进制文件中对自定义Go文件的引用

二进制文件本身由多个编码的字符串组成。但是，编码方案可以被标识和逆向，并且早在2020年1月7日就提供了公开可用的分析。在沙盒环境中检查编码的字符串以及监视恶意软件的执行可以确定勒索软件的程序流。

首先，恶意软件会检查受害者系统上是否有互斥量值“EKANS”。 如果存在，勒索软件将停止并显示一条消息“已经加密！”。否则，将设置互斥量值，并使用标准的加密库函数继续进行加密。受害者系统上的主要功能是通过Windows管理界面（WMI）调用实现的，该调用开始执行加密操作并删除受害者上的卷影复制备份。

在继续进行文件加密操作之前，勒索软件会强制终止（“杀死”）按进程名称列出的进程，该进程名位于恶意软件的编码字符串内的硬编码列表中。Dragos在报告的附录A中提供了评估过的具有进程功能或关系的完整列表。虽然某些引用的进程似乎与安全或管理软件有关（例如奇虎360安全卫士和Microsoft System中心），列出的大多数进程都与数据库（例如Microsoft SQL Server）、数据备份解决方案（例如IBM Tivoli）或与ICS相关的进程有关。

参考的ICS产品包括对GE的Proficy历史数据库的大量引用，其中包括客户端和服务器进程。所引用的其他ICS特定功能包括GE Fanuc许可服务器服务和Honeywell的HMIWeb应用程序。其余与ICS相关的项目包括远程监视（例如，类似于Historian的历史记录）或许可服务器实例，例如FLEXNet和Sentinel HASP许可管理器以及ThingWorx工业连接套件。如前所述，恶意软件除了强制终止引用的进程外不执行任何操作。因此，该恶意软件无法将命令注入或以其他方式操纵与ICS相关的过程。但是，在正常运行的系统（例如，数据历史数据库）上执行这类进程终止操作将导致网络内可见性条件的损失。

加密后，通过在原始文件扩展名后添加随机的五个字符（大小写字母）来重命名文件。例如，Python PYD文件被加密，其他字符添加到PYD扩展名中。如图2所示。

图2：EKANS加密结果

加密后的系统不影响用户访问，并且系统不会重新引导、关机或关闭远程访问通道。这使EKANS与更具破坏性的勒索软件有明显的区别，例如2019年3月在挪威铝业公司Norsk Hydro部署的LockerGoga变种。勒索软件中的电子邮件地址使用类似于隐私的电子邮件服务，类似于Protonmail，称为CTemplar。

完成进程终止和加密操作后，EKANS会将赎金记录放到系统驱动器的根目录（通常为C：\）和活动用户的桌面上。赎金记录信息如图3所示。

图3：EKANS勒索软件所留联系信息

EKANS没有内置的扩散或传播机制。相反，它必须以交互方式或通过脚本启动恶意软件以感染主机。因此，EKANS遵循了在Ryuk和MEGACORTEX等其他勒索软件家族中观察到的趋势，这些勒索软件家族中，不会去自我传播，而倾向于对企业网络进行大规模破坏。一旦实现，勒索软件就可以通过脚本、Active Directory***或其他机制在整个网络中扩散和有计划传播，以同时实现感染和系统破坏。

二、安全专家对EKANS的分析

在******的历史中，只有几次发现了一段恶意代码，试图直接干预工业控制系统（即连接数字系统和物理系统之间鸿沟的计算机）。那些罕见的恶意软件标本在伊朗销毁核浓缩离心机，在乌克兰造成停电。现在，一个恶意软件样本浮出水面，该样本利用控制系统的特定知识以更加直截了当、更熟悉的策略将其作为目标：杀死目标的软件进程、加密基础数据并将其劫持控制。

在过去的一个月中，包括Sentinel One和Dragos在内的安全公司的研究人员对名为Snake或EKANS的一段代码感到困惑，他们现在认为这些代码专门针对工业控制系统，涉及的行业包括炼油厂、电网和制造业。与其他勒索软件一样，EKANS会加密数据并向受害者显示一个便条，要求受害者付款以解密数据；该名称来自它作为受害者计算机上的文件标记植入的字符串，以标识其文件已被加密。

“这些工业控制系统机器是某些最高价值的目标。”维蒂里·克雷梅兹，Sentinel One

但是EKANS还使用另一种技巧来加剧这种痛苦：它旨在终止受害计算机上的64种不同软件进程，包括许多特定于工业控制系统的软件进程。这样一来，它就可以加密那些与控制系统程序交互的数据。与针对工业破坏而专门设计的其他恶意软件相比，这种恶意软件虽然粗糙，但针对性仍然很强，可以破坏用于监控基础设施的软件，例如石油公司的管道或工厂的机器人。这可能会带来潜在的危险后果，例如阻止员工远程监视或控制设备的运行。

