安信与允-威胁月报（4月份）

REAM：反击工业生产控制系统的浏览器

4.1 INCONTROLLER/PIPEDREAM则有

工业生产电次子化互联相反于各种电次子元件，使转换员尽可能将资讯和操作转往化为物理姿势链。鉴于工业生产互联之中股票的多样功能性，工业生产电次子化电次子元件并不一定在互联的并不相同之外应用于并不相同的语言，这可以应用于标准化的工业生产收发备忘录来构建。

INCONTROLLER由三个主要组件合组：TAGRUN、CODECALL和OMSHELL。TAGRUN是一种锁定OPC应用领域程序、给定OPC构造/标签、暴力破解政府所以及读写/载入OPC标签参数的工具箱。CODECALL是应用于最罕见的工业生产备忘录之一Modbus和Codesys来进唯收发的框架。CODECALL涵盖与最少三个安德森电器PLC交互、锁定和反击的基本功能。OMSHELL是一个尽可能通过HTTP、Telnet和Omron FINS备忘录与某些类型的Omron PLC交互和锁定的框架。该工具箱还可以与欧姆龙的启动时控制器交互，该控制器应用于反馈控制向电机发放热能，以构建直观的无损。

INCONTROLLER有数三个工具箱，使反击者尽可能应用于工业生产互联备忘录向ICS电次子元件发送给操作，例如OPC UA、Modbus、Codesys、和Omron FINS。虽然该工具箱的系统可以使发起者与来自并不相同原始电次子元件制造商的各种产品来进唯收发，但发起者为安德森电器和欧姆龙的特定控制器开发方案了基本功能。期望电次子元件有数的设备电次子化提高效率，有数支持者简单、重复的的设备和分布式的系统之中的复杂基本功能化的设备：

OPC应用领域程序；

安德森电器Modicon M251、Modicon M258和Modicon M221 Nano PLC。其他应用于Modbus和Codesys的电次子元件也或许受到冲击；

Omron NX1P2和NJ501 PLC和R88D-1SN10F-ECT启动时控制器；NJ和NX PLC系列的其他电次子元件也或许受到冲击。

4.2 工具箱概要

1、TAGRUN

TAGRUN的系统，例如锁定和给定OPC UA应用领域程序的潜能，证明其较强侦查作用。OPC作为之中央收发备忘录，应用于从工业生产状况之中的ICS股票之中查阅和读取数据资料。访问这些数据资料可以为反击者发放投入生产系统和控制全过程的详细概要。该工具箱或许是为侦查而开发方案的，但它也可以载入和来得动标签参数，这些参数可应用于来得改数据资料以支持者反击或显露全过程来得动。TAGRUN还才会验证期望状况是不是唯驶Windows转换系统，并根据此核查的返回参数发放并不相同的ping指示。这证明反击者可以应用于非Windows电次子元件来继续执唯TAGRUN。

TAGRUN的系统有数：锁定互联上的OPC UA应用领域程序、读写OPC UA应用领域程序的构造、读写/载入OPC UA应用领域程序上数据资料的标签参数、暴力破解政府所、和输出日志副本。

2、CODECALL

CODECALL应用于Modbus备忘录与ICS电次子元件来进唯收发，这或许使其尽可能与来自并不相同制造商的电次子元件来进唯交互。但是，该工具箱涵盖一个特定基本功能，应用于应用于Codesys与安德森电器的Modicon M251 PLC交互、锁定和反击，该Corporation专有的EcoStruxure Machine Expert备忘录应用于该基本功能。有原因坚信，该工具箱还针对安德森电器的Modicon M221 Nano PLC和Modicon M258 PLC，它或许才会冲击能用这些备忘录的其他电次子元件。

CODECALL还可以通过Codesys继续执唯电次子元件特定的指示，例如：尝试应用于的网站/接收者登录并应用于发放的辞典副本暴力破解政府所、电次子书/上传副本到PLC电次子元件、检索副本/目录列表、写入副本、从PLC电次子元件断开才会话、尝试DDoS反击、应用于特制UDP毁损电次子元件、如果电次子元件应用领域层IP存在于并不相同的连接器上则填充路由、以及发送给自定义原始UDP。

3、OMSHELL

有原因坚信，基于加权的探测未能有效探测自杀者状况之中的INCONTROLLER，之外或许是反击者几乎肯定才会在特定自杀者状况之中应用于该工具箱早先对其来进唯来得改或内置。忽略，防御者必要将心力集之中在这些工具箱的基于暴力唯为的野外和探测方法上。

4、或许支持者Windows工具箱

Mandiant研究职员还搜索了另外两个基于Windows系统的工具箱，或许与此担忧商业活动无关。通过在IT或OT状况之中能用基于Windows的系统，这些工具箱有或许应用于支持者INCONTROLLER反击之中的整个反击生活史。

4.3 反击故事情节

每个工具箱都可以实质上应用于，或者反击者可以应用于这三个工具箱来反击单个状况。INCONTROLLER所针对的电次子元件并不一定集成在电次子化机械设备之中，并且即应用于户不相符，也或许出现在各种工业生产部门和全过程之中。

