攻擊工業控制系統(ICS)的惡意軟件,例如2010年的Stuxnet campaign,是非常嚴重的威脅。此類網絡行為可以監視、擾亂或破壞大規模工業流程的管理系統。該威脅的一個重要危險是它將單純的數字傷害轉變為人身安全傷害。在本文中,我們將回顧ICS惡意軟件的歷史,簡要分析一個ICS框架的運作方式,并就如何應對這些威脅提供建議。
ICS惡意軟件通常很復雜,需要足夠的資源和時間來研究。正如在Stuxnet中看到的那樣,攻擊者可能受到經濟利益、黑客主義或間諜活動以及政治目的的驅使。自Stuxnet以來,研究人員發現了多種工業攻擊;每年我們都會遇到比之前更糟糕的威脅。
2017年8月發現的一個復雜的惡意軟件,專門針對中東的石化設施。該惡意軟件稱為Triton、Trisis或HatMan,攻擊安全儀表系統(SIS),SIS是一個旨在保護人類生命的關鍵組件。該攻擊針對的系統是Schneider Triconex SIS。最初的感染媒介目前仍然未知,但很有可能是網絡釣魚攻擊。
獲取遠程訪問后,Triton攻擊者開始擾亂、拆除或破壞工業流程。攻擊者的目標仍然不明確,因為攻擊是在工廠意外關閉導致的進一步調查后發現的。一些安全公司進行調查后發現了一個復雜的惡意軟件框架,它嵌入了PowerPC shellcode(Triconex架構)并實現了專有通信協議TriStation。惡意軟件允許攻擊者輕松與安全控制器通信并遠程操作系統內存注入shellcode;也就是說,他們完全控制了目標。但是,由于失去了攻擊最后階段的有效載荷,攻擊沒有成功。所有調查都指向了這點。如果最后的有效載荷得以實施的話,那么后果是災難性的。
一、ICS惡意軟件歷史
Stuxnet是在2010年發現的最復雜的ICS威脅之一。該網絡武器是針對伊朗的離心機而制造的。它能夠重新編程特定的可編程邏輯控制器以改變離心機旋轉的速度。 Stuxnet的目標不是破壞,而是控制工業過程。
2013年,惡意軟件Havex針對能源、電力和許多其他公司。攻擊者收集了大量數據并遠程監控工業系統。Havex是為間諜和破壞而創建的。
BlackEnergy于2015年被發現。它針對關鍵基礎設施并銷毀存儲在工作站和服務器上的文件。在烏克蘭,黑客入侵了幾個配電中心后,有23萬人被迫在黑暗中待了六個小時。
2015年,IronGate在公共資源上發現。它針對西門子控制系統,具有與Stuxnet類似的功能。目前還不清楚這是概念驗證還是簡單的滲透測試工具。
2016年,Industroyer再次襲擊烏克蘭。該惡意軟件嵌入了數據擦除組件以及分布式拒絕服務模塊。它是為破壞而精心制作的。這次襲擊導致烏克蘭電網再次關閉。
2017年,Triton被發現。攻擊沒有成功;否則后果可能是災難性的。
ICS惡意軟件至關重要,因為它們會感染工業設備和自動化系統。但是,常規惡意軟件也會影響工業流程。去年,WannaCry迫使從醫療行業到汽車行業的部分公司停產。幾個月后,NotPetya襲擊了核電站、電網和醫療系統。2018年,一位加密貨幣挖礦程序襲擊了歐洲的水務公司。
面對日益廣泛的風險,關鍵基礎設施需要特定的方法來保證安全。
二、Triton框架
Triton針對由施耐德電氣銷售的Triconex安全控制器。據該公司稱,Triconex安全控制器用于18,000家工廠(核能、石油和天然氣煉油廠、化工廠等)。對SIS的攻擊需要高水平的理解認識(通過分析獲取的文檔、圖表、設備配置和網絡流量)。SIS是針對物理事件的最后一種保護措施。
根據一項調查,攻擊者可能通過魚叉式網絡釣魚獲得了訪問網絡的權限。在初步感染之后,攻擊者橫向移動到主網絡到達ICS網絡并以SIS控制器為目標。
為了與SIS控制器通信,攻擊者在UDP 1502端口上重新編碼了專有的TriStation通信協議。這表明他們投入大量時間對Triconex產品進行了逆向。
Nozomi Networks創建了一個Wireshark dissector,非常便于分析TriStation協議和檢測Triton攻擊。下面的屏幕截圖顯示了Triconex SIS返回的信息。Triton要求控制器處于“運行狀態”來執行下一階段的攻擊。
在上面的屏幕截圖中,Triconex回復了由Triton發送的請求“獲取控制程序狀態”。
Triton框架(dc81f383624955e0c0441734f9f1dabfe03f373c)生成合法的可執行文件trilog.exe,它收集日志。可執行文件是由python腳本編譯而成的exe。該框架還包含library.zip(1dd89871c4f8eca7a42642bf4c5ec2aa7688fd5c),它包括Triton所需的所有python腳本。最后,兩個PowerPC shellcode(目標架構)用于攻擊控制器。第一個PowerPC shellcode是一個注入器(inject.bin,f403292f6cb315c84f84f6c51490e2e8cd8c686),用于注入第二個階段(imain.bin,b47ad4840089247b058121e95732beb82e6311d0)的后門,該后門允許對Triconex產品進行讀、寫和執行訪問。
下面的架構圖展示了Triton的主要模塊:
在調查取證期間,沒有恢復已丟失的有效載荷。由于攻擊是早期發現的,攻擊者可能沒有時間進入最后階段。
三、檢測非正常網絡連接
