近期關於 APT37 的情報凸顯了一個關鍵現實:儘管有證據顯示並非如此,許多組織仍將物理隔離網路視為無懈可擊。當攻擊者無法利用網路作為入侵途徑時,他們便會轉向實體途徑。在工業、國防及關鍵基礎設施環境中,這種途徑幾乎總是可移除儲存媒體。
USB 對於韌體更新、日誌擷取、供應商維護以及工程檔案傳輸等任務而言,仍是運作上不可或缺的。APT37 部署惡意 LNK 捷徑檔案的行為,正是如何以最低的技術複雜度、卻能造成最大運作影響來利用此攻擊面的經典範例。
為何 LNK 檔案對隔離環境構成重大威脅
LNK 檔案是 Windows 的原生捷徑。其外觀與合法的資料夾或文件毫無二致,而這正是攻擊者會刻意利用的細節。
在看似無害的外表之下,一旦被利用,LNK 檔案能夠:
- 呼叫 PowerShell 或其他原生系統解釋器
- 執行儲存於可移除裝置中的隱藏腳本
- 在無需外部連線的情況下部署與觸發有效載荷
- 利用可信的作業系統工具來規避偵測
這些執行路徑均無需網路存取權限、使用者對巨集的批准,亦無需獨立的惡意軟體二進位檔。這使得捷徑本身成為威脅的傳播載體,在物理隔離環境中可能造成重大影響。舉例來說,操作員插入USB 雙擊看似普通的工程文件,系統便會在本地環境中悄然遭到入侵,且不會立即觸發警報。
可移除Media 的實際運作狀況
根本問題不在於USB 的存在,而在於缺乏對其使用的管理規範。在許多營運技術(OT)環境中,當前的狀況反映出重大的管控缺口:
- 可移除式儲存媒體在未經預先篩查的情況下,直接插入生產及工程工作站
- 檔案在開啟時不會經過任何形式的內容檢查
- 目前無法集中掌握哪些資料、何時以及由誰進行了傳輸
- 針對可執行檔案類型(例如 LNK、EXE 或腳本檔案)的相關政策,要麼不存在,要麼執行不一致
對於技術嫻熟的威脅行為者而言,當運作流程已為其開闢了一條暢通無阻的途徑時,便無需刻意突破技術防線。這正是 APT37 與其他積極進行攻擊的類似行為者之間的差異所在。
在操作系統(OS)安全領域,最危險的假設莫過於認為「物理隔離等同於保護」。在我曾參與的每個關鍵基礎設施環境中,可移除儲存媒體都是運作上不可或缺的,而這項必要性,正是威脅行為者所倚賴的。當USB 繞過檢查並進入工程工作站時,你面對的已不再是網路問題,而是必須承擔後果。
為何USB Kiosk 關鍵控制點
在USB 插入生產設備後才依賴端點偵測,屬於被動式防禦策略。在營運技術(OT)環境中,採取被動式方法往往會導致遲於遏制入侵。最符合營運實務的做法,是在可移除媒體接觸任何生產系統之前,就實施內容檢查。
USB 檢查站是一種解決方案,可在外部環境與 OT/ICS 網路邊界之間建立受控且強制性的檢查點。由於可移除式儲存裝置在使用前須經過具備檢測功能的檢查站處理,因此每項裝置都必須接受:
- 採用多引擎惡意軟體掃描,以偵測已知威脅
- 檔案內容無害化與重建,以消除檔案中的主動式內容
- 實施檔案類型政策,以限制未經批准的格式進入系統環境
- 進行裝置層級的檢查,以評估儲存媒體本身的完整性
- 全面的稽核記錄,以確保每次傳輸皆具備完整的追蹤鏈
此架構在實體層面上將檢查流程與生產系統分離,確保高風險內容在接觸任何營運資產之前即被中和。
自助服務機如何直接緩解基於 LNK 的攻擊鏈
一個設定妥當的掃描服務站工作流程,預設會將 LNK 檔案及類似的可執行檔案視為高風險物件。在實際運作上,這意味著:
- 捷徑和腳本檔案會在檢查階段被自動封鎖
- 已從核准的檔案類型中移除可執行內容
- 識別並消除嵌入檔案中的可疑指令結構
- 僅允許明確授權的檔案類型傳入 OT 環境
若攻擊者將惡意載荷嵌入 LNK 檔案中,系統會在USB 連接到工程工作站之前,即予以攔截並進行修復。若組織政策完全禁止使用捷徑檔案,系統會於資訊站端將其過濾掉,並在攻擊鏈啟動之前便予以切斷。
確保實體邊界的安全
當在物理層實施管控措施時,物理隔離才能提供最強的安全保障。USB 終端機可為組織提供:
