數據泄漏一直是企業關注的問題，敏感信息泄露可能導致聲譽受損、法律處罰、知識產權損失、甚至影響員工和客戶的隱私。然而很少有關于工業企業面臨的威脅行為者披露其OT安全、生產、運營或技術的敏感細節的研究。

2021年，Mandiant威脅情報研究發現，勒索軟件運營者試圖通過在泄露網站上披露竊取的信息來勒索數千名受害者。這種趨勢稱之為“多方面勒索”，在短短一年內影響了關鍵基礎設施和工業生產部門的1,300多家組織。

為了驗證“多方面勒索”泄漏對OT構成的風險程度，Mandiant分析了通常利用OT系統進行生產的行業的半隨機樣本。利用各種技術和人力資源，研究人員下載并解析了數TB轉儲數據，發現了大量敏感的OT文檔，包括網絡和工程圖、操作面板圖像、第三方服務信息等。由于數據集的規模，對每個轉儲的分析是有限的，并且對少數轉儲進行更有針對性的檢查可能會發現每個組織的更多文檔。

根據研究分析，在勒索軟件泄露網站上發布的工業組織的泄密信息中，每七個就有一個可能會泄露敏感的OT文件。訪問此類數據可使威脅行為者了解工業環境、確定最佳攻擊路徑、并設計網絡物理攻擊。最重要的是，泄漏中還包括的其他有關員工、流程、項目等的數據，可為威脅行為者提供非常準確的目標文化、計劃和運營狀況。

主要發現

2020年初，美國工業承包商Visser泄露了其客戶的技術文檔，包括航空航天和工業制造企業。一年后，一個威脅行為者在地下論壇上轉發了Doppelpaymer勒索軟件組織從拉美一家石油和天然氣組織竊取的2.3GB數據，聲稱其中包含OT信息。

分析了泄漏的數據發現，其中包括用戶名和密碼、IP地址、遠程服務、資產標簽、原始設備制造商(OEM)信息、操作面板、網絡圖等各種敏感數據。威脅行為者會在偵查期間尋找可以用來識別目標OT網絡中的攻擊路徑的所有信息。

圖1 拉丁美洲某大型石油和天然氣組織遭勒索致泄漏數據

為了更好地理解這些數據泄露給OT資產所有者帶來的風險，Mandiant構建了一個大型數據集。在幾個月的時間里，網絡安全分析人員和數據研究人員分析了數百個泄露和收集的樣本，以找到OT文檔，并確定了至少10個包含敏感OT技術數據的轉儲。由于許多泄漏中的數據量很大，研究團隊只對轉儲進行了表面分析。如果有進一步的資源投入，可能會發現大量額外信息。

由于資源限制或對特定目標感興趣，大多數威脅行為者可能會將精力集中在少數組織上。這使攻擊者能夠將資源集中在查找每個目標的更多信息上，這對于任何復雜的攻擊都是至關重要的。

Mandiant發現了超過3,000起勒索軟件運營商泄露竊取的數據，其中大約1,300起泄漏來自可能使用OT系統的工業部門的組織，如能源和水設施或制造業。通過瀏覽現成的文件列表或其他感興趣的指標，例如威脅行為者的評論或目標子行業，選擇并檢索了數百個此類樣本。

圖2 勒索攻擊的泄漏數量

初步分類后，研究人員使用定制和公開工具收集并手動分析了大約70個泄漏，發現七分之一的泄漏至少包含一些有用的OT信息，而其余的則包含與員工、財務、客戶、法律文件等相關的數據。

勒索軟件數據泄漏主要在暗網上的各種威脅行為者運營的網站上共享。盡管每個威脅者的運作方式不同，但即將泄密的信息通常會發布在黑客論壇或社交媒體上。任何可以訪問Tor瀏覽器的人都可以訪問這些站點并下載可用的轉儲文件。

圖3 勒索軟件泄露網站示例

下載單個泄漏信息非常簡單，但鑒于可用數據量巨大，從不同泄漏中收集多個樣本非常復雜。下載這些泄漏信息的能力取決于多種因素，例如攻擊者和下載者的基礎設施、數據泄露的時間、獲取文件的用戶數量、以及文件本身的質量。

