在大型国际机场阻止网络攻击
使用 IBM Security QRadar EDR 在气隙网络中搜寻恶意软件
飞机的鸟瞰图

某大型国际机场通过运行气隙网络,管理从安保到后勤的各种内部运营事务。虽然该机场与外部网络完全隔绝,但仍有一些设备感染了能够在本地捕获和存储信息的恶意软件。

安全性挑战

  • 关键基础设施对停机事件无任何容错能力

  • 网络内缺乏安全措施

  • 气隙网络中同时连接了低安全性和高安全性设备

  • 无法清晰了解气隙环境内的任何设备

这座大型国际机场是世界上最大的交通枢纽之一,每年接待 7000 万名旅客,每天起降超过 1,000 个航班。总体而言,该机场遵循着出色的安全协议,采用完全隔离的网络来运营多项关键服务和防止来自互联网的感染。然而,气隙网络创造了一种虚假的安全感。尽管气隙环境内的所有设备都无法访问互联网,但其中的每个网段都相互连接,没有流量控制。

此外,气隙网络包括可供公众现场使用的设备,例如信息亭,这使关键服务面临潜在的攻击威胁。而且,由于将信息从外部带到内部的唯一方法是使用 USB 驱动器,机场员工可在无意中引入潜在的恶意软件,导致端点设备易受攻击。

1,000 个航班

 

机场每天起降超过 1,000 个航班

7,000 万

 

每年服务 7,000 万名旅客

由于 QRadar EDR 提供的可见性,该机场可在不破坏业务连续性的情况下,重现从初始点开始的事件全过程,并安全地修复感染。

检测和修复,不中断业务

解决方案概述:

  • 该机场实施了 IBM Security® QRadar® EDR 软件,使用 NanoOS 技术实现跨端点和基础架构的卓越可见性。
                  
  • QRadar EDR 的行为引擎可在孤立网络上运行,而不产生性能降级。

  • 利用强大的威胁搜寻功能,机场可以重建和分析事件。

由于某些端点速度似乎变慢,机场使用 IBM Security QRadar EDR 软件在气隙网络中进行了卫生检查。在初始网段上部署 QRadar EDR 后,引擎在少数设备上发现了潜在的恶意活动。根据最初的分析,某个可公开访问的信息亭是最初的入口点,但随后的分析发现了第二个入口点:来自值机区的某台设备。这两个恶意载体传播到了涉及不同网段的有限数量的设备。

由于 QRadar EDR 平台提供的可见性,该机场可在不破坏业务连续性的情况下,重现从初始点开始的事件全过程,并安全地修复感染。

 

根本原因分析

最初的部署发现了几个行为异常。某个应用程序在内存中安装了键盘记录器,方式是将其注入默认浏览器的隐藏实例中。之后,另一个线程清理了磁盘,以查找 Microsoft Word 文件、PDF 文件、Cookie 和浏览器数据库。这些信息被收集在一个隐藏文件夹中,并且攻击者定期尝试将其发送到某个命令和控制 (C2) 服务器,但由于网络与外界完全隔离而未能成功。

对感染载体的更深入研究带来了有趣的结果:该载体异常大,包含一系列旨在绕过本地防病毒软件和沙箱分析的机制。大尺寸很可能是为了逃避防病毒仿真引擎,因为此类系统通常会模拟整个二进制文件的一小部分。

最后确定了两个不同的载体,一个安装在公共信息亭,另一个安装在作为值机管理网络传感器一部分的设备上。尽管这两个载体看起来不同(这主要是因为有大量用于避免检测的垃圾指令),但恶意软件似乎是相同的。两个载体都试图联系同一个 C2 服务器,并以相同的方式运行。

 

攻击重构

仅在入侵后部署 QRadar EDR 并不能获得所有信息,并且本地基础架构仅记录最基本的操作系统级别的少量日志。尽管信息量很少,但后续分析显示,感染发生在五个月前,两个端点设备由两个不同的 USB 驱动器感染,时间相隔几天。这两个载体又感染了其他端点设备,而感染原因主要是密码强度较弱,恶意软件尝试在它可以连接的每台设备上随机匹配密码。恶意软件不断收集信息,并且似乎没有采取任何保留控制措施或对其存储器施加限制。恶意软件每八小时便尝试一次与 C2 连接,但由于气隙环境而从未成功。

最终分析表明,虽然该恶意软件具有自我复制能力,并且可以自动将其存储内容复制到外部 USB 驱动器中,但该功能并未启用。据推测,数据外泄过程应该是手动启动的。

 

响应和补救

机场使用 QRadar EDR 中的补救模块清理了受感染的设备,并清除了所识别的存储文件夹,以避免任何数据泄漏。实践证明,除了已识别为受感染的设备外,威胁搜寻界面对于确认整个基础设施均已排除相同载体至关重要。机场还进行了行为搜索,以确保没有恶意软件实例在其他设备上运行而未被检测到。搜索范围包括所有已识别的行为、持续威胁和数据收集方法,直到可以确认基础架构中不存在该载体及其变体。

最后,本地安全团队建立了一套更严格的内部流量控制规则。网络的公共部分与内部运营相隔离,而且本地安全团队开始运行持续的端点监视和定期的威胁搜寻活动。

机场使用 QRadar EDR 中的修复模块,清理了受感染的设备并避免了数据泄漏。解决方案的威胁搜寻界面有助于确认整个基础架构中没有该载体。

结论:消除机场服务中的重大风险

气隙环境可以实现极高的安全性,但如果不以严格的方式实施,可能会产生一种虚假的安全感。尽管攻击动机仍不清楚(因为数据虽然被收集,但从未被泄漏),但我们可以肯定地断定攻击者撬开了基础架构的大门,因此不仅可以外泄信息,还可以积极破坏机场的运营。对值机区发起简单的勒索软件攻击,就会造成不可避免的延误;而对安检区发起同样的攻击,则会彻底阻止航班并造成严重影响。

客户概况:

该大型国际机场是世界上最大的交通枢纽之一,每年客运量达 7,000 万人次,每天起降航班超过 1,000 班。该机场被归类为关键基础设施。

接下来:
 
查看案例研究 PDF 阻止恶意软件和勒索软件攻击

一家国际运输公司在网络连接有限的船上部署自动化端点安全机制。

阅读成功案例
关键基础设施

跟踪一个针对水资源管理机构、高度复杂的供应链攻击

阅读成功案例
法律

© Copyright IBM Corporation 2023。IBM Corporation, IBM Security, New Orchard Road, Armonk, NY 10504

2023 年 6 月在美国制作

IBM、IBM 徽标、ibm.com、IBM Security 和 QRadar 是 International Business Machines Corp. 在世界各地司法辖区的注册商标。其他产品和服务名称可能是 IBM 或其他公司的商标。以下网站上的“Copyright and trademark information”部分中包含了 IBM 商标的最新列表:ibm.com/trademark

本文档为自最初公布日期起的最新版本,IBM 可能随时对其进行更改。IBM 并不一定在开展业务的所有国家或地区提供所有产品或服务。

文中引用的性能数据和客户实例仅作说明之用。实际性能结果可能因具体配置和操作条件而异。本文档内的信息“按现状”提供,不附有任何种类的(无论是明示的还是默示的)保证,包括不附有关于适销性、适用于某种特定用途的任何保证以及非侵权的任何保证或条件。IBM 产品根据其提供时所依据的协议条款和条件获得保证。