卡巴斯基实验室：工业网络急需对RAT实施控制

远程管理工具(RATs)一直充满了争议性。的确，远程管理工具使人们避免了直接接触硬件的麻烦，不过与此同时，由于开放了设备的远程访问路径，从而将计算机系统置于危险中。工业环境下的远程访问尤其危险。针对RAT在工业计算机中的普及程度以及可能造成的伤害，来自KL ICS CERT的卡巴斯基同事进行了一次研究。

根据卡巴斯基安全网络统计数据，2018年上半年，使用Windows OS的工业系统中有三分之一安装了合法RAT。在工业系统中，我们指的是SCADA服务器、historian服务器、数据网关、工程师和运营者工作站以及人机界面计算机。

有时，当地管理员和工程师会在日常工作中使用RAT。有时，外部人员(比如系统集成商或工业控制系统开发者)需要通过远程访问以进行诊断、维护和故障检修。所以实际上，在某些情况下，使用RAT不是出于运行需求，而是为了降低服务成本。即使RAT是正常技术流程所需要的，仍有必要对可能的风险进行评估，甚至需要调整流程，以减少受攻击面。

另一种可能性也无法排除：为了骗过防护解决方案，恶意软件实施者有时会使用合法远程管理软件作为攻击工具。

问题出在哪里?

目前看来，似乎并非所有专家都了解工业网络内RAT的危险性。以下是我们同事在检查系统时发现的 RAT问题：

·他们经常使用系统权限;

·他们没有让管理员限制对系统的访问;

·他们没有采用多重身份认证;

·他们没有对客户端活动进行记录;

·他们存在漏洞，而且不止是尚未发现的漏洞(也就是说，公司没有对其 RAT及时更新);

·他们使用中继服务器，从而使得避开 NAT和本地防火墙限制成为可能;

·他们经常使用预设密码或持有硬编码证书;

在有些情况下，安全团队甚至不知道RAT在使用中，因此他们根本不会考虑到该攻击途径。

但主要问题在于，很难将RAT攻击与正常活动区分开来。在ICS事件的调查过程中，我们的CERT专家遇到了不法分子利用远程访问工具进行攻击的众多案例。

如何将风险降到最低

为了降低网络事故风险性，卡巴斯基实验室 ICS CERT建议采取以下步骤：

·对技术网络中所用的远程管理工具进行一次彻底审核，重点放在 VNC、RDP、TeamViewer、RMS/Remote Utilities;

·摒弃所有无法根据运营需求判断其正当性的RAT;

·分析并禁用任何非必须的、与自动控制系统软件相整合的远程管理软件;

·如果是运行时需要用到RAT，则禁用无条件访问。仅允许在有记录请求的情况下，启动无条件访问，但应限制访问时间;

·为每次远程管理会话创建详细的控制和事件记录。