ScientiaFrostyGoop/BUSTLEBERM 工控惡意軟體解析
於2024年四月,烏克蘭的Cyber Security Situation Center (CSSC)因為國內停電的情形而記錄到這隻新型針對烏克蘭能源公司進行工控攻擊的惡意軟體FrostyGoop/BUSTLEBERM,是目前為止回報第19隻被開發用來針對工控裝置的malware,透過Modbus TCP port攻擊成功後影響了超過600家烏克蘭國內公司的電力供應,如果工控裝置有連網的話這隻malware可以透過攻擊周邊的元件或者外部的系統進去,接著送Modbus指令去讀寫或變更Industrial control system (ICS)裝置的資料,造成能源上的災害。
威脅情報指標
我們在搜集惡意APT(Advanced Persistent Threats)事件時會需要一些有關聯性的資訊,透過這些資訊能夠指示出系統或網路中可能已經受到侵害的特定特徵或跡象,包括檔案特徵、網路特徵、主機特徵、電子郵件特徵、使用者行為特徵、 日誌特徵以及應用程式特徵等等。
Palo Alto Firewall URL過濾 以及 Application Block Page
在Palo Alto防火牆要兩項功能一個是Application Block Page另外一個是URL Filtering and Category Match Block Page到Device→Response Pages找到Application Block Page可以使.
Palo Alto Firewall 防火牆 Policy 政策 設定
對於防火牆很重要的功能之一就是透過policy去控管使用者或外部存取者的連線控制,若使用者有不當的連線行為,也能夠透過防火牆的log查看到紀錄,而存取控管限制使用者不能夠連線哪種類型的網站,或者封鎖特定服務都可以透過policy來做控制。
Palo Alto 防火牆 NAT (Network Address Translation) 設定
在網路上我們不可能直接將內網的服務IP揭露出去,而防火牆就會提供網路位址轉譯成能夠對外的IP,一來是內網服務IP數量有限所以需要轉譯出去,二來是不想讓攻擊者知道內網服務的IP位址,故需要透過Network Address Translation(NAT)來轉址。
如何 安裝 Palo Alto VM
先在實體機器或虛擬機上安裝Palo Alto OVA檔案: PA-VM-ESX-xxxx,安裝好後直接啟動,啟動時需要設定PA-VM的interface,通常有兩種:1. DHCP 2. Static