EKANS实际上是第二种进入工业控制系统的勒索软件。据Dragos公司称，另一种名为Megacortex的勒索软件毒株于去年春天首次出现，它具备杀死所有相同的工业控制系统过程的功能，实际上可能是同一位***开发的EKANS的前身。但是由于Megacortex还终止了其他数百个过程，因此其针对工业控制系统的功能在很大程度上被忽略了。

目前尚不清楚，针对以工业组织为目标的勒索软件，其背后的主谋应该国家赞助的***（试图制造破坏并利用勒索软件的诡计来掩盖其踪迹），还是寻求经济利益的真正的网络犯罪分子。但是Sentinel One的研究员Vitali Kremez本月早些时候首次公开了EKANS的发现，一群被称为恶意软件猎杀团队的研究人员认为，工业控制系统是勒索软件***者的天然目标。像医院和政府一样，如果这些工业控制系统停服，则会造成无法估量的损失。

Kremez说：“这些工业控制系统机器是某些最高价值的目标。”“紧要程度很高，数据可用性是任务的核心。因此，有很多动机可以激发***者这此付出代价。”

过去，工业公司肯定受到了针对Windows的流行勒索软件的打击，例如去年对挪威铝业公司Hydro Norsk进行的灾难性网络***.但是EKANS和Megacortex则更进一步，迈进了工业控制系统的技术腹地。在EKANS终止的十几个进程中，包括GE的Proficy软件使用的进程。GE的Proficy软件是一种“历史数据库”程序，用于保存工业环境中的操作信息记录。类似的机制还有不少，比如检查客户对GE的Fanuc自动化软件的有偿使用许可，监视和管理软件Thingworx，以及霍尼韦尔出售的控制界面程序。

表1：EKANS终止的进程列表样例

“通过利用此功能，您不一定会导致工厂停顿下来，但会降低被***者对环境的可见性和了解程度，”安全研究人员Joe Slowik表示，其对ICS安全公司Dragos指出的EKANS和Megacortex恶意软件进行了分析。但是Slowik还指出，要预测GE的Fanuc软件如何处理其许可检查的中断并不容易，这取决于行业和特定的客户设置。如果将自动化软件配置为没有许可证就无法运行，则可能导致更严重的后果。Slowik说：“如果杀死许可服务器导致操作员不再能够操作某些机器，那可能会导致失去控制的情况，这将变得危险。”

EKANS可以表明，工业***策略正向普通罪犯扩散。

Sentinel One说，EKANS受害者的名单可能包括巴林的国家石油公司Bapco。来自Sentinel One的Kremez说，这家安全公司从中东的一位客户那里收到了EKANS恶意软件的样本，该客户是从另一个组织在巴林的受感染网络获得的。恶意软件显示的至少一个版本的勒索消息要求受害者通过电子邮件bapcocrypt@ctemplar.com向勒索者发送电子邮件。（Bapco没有回应WIRED的置评请求。）但是Dragos的Slowik指出，被EKANS瞄准的Fanuc自动化软件通常用于管理制造设施中的设备，而不是石油公司。Slowik说：“这意味着那里还有其他受害者。”

基于部分Bapco的潜在定位，以色列安全公司Otorio上周声称EKANS实际上是伊朗政府资助的***的作品。毕竟据报道Bapco在12月下旬遭到了伊朗擦除器恶意软件Dustman的***，就在美国暗杀伊朗伊斯兰革命卫队下属特种部队“圣城旅”指挥官卡西姆·苏莱曼尼（Qassem Soleimani）将军导致与伊朗的紧张关系升级到断裂点的几天之前。

但是Dragos周一（2020.02.03）发表的报告与这一分析相矛盾，指出没有证据表明Dustman***和EKANS***有关。Slowik指出EKANS与Megacortex的共同特征是其动机是犯罪而非政治。Megacortex的传播远比EKANS广泛，并且被广泛认为是网络犯罪型勒索软件。由于这两个恶意软件样本似乎为同一个创建者，因此表明它们具有相同的意图。

如果EKANS不是由国家资助的***（无论是伊朗人还是其他国家）的工作，那么通过某些措施，这将使其变得更加重要。与Megacortex一起，它将代表有史以来非国家网络犯罪分子部署的首个工业控制系统恶意软件。毕竟在过去，ICS恶意软件仅限于高度复杂的情报机构，例如美国国家安全局和开发Stuxnet的以色列情报机构，其从2007年开始实施的破坏伊朗核浓缩计划的活动，或来自俄罗斯的使用自动工具Industroyer或Crash Override的Sandworm***，其在2016年关闭基辅的电力供应。

