接上文“愿者上钩”之后,攻击者们将会:
攻陷得更多的有价值终端
攻击者将受感染的工作站用作进入电厂网络内部的终端,他们立即上传了自己开发的一组定制工具,并开始进行更多侦察,他们默默地观看和学习一切…,正所谓不怕贼偷,就怕贼惦记
他们可以了解电厂,包括阅读电子邮件和识别电厂员工可以访问的内部应用程序服务器。
此外,他们从受感染的系统中搜索并备份所有本地文件,然后将其提取以进行进一步分析。
最后,他们安装了键盘记录器,当他们通过系统时,它们会捕获各种登录名和密码
当他们通过验证时,他们就拥有了多个用户凭证,攻击者通过网络传播获取对其他计算机的访问权限,并且删除操作时的日志文件,他们像幽灵一样通过网络,从一台计算机转到另一台计算机。
为了使得电厂检测不出他们的行为,他们使用了许多电厂管理员使用的相同标准管理命令,利用各种被攻陷的终端,攻击者继续从网络内部窃取数据并更好地了解目标环境。
攻陷的历史站!
历史站是一台重要的工控服务器。攻击者在工控系统网络上找到了他们正在寻找的历史服务器,并与只读的历史服务器建立了可靠的连接,他们向各种受感染的用户帐户添加了其他权限,并修改了可以访问敏感系统的组,到了这一步,攻击组很快就要行动了。他们获得了进入受感染网络的多个入口,开发了多个数据泄露点,在很多工作站上站住了脚,并保持了对受感染终端执行工具和命令的持久能力。但是他们还没有急于进攻,而是在等待,直到攻击者在控制系统网络上找到了他们正在寻找的历史站数据库服务器,这个数据库服务器与只读历史站应用服务器建立了可靠的连接!
通过攻陷历史站,攻击者们获得了对电厂发电性能和控制数据的可见性。
我可以负责任地告诉你,黎叔很生气,后果很严重!
黑客的攻击电厂设施正式开始!
使用应用程序漏洞攻击,攻击者将数据注入服务器的数据库复制过程中,最后一堵墙倒了!
攻击者通过监视往返于只读历史站应用服务器的流量来实现此目的。
他们从那里入侵了公司网络,并确定系统网络上的历史站主数据库服务器直接连接到只读历史服务器,通过利用这个现有的双向信任连接,攻击者能够穿越控制系统网络防火墙,并感染历史站主数据库服务器。
恶意文件立即启动,并使控制系统网络充满大量垃圾数据和多种网络攻击。
这导致操作员HMI丢失了要监视的控制系统的图像,并在远程PLC中成功创建了故障状况。
该状况很容易受到网络漏洞攻击,并且操作受到影响,而电厂也难以找到事件的原因。
总结
通过本故事剖析黑客的一次典型的攻击,我希望您必须了解一个积极的网络攻击者可以访问您的网络,同时你需要可以采取许多步骤来降低攻击者的速度,否则结果您很可能会被网络攻击到。
至关重要的是,您不仅要专注于建设的网络安全软硬件,而且要拥有有效识别和响应事件的人员和流程。