CyberX公司某研究小组计划发布一款开源在线工具——基于Web的免费沙箱工具，利用蜜罐功能捕捉并审查各类工业控制系统（ICS）恶意软件样本，能够模拟真实世界中的工业网络环境。

沙箱工具能够解决哪些问题？

日前，该公司研究副总裁大卫·阿奇和他的团队最初以研究目的开发出这套免费沙箱工具，他在采访当中解释称：“这就像是一套专供工业控制系统使用的 VirusTotal（免费可疑文件分析服务的网站）。”

VirusTotal是目前广泛流行的在线工具，能够利用多种反病毒引擎对可疑文件及URL中的恶意软件进行分析。此项目的目标在于创建一套能够模拟真实世界中工业网络的沙箱体系。

CyberX Labs表示，这款沙箱工具允许运行并解压工业控制系统恶意软件，而后检测其中的 OPC（开放平台通信）扫描或覆盖 PLC 配置文件等恶意活动，同时提供快速的离线检测功能。预计这款工具将在未来几个月内正式与广大用户见面。

阿奇指出，现有网络沙箱技术主要面向非工业控制系统或者IT环境，而无法有效针对专门的工业控制系统的恶意软件——这是因为其并未考虑到 OT 协议与设备，也无法模拟 OT 组件。加之工业控制系统社区没有足够的工具，而且VirusTotal在处理工业控制系统相关恶意软件时效果并不理想。

工控恶意软件分析难度较大

Langner Communications公司创始人兼CEO拉尔夫·朗格纳解释称，以震网（Stuxnet）病毒为例——首个震网变种于2007年被发送至 VirusTotal，但直到2012年震网才被真正检测发现。他表示强烈支持面向工业控制系统相关恶意软件构建 VirusTotal 的想法。作为顶尖震网病毒研究专家，朗格纳表示工业控制系统恶意软件分析是一项极耗时间的工作，他曾利用三年时间来分析震网病毒。

这款工业控制系统恶意软件沙箱工具旨在高效发现专门针对工业控制系统的恶意软件，并可模拟往来于 PLC 之间的流量类型，从而实现蜜罐功能。这意味着其可在安全空间内执行恶意软件，包括对其进行解压缩、功能执行并将其与已知变种进行匹配。这款工具中包含OT软件、虚拟化工业控制系统进程与文件，外加一套低交互工业控制系统网络（蜜罐元素）。

工业控制系统沙箱的概念并非新生事物：Trend Micro公司的研究人员们早在2013年就曾公布两款基于蜜罐思路的架构，其根据供电企业的运营流程构建起一套典型的工业控制系统/数据采集与监控系统（SCADA）环境，其中还包括一款基于Web的水压应用。据外媒报道，趋势科技研究团队曾在28天内发现了来自14个国家的39起针对工控系统的攻击事件，并称其中35%相关攻击似乎来自中国，19%为美国，12%的为老挝。