研究人員利用手動和自動文件分析從感興趣的樣本中搜尋數據，查找了網絡和流程圖、機器接口、資產清單、用戶名和密碼、項目文件、以及第三方供應商協議等。

手動分析主要通過瀏覽文件列表來識別可能存在OT相關數據的關鍵字。威脅行為者有時會發布目錄或文本文件列表，來傳播勒索數據泄露。如果沒有文件列表，則會自己創建一個。針對中小型轉儲使用了免費的公開取證工具Autopsy。對于較大的轉儲則使用定制工具或本地下載文件，通過rar或7z等默認工具構建列表。如果無法獲取列表，則會手動瀏覽文件名。

有時，快速查看列表和關鍵字搜索就足以確定轉儲是否適合分析，但有時，文件命名約定并沒有透露太多信息。此外勒索泄露包含各種語言的數據，又增加了一層復雜性。

對于中小型轉儲使用的是Autopsy，能夠分析相對較大的文件夾。該工具可以解析文件，并提供時間戳、文件類型、關鍵字、其他有用數據的摘要。研究人員還能夠使用正則表達式搜索關鍵字，以查找IP地址或用戶名等數據，并快速可視化現有文件的.jpeg圖像。

圖4 使用Autopsy分析勒索泄漏文件

然而Autopsy很難分析更大的轉儲，解析只有幾GB的轉儲文件就需要好幾個小時，但是泄露的數據是TB級別的，因此必須構建定制工具來可視化和分析大量數據。即使使用定制工具，仍然需要大量存儲能力和人力投資來處理數據。

在如此大量的文件中找到敏感的OT文檔并不容易。此次調查結果包括來自不同部門和地區的組織的數據。

數據泄漏的影響

勒索軟件泄露的敏感OT和網絡文檔可供任何人下載，包括安全研究人員、行業競爭對手或威脅行為者。最令人擔憂的是資源充足的威脅行為者，他們有能力系統地尋找數據，以了解特定目標。

從歷史上看，間諜活動曾幫助國家資助的組織獲取有關工業組織運作的詳細信息。這些偵察數據支持了真實網絡物理攻擊的不同階段，例如2015年和2016年的烏克蘭停電和TRITON事件。

來自勒索泄露的數據可能會為老練的威脅者提供有關目標的信息，同時減少對防御者的暴露和運營成本。威脅者還可以根據有關受害者基礎設施、資產、安全漏洞和流程的現成敏感數據來選擇目標。利用更高水平的網絡物理偵察數據的攻擊可能會產生更顯著和更精確的影響。

資源和能力有限的威脅者對大型勒索泄露數據的可見性可能會更有限。但是他們仍然可以探索轉儲，以了解組織、滿足好奇心、或轉發內容。

緩解措施

根據研究分析，在勒索軟件泄露網站上發布的工業組織的泄密信息中，每七個就有一個可能會泄露敏感的OT文檔。訪問此類數據可以使威脅者了解工業環境、確定最佳攻擊路徑、并設計網絡物理攻擊。最重要的是，泄漏中還包括的其他有關員工、流程、項目等的數據，可為威脅行為者提供非常準確的目標文化、計劃和運營狀況。

即使暴露的OT數據相對較舊，網絡物理系統的典型壽命也從20年到30年不等，這導致泄漏與偵察工作相關的時間比IT基礎設施上的暴露信息要長得多。為了預防和減輕暴露的OT數據帶來的風險，建議應用以下緩解措施：

● 制定并實施穩健的數據處理策略，以確保內部文檔受到保護。避免將高度敏感的操作數據存儲在安全性較低的網絡中;

● 勒索軟件入侵的受害者應評估泄露數據的價值，以確定哪些補償控制有助于降低進一步入侵的風險;

● 更改泄露的憑據和API密鑰，考慮更改關鍵系統和OT跳轉服務器的公開IP地址;

● 定期進行紅隊演習，以識別外部暴露和不安全的內部信息。

參考資源：

【1】https://www.mandiant.com/resources/ransomware-extortion-ot-docs

來源：天地和興