Nozomi Networks創建了一個模擬Triconex安全控制器的腳本。我們使用Raspberry Pi修改了這個腳本,以創建一個廉價的檢測器。
這種廉價的工具可以很容易的安裝在ICS網絡上。如果發生非法連接,設備會發出閃爍的LED警報警報。它還顯示連接的IP地址以供進一步調查。下圖顯示了如何連接LED和蜂鳴器。
四、與ICS惡意軟件作斗爭
ICS惡意軟件變得更加激進和復雜。許多工業設備是在像Triton這樣沒人能預料到的網絡攻擊之前建造的。ICS目前處于不是為其專門設計的連接環境中,而是與常規網絡保持一致。但出于其重要性,工業系統需要特定的安全措施。工業網絡必須與一般業務網絡隔離,并且應使用嚴格的訪問控制和應用白名單來仔細監控連接到工業過程的每臺機器。
更多安全建議:
· 通過強大的身份驗證(包括強密碼和雙重因子,讀卡器,監控攝像頭等),對ICS網絡進行物理和邏輯訪問。
· 使用DMZ和防火墻防止公司和ICS網絡之間的交互流量。
· 在ICS網絡邊界上部署強大的安全措施,包括補丁管理、禁用未使用的端口以及限制ICS用戶權限
· 記錄并監控ICS網絡上的每個操作,用于快速識別故障點
· 可以在關鍵設備上實施冗余以避免重大問題
· 制定強有力的安全策略和事件響應計劃,以便在事件發生期間恢復系統
· 通過模擬事件響應和安全意識培訓人員
攻擊者可以從之前的攻擊中學習,也可相互交流。ICS威脅的快速發展使得安全保護至關重要。制造商、工廠運營商、政府和網絡安全行業必須共同努力,以避免嚴重的網絡攻擊。
IoC
· dc81f383624955e0c0441734f9f1dabfe03f373c: trilog.exe
· b47ad4840089247b058121e95732beb82e6311d0: imain.bin
· f403292f6cb315c84f84f6c51490e2e8cd03c686: inject.bin
· 91bad86388c68f34d9a2db644f7a1e6ffd58a449: script_test.py
· 1dd89871c4f8eca7a42642bf4c5ec2aa7688fd5c: library.zip
· 97e785e92b416638c3a584ffbfce9f8f0434a5fd: TS_cnames.pyc
· d6e997a4b6a54d1aeedb646731f3b0893aee4b82: TsBase.pyc
· 66d39af5d61507cf7ea29e4b213f8d7dc9598bed: TsHi.pyc
· a6357a8792e68b05690a9736bc3051cba4b43227: TsLow.pyc
· 2262362200aa28b0eead1348cb6fda3b6c83ae01: crc.pyc
· 9059bba0d640e7eeeb34099711ff960e8fbae655: repr.pyc
· 6c09fec42e77054ee558ec352a7cd7bd5c5ba1b0: select.pyc
· 25dd6785b941ffe6085dd5b4dbded37e1077e222: sh.pyc
參考
· https://blog.schneider-electric.com/cyber-security/2018/08/07/one-year-after-triton-building-ongoing-industry-wide-cyber-resilience/
· https://www.youtube.com/watch?v=f09E75bWvkk
· https://ics-cert.us-cert.gov/sites/default/files/ICSJWG-Archive/QNL_DEC_17/Waterfall_top-20-attacks-article-d2%20-%20Article_S508NC.pdf
· https://www.fireeye.com/blog/threat-research/2017/12/attackers-deploy-new-ics-attack-framework-triton.html
· https://www.midnightbluelabs.com/blog/2018/1/16/analyzing-the-triton-industrial-malware
· https://www.nozominetworks.com/2018/07/18/blog/new-triton-analysis-tool-wireshark-dissector-for-tristation-protocol/
· https://github.com/NozomiNetworks/tricotools
· https://cyberx-labs.com/en/blog/triton-post-mortem-analysis-latest-ot-attack-framework/
· https://vimeo.com/275906105
· https://vimeo.com/248057640
· https://blog.talosintelligence.com/2017/07/template-injection.html
· https://github.com/MDudek-ICS/TRISIS-TRITON-HATMAN
| 