对此Mandiant开发方案了三种互联物理反击故事情节，展示了应用于INCONTROLLER来进唯反击或许产生的一系列结果。在这三种情况下，TAGRUN都可以在早期先决条件应用于给定自杀者状况、确认其期望，并洞察物理全过程。

这些故事情节的冲击将各不相同自杀者体育场馆的并不一定，以及反击者对受控物理全过程的理解和交互的程度。Mandiant目前为止对INCONTROLLER的理解仍然有限，应用领域程序能用了可支持者开发方案者构建的新系统的可引入构造。

鉴于浏览器的简单化、构建应用领域程序所须的知识和资源，以及它在出于工商业动机的转换之中的有限效用，Mandiant指出INCONTROLLER很或许与国际组织大力支持者的该组织有关。在目前为止的量化先决条件，未能将INCONTROLLER与任何在此之后搜索的该组织联系起来，但该商业活动符合前苏联对ICS的历史兴趣。

最少自2014年以来，与前苏联有关的担忧暴力唯为者早就应用于多个ICS内置的浏览器系列反击ICS股票和数据资料，例如PEACEPIPE、BlackEnergy2、INDUSTROYER、TRITON和VPNFILTER。

INCONTROLLER的系统与前苏联在此之后的互联物理反击之中应用于的浏览器赞同。例如2015年和2016年罗马尼亚狂风暴雨事件真相都涉及物理全过程转换，以及针对嵌入式电次子元件的毁灭功能性反击。INCONTROLLER同样无需浏览器运行商操纵物理全过程，同时还涵盖DoS系统，以毁损PLC的可用功能性。

4.4 纾缓提议

INCONTROLLER对拥有适配电次子元件的该组织构成实质功能性风险。期望电次子元件嵌入在在的机械设备之中，并且或许出现在许多并不相同的工业生产部门之中。鉴于与在此之后的与前苏联有关的担忧商业活动赞同，因此Mandiant指出INCONTROLLER对罗马尼亚、北约欧洲联盟和其他积极响应俄乌冲突的国际组织构成较大担忧。无关该组织后应无视唯动，确认期望ICS电次子元件是不是存在于其状况之中，并无视供应商发放的要务。

由于PIPEDREAM的历史功能性和可引入功能性，纾缓CHERNOVITE担忧将须要一个弱有力的战略，而不非常少非常少是应用领域互联必须框架。Dragos提议无视防御功能性纾缓措施：在MITRE ATTMaxCK for ICS矩阵之中锁定工业生产状况之中的所有担忧暴力唯为，因为反击者将要扩大其潜能区域和规模；保障ICS可见功能性和担忧探测有数所有ICS收发，互联边缘和周边锁定对于PIPEDREAM来说是以致于的；保持对OT状况之中所有股票的洞察和控制，有数保障非常少应用于可知较佳的驱动程序和控制器可用副本；能用经过充分研究和演练的工业生产事件真相响应方案，其之中有数反击者试图毁损和干扰流程，以保障延长恢复原时间。

美国能源部、CISA、国际组织必须局和FBI提议所有拥有ICS/SCADA电次子元件的该组织施唯以下主动纾缓措施：

· 应用于弱大的边境控制将ICS/SCADA系统和互联与民营企业和的网站互联隔离，并受限任何带入或离开ICS/SCADA边境的收发；

· 尽或许对所有对ICS互联和电次子元件的远程访问施唯多原因身份验证；

· 制定互联事件真相响应方案，并定期与IT、互联必须和运行上都的既得利益无关者一起施唯；

· 将所有ICS/SCADA电次子元件和系统的接收者来得动为电次子元件唯一的弱接收者，偏爱是所有默认接收者，以减轻接收者暴力反击，并为防御者锁定系统发放探测罕见反击的机才会；

· 维护可知较佳的备份备份，以便在受到毁灭功能性反击时来得快地恢复原，并对驱动程序和控制器可用副本来进唯哈希和完整功能性核查，以保障备份的有效功能性；

· 将ICS/SCADA系统的互联受限为非常少无需的管理者和工程嵌入式；

· 通过可用电次子元件受保护、凭证受保护和HVCI来弱有力地受保护管理者系统。在这些次子其网站装配EDR提高效率，并保障可用了弱大的防病毒副本诚信设置；

· 从ICS/SCADA系统和管理者次IP施唯弱大的日志查阅和保留；

· 能用持续性的OT锁定提高效率，对恐吓加权和暴力唯为发出警报，监控之下系统和收发，以推测可知的敌对暴力唯为和横向伸展；

· 保障非常少在唯驶须要时装配所有应用领域程序；

· 继续执唯最小特权原则，非常少在须要继续执唯任务时应用于管理者员银行帐户，如装配软件来得新；

· 调查拒绝服务或连接之中断的状态；

· 锁定系统是不是载入不寻常的驱动程序，特别是系统上无法正常应用于ASRock驱动程序。

。

绝经早的原因
苏州白癜风最好医院是哪个
南宁比较好的白癜风医院
北京看白癜风哪家最好
上海看癫痫去哪好
科兴制药海外市场
隐睾症
缓解视疲劳最好的眼药水
眼睛疲劳过度怎么缓解恢复
佝偻