安信与诚-威胁月晚报（4月份）

NCONTROLLER/PIPEDREAM：袭击轻工业掌控子系统的恶意应用程序

4.1 INCONTROLLER/PIPEDREAM参阅

轻工业电子化网络服务仰赖于各种电子元件，使操作员必需将资讯和暂存器投到化为生物学动作单链。鉴于轻工业网络服务中所国有资产的多样性，轻工业电子化电子元件一般而言在网络服务的多种不同均应用领域做多种不同的语言，这可以应用领域做标准的轻工业因特网两国政府来借助。

INCONTROLLER由三个主要组件组成：TAGRUN、CODECALL和OMSHELL。TAGRUN是一种扫瞄OPC伺服器、逻辑系统OPC构件/标识、极端主义破解政府所以及擦除/写入OPC标识数值的基本功能。CODECALL是应用领域做最类似的轻工业两国政府之一Modbus和Codesys顺利进唯因特网的基本概念。CODECALL举例来说与数三个伯顿液压制造PLC交互、扫瞄和袭击的模组。OMSHELL是一个必需通过HTTP、Telnet和Omron FINS两国政府与某些并不一定的Omron PLC交互和扫瞄的基本概念。该基本功能还可以与欧姆龙的伺服启动时交互，该启动时应用领域做反馈掌控向液压二期工程提供能量，以借助精确的举例来说。

INCONTROLLER都有三个基本功能，使袭击者必需应用领域做轻工业网络服务两国政府向ICS电子元件发送暂存器，例如OPC UA、Modbus、Codesys、和Omron FINS。虽然该基本功能的子系统可以使发起者与来自多种不同值得注意电子元件生产厂的各种产品顺利进唯因特网，但发起者为伯顿液压制造和欧姆龙的特定掌控器合作开发了模组。最大限度电子元件都有启动时电子化高效率，都有全力支持简单、重复使用的启动时和分布式架构中所的复杂模组化启动时：

OPC伺服器；

伯顿液压制造Modicon M251、Modicon M258和Modicon M221 Nano PLC。其他应用领域做Modbus和Codesys的电子元件也可能但会受到直接影响；

Omron NX1P2和NJ501 PLC和R88D-1SN10F-ECT伺服启动时；NJ和NX PLC系列的其他电子元件也可能但会受到直接影响。

4.2 基本功能说明了

1、TAGRUN

TAGRUN的子系统，例如扫瞄和逻辑系统OPC UA伺服器的战斗能力，确实其具有突击起着。OPC作为中所央因特网两国政府，用做从轻工业生态子系统中所的ICS国有资产中所抽取和传输数据。访问这些数据可以为袭击者提供生产子系统和掌控全过程的详述说明了。该基本功能可能但会是为突击而合作开发的，但它也可以写入和更换标识数值，这些数值可用做修正数据以全力支持袭击或掩盖全过程更换。TAGRUN还但会验证最大限度生态子系统否运唯Windows操作子系统，并根据此检查的返回数值提供多种不同的ping暂存器。这确实袭击者可以应用领域做非Windows电子元件来督导TAGRUN。

TAGRUN的子系统都有：扫瞄网络服务上的OPC UA伺服器、擦除OPC UA伺服器的构件、擦除/写入OPC UA伺服器上数据的标识数值、极端主义破解政府所、和输出存档PDF。

2、CODECALL

CODECALL应用领域做Modbus两国政府与ICS电子元件顺利进唯因特网，这可能但会使其必需与来自多种不同生产厂的电子元件顺利进唯交互。但是，该基本功能举例来说一个特定模组，用做应用领域做Codesys与伯顿液压制造的Modicon M251 PLC交互、扫瞄和袭击，该公司专有的EcoStruxure Machine Expert两国政府应用领域做该模组。有顾虑或许，该基本功能还针对伯顿液压制造的Modicon M221 Nano PLC和Modicon M258 PLC，它可能但会但会直接影响为了让这些两国政府的其他电子元件。

CODECALL还可以通过Codesys督导电子元件特定的暂存器，例如：想法应用领域做默认/密码本录入并应用领域做提供的辞典PDF极端主义破解政府所、下载/发送给PDF到PLC电子元件、查询PDF/目录一览表、删除PDF、从PLC电子元件断开但会话、想法DDoS袭击、应用领域做特制单链路冲击电子元件、如果电子元件接入点IP存在于多种不同的接口上则添加端口、以及发送自定义值得注意单链路。

3、OMSHELL

有顾虑或许，基于举例来说的探测无法直接探测无辜生态子系统中所的INCONTROLLER，均缘故是袭击者几乎肯定但会在特定无辜生态子系统中所应用领域做该基本功能在此之前对其顺利进唯修正或自带。相反，无论如何应该将积蓄集中所在这些基本功能的基于道德上的狩猎和探测方法上。

4、可能但会全力支持Windows基本功能

Mandiant研究管理人员还监控了另外两个基于Windows子系统的基本功能，可能但会与此危害社交活动相关。通过在IT或OT生态子系统中所为了让基于Windows的子系统，这些基本功能不太可能但会用做全力支持INCONTROLLER袭击中所的整个袭击生命周期。

4.3 袭击情节

每个基本功能都可以独立应用领域做，或者袭击者可以应用领域做这三个基本功能来袭击单个生态子系统。INCONTROLLER所针对的电子元件一般而言集成在电子化液压中所，并且即应用领域做户不清楚，也可能但会出现在各种轻军事工业和全过程中所。

