Projekt na białą listę pomaga właścicielom systemów sterowania znaleźć podejrzane pliki

Systemy kontroli przemysłowej były ostatnio w centrum strasznych historii bezpieczeństwa, ale zbadanie infekcji złośliwym oprogramowaniem w takich środowiskach nie jest łatwe, ponieważ analitycy często mają trudności z odróżnianiem podejrzanych i dobrych plików.

Badacze bezpieczeństwa zidentyfikowali dwie złośliwe kampanie roku, który był ukierunkowany na systemy SCADA (kontrola nadzorcza i akwizycja danych) - Havex i BlackEnergy. Oczekuje się, że liczba takich ataków wzrośnie, ponieważ nowe raporty pokazują, że sponsorowani przez państwo hakerzy są coraz bardziej zainteresowani firmami zajmującymi się infrastrukturą krytyczną.

Obecnie nowo uruchomiona usługa o nazwie WhiteScope zapewnia właścicielom systemów kontroli przemysłowej i badaczom listę dobrych plików od produktów SCADA i związanego z nimi oprogramowania. "Białą listę" można użyć do zidentyfikowania potencjalnie podejrzanych plików podczas badania możliwych kompromisów.

[Więcej informacji: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

"Biorąc udział w kilku spotkaniach dotyczących reakcji na incydent, zdałem sobie sprawę, że dość trudno jest wiedzieć, co jest "legalnym" plikiem ICS / SCADA, a co nie jest "- powiedział Billy Rios, pracownik ds. bezpieczeństwa, który stworzył nową usługę na stronie WhiteScope. "Biorąc pod uwagę, że przytłaczająca większość dostawców ICS / SCADA odmawia podpisania swojego oprogramowania, utknęliśmy przy określaniu, czy pliki takie jak" FTShell.dll "lub" WFCU.exe "(oba uzasadnione pliki przy okazji) naprawdę powinny tam być . "

Rios, który pracował w przeszłości dla Microsoftu i Google'a, ale jest również znany z niezależnych badań bezpieczeństwa SCADA, zebrał" znane dobre "artefakty plików, takie jak hashe plików, zmiany w rejestrze, procesy i załadowane moduły dla Oprogramowanie ICS / SCADA z nośników instalacyjnych, a także systemy działające na żywo.

Utworzona przez siebie baza danych WhiteScope zawiera obecnie 346 458 plików odpowiadających ponad 80 wersjom produktów SCADA i ICS od wielu dostawców, w tym General Electric, Schneider Electric , Rockwell Automation, Siemens i Advantech.

Obecnie usługa pozwala użytkownikom przesłać plik lub plik hash za pomocą formularza internetowego na stronie www.icswhitelist.com, aby sprawdzić go w bazie danych. Jednak Rios pracuje nad interfejsem programowania aplikacji (API), który umożliwia użytkownikom przesyłanie i sprawdzanie wielu plików i haszy jednocześnie.

"A" trafienie "w bazie danych wskazuje, że przesłany plik hash / plik wcześniej widziane w ramach instalacji ICS / SCADA ", powiedział Rios. "Brak" oznacza, że ​​WhiteScope wcześniej nie widział tego pliku. Najpierw sprawdziłbym, czy plik jest podpisany. Jeśli plik nie jest podpisany (prawdopodobnie w przypadku ICS / SCADA), sprawdź stronę "obsługiwane produkty" i sprawdź, czy produkt, którego szukasz, znajduje się na naszej liście produktów. Jeśli produktu nie ma na liście, rozważ współpracę z nami w celu uzyskania dobrego zestawu skrótów dla tego produktu. Jeśli produkt znajduje się na liście produktów, a plik nie pasuje do niczego, co mamy, rozpocznę dochodzenie w sprawie tego pliku. "

Badacz pracuje również nad stworzeniem bazy danych oprogramowania układowego, jak również podobnej białej listy dla oprogramowanie urządzeń medycznych, które zwykle również nie jest podpisane i nie można go łatwo zweryfikować.