关于APT37的最新情报凸显了一个严峻的现实:尽管有证据表明并非如此,许多组织仍将物理隔离网络视为坚不可摧。当攻击者无法通过网络入侵时,他们便会转向物理攻击途径。在工业、国防和关键基础设施环境中,这种攻击途径几乎总是可移动存储介质。
对于固件更新、日志提取、供应商维护以及工程文件传输等任务而言USB 仍是必不可少的。APT37 部署恶意 LNK 快捷方式文件的做法,正是如何以极低的技术复杂度利用这一攻击面并造成最大操作影响的典型案例。
为什么 LNK 文件对隔离环境构成重大威胁
LNK 文件是 Windows 的原生快捷方式。其外观与合法文件夹或文档毫无二致,而攻击者往往会刻意利用这一特点。
尽管表面看起来无害,但一旦被利用,LNK 文件能够:
- 调用 PowerShell 或其他原生系统解释器
- 执行存储在可移动设备上的隐藏脚本
- 无需外部连接即可部署和触发有效载荷
- 利用受信任的操作系统工具来规避检测
这些执行路径均无需网络访问、用户对宏的批准,也不需要独立的恶意软件二进制文件。这使得快捷方式本身成为威胁的传播载体,在物理隔离的环境中可能造成重大影响。例如,攻击者插入一个USB ,双击一个看似普通的工程文档,系统便会在本地环境中悄无声息地遭到入侵,且不会立即触发警报。
可移动Media 的实际运营状况
根本问题并不USB 而在于其使用缺乏管理规范。在许多运营技术(OT)环境中,当前状况反映出存在严重的管控缺口:
- 可移动存储介质无需预先筛查即可直接插入生产和工程工作站
- 文件在未经过任何形式的内容检查的情况下被打开
- 无法集中查看哪些数据被传输、何时传输以及由谁传输
- 针对可执行文件类型(如 LNK、EXE 或脚本文件)的策略要么缺失,要么执行不一致
对于技术娴熟的威胁行为者而言,当运营流程为其提供了畅通无阻的途径时,他们便无需突破技术防护措施。这正是APT37与那些积极利用漏洞的类似行为者之间的区别所在。
在操作技术(OT)安全领域,最危险的误区在于认为物理隔离就等同于安全防护。在我接触过的每一个关键基础设施环境中,可移除存储介质都是运营所必需的,而威胁行为者正是利用了这一点。当USB 绕过检查并接入工程工作站时,你面对的已不再是网络问题,而是由此引发的后果。
为何USB Kiosk 至关Kiosk
在生产设备插入USB 后才依赖终端检测,是一种被动防御策略。在运营技术(OT)环境中,这种被动策略往往导致在发生安全事件后才采取措施,此时已为时过晚。最稳妥的操作方法是在可移动存储介质接触任何生产系统之前,强制实施内容检查。
USB 检查站是一种解决方案,可在外部环境与OT/ICS网络边界之间建立一个受控且强制性的检查点。由于可移除存储介质在使用前需经过功能完善的检查站处理,因此每台设备都将接受:
- 使用多引擎恶意软件扫描来检测已知威胁
- 文件内容无害化处理与重建,以消除文件中的活动内容
- 实施文件类型策略,以阻止未经批准的文件格式进入系统环境
- 设备级检查,用于评估存储介质本身的完整性
- 全面的审计日志记录,确保每次传输都具备完整的责任链
该架构在物理层面上将检查流程与生产系统解耦,确保高风险内容在触及任何运营资产之前就被消除。
自助服务终端如何直接缓解基于LNK的攻击链
配置得当的扫描亭工作流默认会将 LNK 文件及类似的可执行文件视为高风险对象。从操作层面来看,这意味着:
- 在检查阶段,快捷方式和脚本文件会被自动拦截
- 已从批准的文件类型中移除可执行内容
- 识别并清除文件中嵌入的可疑命令结构
- 只有明确授权的文件类型才允许进入OT环境
如果攻击者将恶意有效载荷嵌入 LNK 文件中,该文件会在USB 连接到工程工作站之前就被拦截并清除。如果组织政策完全禁止使用快捷方式文件,这些文件将在自助终端被过滤掉,从而在攻击链启动之前将其切断。
保障物理边界的安全
当在物理层实施控制措施时,物理隔离才能提供最强有力的安全保障。USB 终端可为组织提供:
