产业气象站|EKANS勒索软件是如何针对工业控制系统的？，揭秘 E安全7月6日讯

E安全7月6日讯，近日据外媒报道，根据EKANS勒索软件的新样本显示，如今的网络攻击者正在使用各种方法攻击关键的工业公司。

文章图片
在上周三（7月1日）发布的一份研究报告中， FortiGuard实验室的研究人员BenHunter和FredGutierrez称，针对工业控制系统(ICS)的恶意软件对威胁者来说仍然有利可图。据2020年Verizon的数据违反报告，尽管勒索软件仅占2019年所有恶意软件事件的三分之一，但是一旦黑客将其应用到核心关键系统中,如公用事业和制造业,那么感染所造成的影响可能是毁灭性的。
据悉， EKANS勒索软件家族是一种被用于定向ICS活动的病毒。研究人员获得了两个版本的样本，一份来是5月份得到的，另一份来自于6月份。从样本中可以看出这两个基于windows的示例都是用GO编写的，这是一种在恶意软件开发社区中被广泛使用的编程语言，因为它相对容易编译，可以在不同操作的系统上工作。
与此同时，为了帮助分析， FortiGuard创建了一个特定于埃堪萨斯的掩饰程序，发现尽管勒索软件的5月份版本存在大量编码错误，但是该恶意软件仍然能够有效地攻击ICS系统。因此， EKANS的设计是有意选择受害者的，该恶意软件将通过解析受害者公司的域名，并将这些信息与IP列表进行比较，来确认目标。一旦目标被捕获，勒索软件就会扫描域控制器以进行攻击。
两种版本均具有典型勒索软件的功能，一旦该恶意软件落在易受攻击的机器上，就会对文件进行加密，并显示一张勒索纸条，要求对方支付赎金，以换取解密密钥。解密密钥可能恢复(也可能不恢复)对系统文件的访问。然而， 6月的示例超出了这些特性，并且能够提供高级功能，这些功能可能在工业设置中造成严重破坏，包括关闭主机防火墙的能力。

文章图片
【产业气象站|EKANS勒索软件是如何针对工业控制系统的？，揭秘】此前，网络安全公司FireEye就已经警告称，针对ICS恶意软件和黑客工具的开发正在增加，其中大多数都是在过去10年开发出来的。而且FireEye分析的大多数工具都被认为是与供应商无关的，但在某些情况下，目前这些软件的设计也会损害特定公司提供的ICS设置。