研究：工控系统恶意感染软件大多“业余”

工业控制安全公司Dragos发布新研究指出，每年有近3000个工业网站被普通的常规恶意软件感染，但专门针对工业控制系统(ICS)的恶意软件却不常见。

Dragos威胁运营总监本·米勒表示，恶意软件确实进入了ICS环境，但大多数表现为“机会主义”。

Dragos分析了从VirusTotal（恶意软件扫描服务）收集的1.5万个样本（3个月），研究人员确定，Sivis、Ramnit和 Virut病毒是工业设置中最常见的恶意程序。Dragos发博文解释称，这类感染十分常见，通常不会对物理安全构成危险。

另一方面，诸如BlackEnergy这类“量身定做”的威胁（破坏乌克兰电网）在某些情况下会对工业环境构成重大危害。但在收集的样本中，Dragos仅发现12个是专门设计用来渗透工业控制系统的恶意软件的实例。

在这12个实例中，最具危害性的要属一款犯罪软件。自2013年以来，这款软件一再设法通过西门子可编程逻辑控制器（PLC）软件攻击美国某工业控制环境。报告称，过去四年，这种活动被记录过10次。

Dragos认为，不熟悉ICS环境的IT安全团队有时会将合法ICS软件标记为恶意软件。Dragos报告了数千种独特的ICS软件，包括公共恶意软件数据库中的人机界面安装程序、数据历史存储安装程序和关键发生器。报告警告称，这可能只是对手单纯下载这些软件文件用这种文件来学习和实践。

Dragos报告称，已发现了120多个合法ICS项目文件被错误标记，并提交到公共恶意软件数据库，包括核监管委员会报告、变电站布局和威胁报告。

米勒表示，他们发现一些提供商和用户并没有意识到自己上传的内容会导致数据泄露，其中一些上传文件还包括不应该上传的工程、合规和维修等内容。

本文转自d1net（转载）

威胁快报|Bulehero挖矿蠕虫升级，PhpStudy后门漏洞加入武器库 近日，阿里云安全团队监控到Bulehero挖矿蠕虫进行了版本升级，蠕虫升级后开始利用最新出现的PHPStudy后门漏洞作为新的攻击方式对Windows主机进行攻击，攻击成功后会下载门罗币挖矿程序进行牟利。建议用户及时排查自身主机是否存在安全漏洞，并关注阿里云安全团队的相关文章。
网络间谍小组重新启用12年前的Bifrose后门 本文讲的是网络间谍小组重新启用12年前的Bifrose后门，一个网络间谍活动的黑客小组自2010年起就开始攻击亚洲关键行业的公司，使用的后门是Bifrose。该后门的历史可以上溯到2004年。
支持多平台高级逃避技术的外星人间谍软件AlienSpy RAT 本文讲的是 支持多平台高级逃避技术的外星人间谍软件AlienSpy RAT，黑客们协同开发了外星人间谍（AlienSpy RAT）软件，这是一种远程连接工具，旨在一系列关键基础设施上植入并传播城堡（Citadel）银行木马。
这些勒索软件即便是最老练的安全专家也头痛 本文讲的是这些勒索软件即便是最老练的安全专家也头痛，勒索软件最经常盯上的目标，是公司企业(比如医院)，而非个人。企业拥有更多的有价值数据和更多金钱可供勒索(赎金可从500美元每台电脑到15000美元整个公司)。