EKANS可以表明，工业***的策略正向普通罪犯扩散。Slowik说：“这意味着非国家行为体对重大关键基础设施实体产生重大影响或损害的意愿和能力在增强。”这样的想法一样令人不安，相比伊朗***发动网络战争***其邻居的物理基础设施而言，网络犯罪分子从事破坏这些物理基础设施以牟取经济利益，这更让人感到前景堪忧。

三、缓解措施及建议

目前，Dragos还不知道EKANS如何在受害网络中进行自我分发。抵制勒索软件（例如EKANS）的主要防御措施首先是防止其到达网络或在网络中传播。

3.1主机侧

与其他一些最近的勒索软件变种不同，EKANS没有代码签名。因此，在控制系统网络中实施控制以禁止执行未签名的二进制文件可以减轻诸如此类的恶意软件的执行。不幸的是，许多合法的供应商软件包继续以未签名的形式分发，因此这种缓解策略在许多情况下可能不切实际。

与上述类似，但依靠更通用的机制，组织可以禁止或至少监视执行来自非标准或非更新来源的以前看不见的可执行文件。同样，尽管给出了一些合法软件包的创建和分发方式存在不完善之处，但这至少可以作为初始警报来提示进一步的调查，并可能限制恶意软件在敏感网络中的传播。

具体来说，在ICS历史数据库操作的场景中，组织可以通过执行逻辑或监视历史数据库（例如本例中的GE Proficy）来识别多个端点停止通信的情况，并向历史数据库报告，从而潜在地识别正在进行的破坏性***。同时。尽管系统可能仍然处于脱机状态或受到损害，但在调查的早期识别此数据点将有助于事件的根本原因分析，比如通过标识潜在的ICS特定功能（例如在EKANS中显示的功能）。

 尽管经常针对勒索软件事件提供建议指导，但组织必须强调对重要文件和系统进行定期备份，并将其存储在无法从常规网络轻松访问的安全位置。特别是对于ICS运行，备份必须包括最近的良好配置数据、项目文件和相关项目，以便在发生破坏性事件时能够快速恢复。

3.2网络侧

在可能的情况下，确定通过网络方式从企业网络到控制系统机柜的未知二进制文件传输。尽管不完善，但确定可执行代码何时进入ICS环境至少可以使防御者将此活动与其他可疑发现（例如新登录或捣乱的登录活动）相关联，这些活动可能表明正在进行***。

Dragos的专业服务团队与受勒索软件***破坏的公司进行深度合作。以下是从相关工业公司的勒索软件事件中掌握的一些重要经验教训。

务必及时做好备份

许多勒索软件***也会影响备份基础架构。在最近的一次勒索软件事件中，Dragos做出了响应，***者对Synology网络连接存储（NAS）进行了加密，该存储作为服务器消息块（SMB）共享安装到所有系统上，以存储备份。

幸运的是，一位工程师先前决定将备份副本复制到外部驱动器上。不幸的是，备份的时间大约为18个月，因此受害者丢失了很多生产数据，并且在此期间进行了工程改进和逻辑更改。除了维护脱机备份外，备份过程不仅应当考虑系统，还应考虑关键数据。例如，每三个月备份一次系统可能很好，但是可能需要一天或一小时才能获得业务运营所需的关键数据。公司应确保根据重要性对这些信息进行识别和分类，并且如果所有系统都已加密，则这些信息将可用。此外，Dragos建议在进行任何重大变更后应备份逻辑。

不要忽略控制层

在工厂网络上执行恢复工作时，主要重点可能是恢复监视控制，例如受影响的Windows资产。但是，***者可能会使用勒索软件来掩盖次要过程的影响或掩盖***者的真实意图。在最近的Dragos调查中，Dragos发现了***者探测自动化控制器，可能是网络枚举和扫描的证据，但这很难验证。在这种情况下，唯一可用的控制器逻辑可以追溯到18个月，因此执行逻辑验证可以识别出许多意外更改，并且不清楚是***者还是忘记记录更改的操作员对此负责。

Dragos建议操作员确保频繁备份控制器逻辑，并且在发生事故后可以使用一些程序来验证逻辑。此外，资产所有者和运营商可能希望与供应商进行联合调查，以识别控制器上可用的安全日志的类型。

及时响应尤其重要

实施勒索软件***的敌手会迅速采取行动。在许多情况下，对手对底层基础结构或数据不感兴趣，他们只是想尽快加密系统。在上述客户勒索软件事件中，响应者发现，从初始突破、获取域管理员到全厂范围勒索软件部署之间的转换时间不到24小时。在这种情况下，***者在端点上丢弃了30多种工具，并强制使用了强制认证凭据。适当的监视和响应程序可以检测到它们并阻止***； 但是，响应者需要更迅速地采取行动。

参考资源

https://www.wired.com/story/ekans-ransomware-industrial-control-systems/

EKANS Ransomware and ICS Operations，2020.02.03，www.dragos.com

转载请注明来自：工业互联网安全应急响应中心(微信号ICSCERT)