Netzfundstück: Prozessunterbrechungen durch Malware

Mit EKANS tauchte Anfang des Jahres eine Malware auf, die ebenfalls darauf abzielt, bestimmte industrielle Prozesse abzuschalten. In erster Linie betrifft die Schadsoftware nur Microsoft Windows-Systeme. Aber mit der Fülle von Windows-basierten Systemen, die in OT aktiv sind, sowie der Konvergenz von IT und OT hat EKANS das Potenzial, industrielle Prozesse zu stören, indem es OT-spezifische Software auf diesen Systemen übernimmt.

Ein häufiger Fall: Infektion eines OT-Datenbankservers

Fehlfunktion infiziertes System Rhebo Industrial Protector
Die Fehlfunktion eines infizierten Systems beeinträchtigt die Kommunikationsmuster in der OT. In Rhebo Industrial Protector werden fehlerhafte Kommunikationsmuster rot markiert.

Wenn beispielsweise ein OT-Datenbankserver infiziert ist, wird die Funktionalität der im OT aktiven Steuerungssoftware gestört. Beispiele für betroffene Systeme sind Proficy iFix, ThingWorx, Sentinel, GE Fanuc Licensing, VMWare, Nimsoft, Honeywell HMIWeb, Bluestripe, SolarWinds, FLEXNet, MS SQL Server. Natürlich werden die Aktivitäten von EKANS Spuren im OT-Kommunikationsmuster hinterlassen. Dies erlaubt es, den Auslöser zu lokalisieren und Störungen zu verhindern.

EKANS vs ICS Monitoring

EKANS-Aktivitäten können durch ICS-Überwachung und Erkennung von Anomalien identifiziert werden. Der Mechanismus ist dabei identisch mit fehlerhaften oder manipulativen Eingriffen in die Prozesskommunikation. Mit Hilfe der Deep Packet Inspection Technologie (DPI) werden solche Veränderungen in Echtzeit auf der unteren Ebene der Datenpakete erkannt. So können auch veränderte Funktionen oder Befehle analysiert werden, um Anomalien zu erkennen.

Anomalieerkennung Profinet Rhebo Industrial Protector
Rhebo Industrial Protector liefert detaillierte Informationen über Anomalien in der Profinet-Kommunikation für die forensische Analyse.

Identifizieren von möglichen Störungen in der OT-Kommunikation

In einem Fertigungsunternehmen erkannte die Anomalieerkennung wiederholt Befehle für Prozessunterbrechungen im Kommunikationsmuster. Diese waren untypisch für die Kommunikation zwischen den Komponenten innerhalb der OT. Insbesondere ihre Häufigkeit und ihr Zeitpunkt waren verdächtig. Anhand der forensischen Daten konnten die Operatoren sowohl die Quelle als auch den Kommunikationspfad sofort erkennen. Wie sich herausstellte, hatte ein Wartungsarbeiter - der für seine Aufgaben administrative Rechte auf dem System hatte - die fehlerhafte Kommunikation initiiert und damit eine Kettenreaktion riskiert. Die Situation konnte sofort behoben werden, so dass es zu keinem Produktionsausfall kam. Bei Malware wie EKANS würde dieser Prozess der Bedrohungserkennung auf ähnliche Weise ausgelöst werden.

Schutz von ICS und IoT vor Malware und Fehlerzuständen

Mit der ICS-Überwachungslösung und der Anomalieerkennung von Rhebo sind sowohl industrielle Steuerungssysteme (ICS) als auch vernetzte IoT-Geräte vor Cyberattacken, Malware und technischen Fehlerzuständen geschützt. Selbst Störungen durch zunehmende Zero-Day-Malware, die den Firewall- und Antiviren-Blocklisten unbekannt ist, können durch die kontinuierliche Überwachung der gesamten Netzwerkkommunikation entdeckt werden. Anomalie-Erkennung und automatisierte Bedrohungsabwehr gewährleisten eine integrierte Cybersicherheit von industriellen Automatisierungsnetzwerken und verteilten IoT-Geräten.