【安全圈】霍尼韦尔：针对工业组织的 USB 恶意软件攻击变得更加复杂

霍尼韦尔发布了工业组织面临的 USB 传播恶意软件的第六份年度报告，警告称其复杂性正在增加。

该报告基于霍尼韦尔公司全球分析、研究和防御（GARD）团队利用安全产品收集的数据进行的分析，该产品旨在检测和阻止工业环境中使用的 USB 驱动器上的恶意软件。

相比前两年，过去一年的一些数据基本没有变化。在霍尼韦尔产品检测到的所有恶意软件中，有31% 是已知针对工业系统或公司的攻击活动的一部分或与其相关。

与过去几年类似，超过一半的恶意软件旨在通过 USB 驱动器进行攻击或传播，这有助于恶意软件跨越隔离网络。此外，大约一半的恶意软件能够连接到远程 C&C 服务器。

同样与过去两年类似的是，80% 检测到的恶意软件能够对运营技术（OT）流程造成干扰，包括失去视野、失去控制或系统中断。这包括勒索软件、擦除器和专门设计用于操纵或破坏控制的恶意软件，例如 Industroyer2 和 Black Energy。

在报告中，霍尼韦尔表明：“这些数据共同证实了一种观点，即 USB 传播的恶意软件被有意利用，成为针对工业目标的协调攻击活动的一部分，可能导致视野和/或控制丧失。”

相较往年，霍尼韦尔已开始监测更多的指标。这显示了向离地生活（LotL）策略的转变，以增加攻击者不被察觉的机会。

霍尼韦尔指出：“最新证据显示，对手正在采用LotL策略，将更复杂的检测规避和持久性技术与利用目标系统固有功能的执行技术相结合。”

大约20%的USB恶意软件是基于内容的，滥用现有的文档和脚本功能，而不是利用新的漏洞。

在被阻止的所有恶意软件中，超过13%专门利用了常见文档（如Word文档、电子表格、脚本等）的固有功能。另外2%的恶意软件专门针对常见文档格式中的已知漏洞，另外5%专门针对用于修改和创建这些文件类型的应用程序。

该公司还发现针对Linux和其他平台的恶意软件有所增加，其中包括专门为工业设施设计的恶意软件。

另一个令人担忧的趋势与恶意软件频率有关。霍尼韦尔表示，与去年相比，被阻止的恶意软件数量相对于扫描文件总数增加了约33%，同比增长了700%。

霍尼韦尔警告称：“已知威胁进入工业/OT环境的复杂程度、频率和潜在运营风险连续第六年增加。” “USB传播的恶意软件显然成为针对工业目标更大规模网络攻击活动的一部分。对ATT&CK技术的分析以及与主要网络物理攻击活动相关的恶意软件（例如Stuxnet、Black Energy、Triton、Industroyer和Industroyer 2）的分析都支持了这一趋势。”

霍尼韦尔国际（Honeywell International）是一家总部位于北卡罗来纳州夏洛特的跨国公司，主要从事电子消费品制造、工程技术服务和航空航天系统领域。该公司被列入《财富》杂志100强公司，拥有大约110,000名员工，其中约44,000名位于美国。

阅读推荐