- 在 分布式设施和运营站点之间集中执行政策
- 通过一致的控制措施,减少对单个用户主观判断的依赖
- 全面掌握所有可移动存储介质活动的运行状况
- 符合监管及行业框架要求的、可接受审计的文件
- 降低工程工作站、安全系统及其他高风险资产的风险敞口
在某些环境中,这一点尤为关键,因为单个受感染的终端设备就可能引发连锁反应,进而影响生产连续性、人员安全或电网可靠性。
“先检查后插入”并非最佳实践,而是唯一能填补这一缺口的做法。
OPSWAT 如何OPSWAT Secure 关键基础设施安全
物理隔离环境之所以遭到入侵,并非因为它们与外部网络相连,而是因为可移动存储介质默认被视为可信。面对针对关键基础设施的复杂定向攻击,这种默认假设已成为组织无法再承担的风险。当可移动存储介质成为您运营工作流的一部分时OPSWAT外设与可移动Media 解决方案可提供多层控制措施,从而填补这一安全漏洞。
MetaDefender Kiosk™:在入口处Secure Media
为了防范USB攻击途径, MetaDefender Kiosk 作为物理扫描站,致力于保护企业的资产安全。它与经过验证的、行业领先的解决方案和技术集成,在数据进入关键环境之前对其进行净化处理。结合MetaDefender File Transfer™ (MFT) 和MetaDefender Media 等解决方案,MetaDefender Kiosk 额外的防御层,以支持安全的文件传输并强制执行扫描策略。
MetaDefender Endpoint™:运行前防护与设备控制
MetaDefender Endpoint 可增强终端安全性,并在关键环境中为外围设备和可移动存储介质提供保护。该解决方案会主动检测并阻止可移动存储设备,直到对其进行彻底扫描并验证无病毒后,才允许其访问系统。
Media 验证作为额外的防御层
OPSWAT 额外的解决方案,以支持深度防御策略,通过验证媒体并强制执行扫描和清理策略,实现多层防护。
MetaDefender Media Firewall 是一款易于使用的硬件解决方案,旨在保护关键主机系统免受可移动存储介质携带的威胁。MetaDefender Kiosk 工作Kiosk 环境中的物理层,确保任何未经扫描的可移动存储介质都无法绕过入口点。
MetaDefender Validation是一款安装在终端设备上的轻量级工具,它作为检查点,确保只有经过MetaDefender Kiosk 扫描的文件Kiosk 被终端设备打开、复制、选中或访问。
业界领先的技术
MetaDefender Kiosk MetaDefender Endpoint 经过验证且全球公认的技术,例如Metascan™Multiscanning,该技术通过 30 多个反恶意软件引擎实现了 99.2% 的恶意软件检测率。此外,它们还运用Deep CDR™ 技术,在不影响文件功能的前提下主动清除其中的恶意内容。 除了执行漏洞评估以识别可移动介质中的已知软件缺陷,并提供强大的敏感数据泄露防护外,这两款解决方案还能为 IT/OT 网络提供深度、多层防御,抵御外设和可移动介质带来的威胁。
管理层要点
APT37 并未通过突破网络安全架构来绕过物理隔离。他们利用了操作系统功能和可移动存储介质的工作流程,而这些完全处于组织的管控范围内。
若您的运营工作流程中涉及可移除存储介质,为应对这一挑战,必须在可执行文件到达终端之前实施防护措施。在大多数 OT/ICS 环境中,情况确实如此。因此,必须像对待任何网络边界控制一样,对其进行严格管控:
- 部署前须经检查:任何设备在进入生产系统前都应经过预先筛查
- 转移前记录:每次媒体交互都应生成可审计的记录
- 先解决再访问:必须在边界处消除风险,而非事后才进行检测
如需了解OPSWAT 如何OPSWAT 您在可移动存储介质和外围设备带来的威胁侵入关键环境之前将其消除,请立即联系专家。
