• 發布單位:TWCERT/CC
• 更新日期:2020-05-26
• 點閱次數:527

USB對於工控系統仍有顯著的威脅，應做好防護措施，並對人員進行安全意識之教育訓練。

通用序列匯流排 (Universal Serial Bus, USB)為一輸入輸出埠的技術規範，被廣泛地應用於個人電腦和行動裝置等訊息通訊產品，例如隨身碟及攝影器材等。Honeywell於11月1日發布USB對工業造成之威脅報告，其中分析其布於美國、南美、歐洲及中東等地區的油、氣、電、化工及造紙等產業中之感應器，並觀察所偵測到的惡意檔案，而結果證明USB對於工控系統仍有顯著的威脅。

經分析，有11%的病毒尚未能被一般防毒軟體偵測，26%可能導致嚴重資安問題；16%的病毒工控系統或是IoT系統進行攻擊；15%的病毒則為已知的高風險病毒，包含gStuxnet (2%)、Mirai (6%)、TRITON (2%)及WannaCry (1%)，且大部分由USB儲存裝置試圖進行感染；9%則是被設計專門攻擊USB埠漏洞，例如讓主機誤以為正在使用USB埠的是一台鍵盤，進而輸入惡意指令。

經分析所有病毒，發現有55%為木馬程式 (Trojan)、11%為殭屍 (Bot)、6%為駭客工具 (Hacktool)、非必要之灰色軟體 (PUA)、3%為病毒 (Virus)、3%為廣告程式 (Adware)、2%為Rootkit、1%為蠕蟲 (Worm)、其他則為間諜軟體 (Spyware)及其他惡意程式。

對於維護工控系統安全的建議如下：
•應盡量宣導USB相關裝置之安全使用，並制定完善使用政策，但僅依靠宣導USB使用意識及管理政策並不足以抵擋USB威脅，仍須搭配其他防護方式。 
•應嚴格管制連接工控系統之網路，並由網路交換器、路由器及防火牆端強制執行。USB常作為攻擊初始的感染管道，隨後駭客才會進行遠端控制或下載更多惡意軟體至系統中。
•布建在工控系統內的防毒軟體應每日更新，但防毒軟體並無法偵測未知型威脅，因此應搭配額外偵測方式避免惡意威脅。
•修補與強化端點防護是必要的。
•勒索病毒是工控系統所面的嚴重威脅，但系統可以透過定期維護、備份及規畫完善的恢復程序來減緩風險。若是不幸中勒索病毒，付贖金是最不理想的選擇，付贖金並不代表可以取回被加密的檔案，也等於鼓勵勒索病毒被後的駭客繼續利用這樣的方式來賺取贖金。更多關於勒索軟體的資訊請參考：https://www.nomoreransom.org/zht_Hant/index.html。

參考連結：

https://honeywellprocess.blob.core.windows.net/public/Support/Customer/Honeywell-USB-Threat-Report.pdf
https://www.securityweek.com/usb-drives-deliver-dangerous-malware-industrial-facilities-honeywell
https://www.zdnet.com/article/almost-half-of-usb-drives-in-industrial-settings-pose-severe-security-risk/
https://www.nomoreransom.org/zht_Hant/index.html