- 在 分散的設施和營運據點之間集中執行政策
- 透過一致的控制措施,降低對個別使用者判斷的依賴
- 全面掌握所有可移除媒體活動的運作狀況
- 符合監管及產業框架要求的審計就緒文件
- 降低工程工作站、安全系統及其他高風險資產的風險暴露
在某些環境中,這一點尤為關鍵,因為只要單一終端裝置遭到入侵,便可能引發連鎖反應,進而影響生產連續性、人員安全或電網可靠性。
「先檢查再插入」並非最佳做法,而是唯一能填補漏洞的做法。
OPSWAT 如何OPSWAT Secure 關鍵基礎設施安全
物理隔離環境之所以遭到入侵,並非因為它們連線至外部網路,而是因為系統預設會信任可移除儲存媒體。面對針對關鍵基礎設施發動的精密且有針對性的攻擊,這種預設假設已成為組織無法再承擔的風險。當可移除儲存媒體是您營運工作流程的一部分時OPSWAT「周邊設備與可移除Media 」解決方案能提供多層級的管控措施,以填補此安全漏洞。
MetaDefender Kiosk™:在入口處Secure Media
為了防禦基於USB攻擊途徑, MetaDefender Kiosk 作為實體掃描站,用以保護組織的資產。它整合了經過驗證且業界領先的解決方案與技術,在資料進入關鍵環境之前進行淨化處理。結合MetaDefender File Transfer™ (MFT) 和MetaDefender Media 等解決方案MetaDefender Kiosk 額外的防禦層級,以支援安全的檔案傳輸並執行掃描政策。
MetaDefender Endpoint™:執行前防護與裝置管控
MetaDefender Endpoint 可強化端點安全性,並在關鍵環境中為周邊設備及可移除媒體提供保護。該解決方案會主動偵測並封鎖可移除媒體裝置,直至其經過徹底掃描並驗證為乾淨無虞後,才會允許其存取系統。
多媒體 證作為額外的防禦層
OPSWAT 額外的解決方案,以支援深度防禦策略,透過驗證媒體內容並執行掃描與淨化政策,實現多層次防護。
MetaDefender Media Firewall 是一款易於使用的硬體解決方案,旨在保護關鍵主機系統免受可移除媒體所攜帶的威脅。它與MetaDefender Kiosk 協同運作Kiosk OT 環境中的物理層,確保任何未經掃描的可移除媒體皆無法繞過入口點。
MetaDefender Validation是一款安裝於終端設備上的輕量級工具,其作用是作為檢查點,確保只有經過MetaDefender Kiosk 掃描的檔案Kiosk 在終端設備上被開啟、複製、選取及存取。
業界領先的技術
MetaDefender Kiosk MetaDefender Endpoint 經過驗證且廣受全球信賴的技術,例如Metascan™Multiscanning,該技術透過 30 多個反惡意軟體引擎,實現 99.2% 的惡意軟體偵測率。此外,這兩款解決方案還採用Deep CDR™ 技術,能在不影響檔案功能的前提下,主動移除檔案中的惡意內容。 除了執行漏洞評估以識別可移除媒體中的已知軟體缺陷,並提供強大的敏感資料外洩防護外,這兩項解決方案還能為 IT/OT 網路提供深度、多層次的防禦,抵禦周邊設備與可移除媒體帶來的威脅。
高層要點
APT37 並非透過突破網路安全架構來繞過物理隔離。他們利用了作業系統的功能以及可移除媒體的工作流程,而這些完全在組織的管控範圍內。
若您的運作工作流程中包含可移除儲存媒體,為應對此挑戰,必須在執行程序抵達終端之前就採取預防措施。在大多數 OT/ICS 環境中,這確實是常態。因此,必須像對待任何網路邊界控制一樣,對其實施嚴格的管理:
- 插入前請先檢查:任何裝置在進入生產系統前,都應經過事先篩選
- 轉移前須記錄:每次媒體互動都應產生可稽查的紀錄
- 在存取前進行修復:必須在邊界處消除風險,而非事後才加以偵測
若想了解OPSWAT 如何OPSWAT 您OPSWAT 可移除式與周邊儲存媒體的威脅侵入關鍵環境之前OPSWAT 化解OPSWAT 立即聯繫專家。
