CyberX企业某研讨小组规划宣布一款开源在线工具——基于Web的不收费沙箱工具,利用蜜罐功能捕猎并检查核对各类工业扼制系统(ICS)恶意软件样本,能够摹拟真实世界中的工业网络背景。
沙箱工具能够解决哪一些问题?
几天前,该企业研讨副总裁大卫·阿奇和他的团队起初以研讨目标研发出这套不收费沙箱工具,他在寻访之中诠释称:“这就像是一套专供工业扼制系统运用的 VirusTotal(不收费可疑文件剖析服务的网站)。”
VirusTotal是到现在为止盛行的在线工具,能够利用多种反病毒引擎对可疑文件及URL中的恶意软件施行剖析。此项目标目的在于开创一套能够摹拟真实世界中工业网络的沙箱整体体系。
CyberX Labs表达,这款沙箱工具准许运行并解压工业扼制系统恶意软件,然后检验测定那里面的 OPC(开放平台通信)电子扫描或遮盖 PLC 配备布置文件等恶意活动,同时供给迅速的离线检验测定功能。预计这款工具将在未来几个月内正式与广大用户会面。
阿奇指出,现存网络沙箱技术主要面向非工业扼制系统还是IT背景,而没有办法管用针对专门的工业扼制系统的恶意软件——这是由于其并未思索问题到 OT 协议与设施,也没有办法摹拟 OT 组件。加之工业扼制系统社区没有足够的工具,并且VirusTotal在处置工业扼制系统有关恶意软件时效果并不理想。
工控恶意软件剖析困难程度较大
Langner Communications企业初创人兼CEO拉尔夫·朗格纳诠释称,以震网(Stuxnet)病毒为例——首个震网变种于2007年被送出至 VirusTotal,但一直到2012年震网才被真正检验测定发觉。他表达猛烈支持面向工业扼制系统有关恶意软件构建 VirusTotal 的想法。作为顶尖震网病毒研讨资深专家,朗格纳表达工业扼制系统恶意软件剖析是一项极耗时间的办公,他曾利用三年时间来剖析震网病毒。
这款工业扼制系统恶意软件沙箱工具旨在高效发觉专门针对工业扼制系统的恶意软件,并可摹拟往来于 PLC 之间的流量类型,因此成功实现蜜罐功能。这意味着其可在安全空间内执行恶意软件,涵盖对其施行解压缩、功能执行并将其与已知变种施行般配。这款工具中里面含有OT软件、虚拟化工业扼制系统进程项与文件,外加一套低交互工业扼制系统网络(蜜罐元素)。
工业扼制系统沙箱的概念并非新惹事情:Trend Micro企业的研讨担任职务的人们早在2013年就曾揭晓两款基于蜜罐思考的线索的架构,其依据供电公司的运营流程构建起一套典型的工业扼制系统/数值搜集与监控系统(SCADA)背景,那里面还涵盖一款基于Web的水压应用。据外媒报导,发展方向科学技术研讨团队曾在28天内发觉了来自14个国度的39起针对工控系统的歼击事情,并称那里面35百分之百有关歼击仿佛好象来自中国,19百分之百为美国,12百分之百的为老挝。