199IT原創編譯

        卡巴斯基實驗室釋出了2017年工業網路基礎設施受殭屍網路代理攻擊的情況。

        在大多數情況下,殭屍網路代理的作用包括搜尋和竊取金融資訊、竊取認證資料、暴力破解密碼、傳送垃圾郵件,以及對特定的遠端網際網路資源進行攻擊。此外,在殭屍網路代理攻擊第三方資源的情況下,擁有啟動攻擊IP地址的公司可能會面臨一定的聲譽風險。

        雖然殭屍網路代理的破壞性活動並非專門設計用於破壞任何工業系統的執行,但感染這類惡意軟體可能對工業基礎設施的一部分造成嚴重威脅,可能導致網路故障、感染系統和網路上其他裝置。惡意軟體在其程式碼中包含錯誤,並與控制工業基礎設施的軟體不相容,這可能會導致工業流程監控和控制的中斷。

        殭屍網路代理的另一個危險是通常包含資料收集功能,並且像後門惡意軟體一樣,使攻擊者能夠暗中控制受感染的機器,對感染工業控制系統感興趣的威脅者可以訪問受害公司的敏感資料和用於控制工業基礎設施的系統。

        2017年,10.8%的工業控制系統(ICS)受到殭屍網路代理的攻擊。此外,殭屍網路代理攻擊統計資料顯示,2%的ICS系統同時遭受了多個惡意程式的攻擊。

        去年殭屍網路代理攻擊ICS系統的主要來源是網際網路,可移動媒體和電子郵件。

        這再次證明了對訪問控制的需求,以確保資訊在工業網路和其他網路之間安全地互動,並且需要阻止未經授權的可移動介質連線到ICS系統,並安裝旨在檢測和過濾惡意軟體的工具。

        下圖顯示了2017年ICS系統最常見的五大殭屍網路代理商

        近2%的系統受到Virus.Win32.Sality惡意軟體的攻擊。除了感染其他可執行檔案外,該惡意軟體還包括抵禦反病毒解決方案和從命令與控制伺服器下載其他惡意模組的功能。最普遍的Sality模組是用於傳送垃圾郵件、竊取儲存在系統中的認證資料以及下載和安裝其他惡意軟體的元件。

        Dinihou殭屍網路代理攻擊了0.9%的ICS系統,排在第二位。它能讓攻擊者從受感染系統上傳任意檔案,從而給企業敏感資料洩露帶來威脅。此外,Worm.VBS.Dinihou和Virus.Win32.Nimnul(位居第三,攻擊0.88%的系統)可用於在受感染的系統上下載和安裝其他惡意軟體。

        199IT.com原創編譯自:卡巴斯基實驗室 非授權請勿轉載