Learn Finnish: Pronouncing Å, Ä, Ö
许多运行工业控制系统的组织致力于将它们与互联网隔离开来,但有时会忘记禁止域名系统(DNS)流量,这为恶意软件泄露数据提供了一种隐蔽的方式。
有时也称为监控和数据采集(SCADA)系统,工业控制系统(ICS)臭名昭着的不安全。他们的固件不仅缺陷充沛,而且很多通信协议都使用缺乏认证或加密技术。
由于大多数ICS系统一般都会在部署后持续十年以上,因此它们不会在没有可观的成本的情况下轻易更换。因此,ICS操作员倾向于专注于确保控制系统周边的安全,而不是修补设备本身,这并非总是可行。这是通过将ICS环境与企业网络和较大的互联网隔离开来的,这种行为有时也被称为抢劫。
ICS安全咨询公司的Reid Wightman表示坚定的数字债券,控制系统的所有者经常认为,他们的关键环境实际上不是空着的。他的团队在为客户进行安全评估时经常发现的一件事是,他们已经阻止了互联网通信,但忘记了DNS。
Wightman没有具体数字要分享,但这种疏漏已经足够普遍,他决定致力于其中一半是在S4xEurope会议上发布的。
DNS用于将人类可读的主机名转换为数字互联网协议(IP)地址,以便计算机互相通信。它是互联网的一个核心组件,但它也用在本地网络中,以便计算机更容易找到对方。
问题是,通过制作DNS查询,可以使用DNS请求发送数据进出网络以及来自攻击者拥有的域名和来自域名的响应。这种被称为DNS隧道的技术早已为人所知,过去一直被恶意软件所使用。最近的例子是来自一个名为Wekby的网络间谍组织,过去几年来,该组织一直针对医疗保健,电信,航空航天,国防和高科技行业。
年5月,安全公司Palo Alto Networks的研究人员报告说,该组织的最新恶意软件工具正在使用DNS隧道与其命令与控制服务器进行通信。
Wightman没有看到任何使用DNS隧道来逃避网络隔离的特定于ICS的恶意软件,但该技术当然是可行的。恶意软件可以通过被感染的USB驱动器的内部人员或承包商引入隔离的ICS环境,就像在感染伊朗纳坦兹核电厂的Stuxnet网络蠕虫蠕虫一样
减轻这一问题的最佳方法是完全禁用DNS对于ICS环境,但在需要本地DNS的情况下,DNS服务器应配置为拒绝外部域名的DNS查询,Wightman说。 “例如,控制域DNS将corpdomain.com的请求转发给公司DNS,并拒绝任何其他域的查询。”