对此Mandiant合作开发了三种网络服务生物学袭击情节，展示了应用领域做INCONTROLLER顺利进唯袭击可能但会诱发的一系列结果。在这三种前提，TAGRUN都可以在早期阶段用做逻辑系统无辜生态子系统、已确定其最大限度，并了解生物学全过程。

这些情节的直接影响将衡量无辜设施的政治性，以及袭击者对受控生物学全过程的认知和交互的程度。Mandiant现今对INCONTROLLER的认知即便如此有限，该应用程序为了让了可全力支持合作开发者借助的新子系统的可扩展构件。

鉴于恶意应用程序的复杂程度、构建该应用程序所即可的长处和资源，以及它在出于经济动机的操作中所的有限用处，Mandiant普遍认为INCONTROLLER很可能但会与国家政府资助的许多组织有关。在现今的比对阶段，无法将INCONTROLLER与任何先前监控的许多组织直接联系起来，但该社交活动符合阿塞拜疆对ICS的儒家文化史感兴趣。

数自2014年以来，与阿塞拜疆有关的危害道德上者已经应用领域做多个ICS自带的恶意应用程序系列袭击ICS国有资产和数据，例如PEACEPIPE、BlackEnergy2、INDUSTROYER、TRITON和VPNFILTER。

INCONTROLLER的子系统与阿塞拜疆先前的网络服务生物学袭击中所应用领域做的恶意应用程序恰当。例如2015年和2016年立陶宛停电流血事件都关乎生物学全过程操作，以及针对软件系统电子元件的冲击性袭击。INCONTROLLER同样允许恶意应用程序提供商操作者生物学全过程，同时还举例来说DoS子系统，以冲击PLC的复杂性。

4.4 减缓敦促

INCONTROLLER对以外可选电子元件的许多组织上有重大可能会。最大限度电子元件嵌入多种并不一定的液压中所，并且可能但会出现在许多多种不同的轻军事工业中所。鉴于与先前的与阿塞拜疆有关的危害社交活动恰当，因此Mandiant普遍认为INCONTROLLER对立陶宛、北达成员国和其他积极声势浩大俄乌矛盾的国家政府上有最大危害。相关许多组织即刻采取唯动，已确定最大限度ICS电子元件否存在于其生态子系统中所，并采取供应商提供的尽早。

由于PIPEDREAM的儒家文化史性和扩展性，减缓CHERNOVITE危害将即可要一个强有力的战略，而不数数是应用领域网络服务人身安全基础。Dragos敦促采取防御性减缓措施：在MITRE ATT&CK for ICS矩阵中所监控轻工业生态子系统中所的所有危害道德上，因为袭击者正在扩大其战斗能力仅限于和规模；尽可能ICS可见性和危害探测都有所有ICS因特网，网络服务边沿和周边监控对于PIPEDREAM来说是以致于的；保证对OT生态子系统中所所有国有资产的了解和掌控，都有尽可能数应用领域做推断很差的固件和掌控器固定式PDF；为了让经过充分研究和演练的轻工业流血事件声势浩大计划，其中所都有袭击者试图冲击和扰乱方式上，以尽可能加长恢复星期。

美国农业部、CISA、国家政府各个部门和FBI敦促所有以外ICS/SCADA电子元件的许多组织出台以下及早减缓措施：

· 应用领域做强悍的边界线掌控将ICS/SCADA子系统和网络服务与企业和互联网网络服务隔离，并限制任何转入或离开ICS/SCADA边界线的因特网；

· 尽可能但会对所有对ICS网络服务和电子元件的远程访问出台多原因服务器端；

· 制定网络服务流血事件声势浩大计划，并定期与IT、网络服务人身安全和运营特别的利益相关者两兄弟出台；

· 将所有ICS/SCADA电子元件和子系统的密码本更换为电子元件唯一的强密码本，尤其是所有默认密码本，以消除密码本极端主义袭击，并为无论如何监控子系统提供探测类似袭击的机但会；

· 维护推断很差的离线备份，以便在受到冲击性袭击时更慢地恢复，并对固件和掌控器固定式PDF顺利进唯哈希和完整性检查，以尽可能备份的直接性；

· 将ICS/SCADA子系统的网络服务连接限制为数允许的管理和二期工程工作站；

· 通过固定式电子元件人身人身安全、凭证人身人身安全和HVCI来强有力地人身人身安全管理子系统。在这些子留言板安装EDR高效率，并尽可能固定式了强悍的防病毒PDF信誉设置；

· 从ICS/SCADA子系统和管理子网出台强悍的存档抽取和移去；

· 为了让短时间的OT监控高效率，对恶意举例来说和道德上发出警告，监视内部子系统和因特网，以推测推断的敌对道德上和横向移动；

· 尽可能数在运唯即可要时安装所有应用领域程序；

· 督导很小特权应当，数在即可要督导任务时应用领域做管理员账号，如安装应用程序系统升级；

· 调查黑客或连接中所断的状态；

· 监控子系统否传输不寻常的驱动程序，特别是子系统上没有但会应用领域做ASRock驱动程序。

。

常州哪家医院做人流最好
河北男科
骨关节炎吃什么药好的快
北京看妇科什么医院最好
贵阳妇科医院排名