导语:Mcafee回顾了ICS恶意软件的历史,简要分析了Triton框架的运作方式,并就如何应对这些威胁提供建议。

攻击工业控制系统(ICS)的恶意软件,例如2010年的Stuxnet campaign,是非常严重的威胁。此类网络行为可以监视、扰乱或破坏大规模工业流程的管理系统。该威胁的一个重要危险是它将单纯的数字伤害转变为人身安全伤害。在本文中,我们将回顾ICS恶意软件的历史,简要分析一个ICS框架的运作方式,并就如何应对这些威胁提供建议。

ICS恶意软件通常很复杂,需要足够的资源和时间来研究。正如在Stuxnet中看到的那样,攻击者可能受到经济利益、黑客主义或间谍活动以及政治目的的驱使。自Stuxnet以来,研究人员发现了多种工业攻击;每年我们都会遇到比之前更糟糕的威胁。

2017年8月发现的一个复杂的恶意软件,专门针对中东的石化设施。该恶意软件称为Triton、Trisis或HatMan,攻击安全仪表系统(SIS),SIS是一个旨在保护人类生命的关键组件。该攻击针对的系统是Schneider Triconex SIS。最初的感染媒介目前仍然未知,但很有可能是网络钓鱼攻击。

获取远程访问后,Triton攻击者开始扰乱、拆除或破坏工业流程。攻击者的目标仍然不明确,因为攻击是在工厂意外关闭导致的进一步调查后发现的。一些安全公司进行调查后发现了一个复杂的恶意软件框架,它嵌入了PowerPC shellcode(Triconex架构)并实现了专有通信协议TriStation。恶意软件允许攻击者轻松与安全控制器通信并远程操作系统内存注入shellcode;也就是说,他们完全控制了目标。但是,由于失去了攻击最后阶段的有效载荷,攻击没有成功。所有调查都指向了这点。如果最后的有效载荷得以实施的话,那么后果是灾难性的。

一、ICS恶意软件历史

Stuxnet是在2010年发现的最复杂的ICS威胁之一。该网络武器是针对伊朗的离心机而制造的。它能够重新编程特定的可编程逻辑控制器以改变离心机旋转的速度。 Stuxnet的目标不是破坏,而是控制工业过程。

2013年,恶意软件Havex针对能源、电力和许多其他公司。攻击者收集了大量数据并远程监控工业系统。Havex是为间谍和破坏而创建的。

BlackEnergy于2015年被发现。它针对关键基础设施并销毁存储在工作站和服务器上的文件。在乌克兰,黑客入侵了几个配电中心后,有23万人被迫在黑暗中待了六个小时。

2015年,IronGate在公共资源上发现。它针对西门子控制系统,具有与Stuxnet类似的功能。目前还不清楚这是概念验证还是简单的渗透测试工具。

2016年,Industroyer再次袭击乌克兰。该恶意软件嵌入了数据擦除组件以及分布式拒绝服务模块。它是为破坏而精心制作的。这次袭击导致乌克兰电网再次关闭。

2017年,Triton被发现。攻击没有成功;否则后果可能是灾难性的。

1541947421156963.gif

ICS恶意软件至关重要,因为它们会感染工业设备和自动化系统。但是,常规恶意软件也会影响工业流程。去年,WannaCry迫使从医疗行业到汽车行业的部分公司停产。几个月后,NotPetya袭击了核电站、电网和医疗系统。2018年,一位加密货币挖矿程序袭击了欧洲的水务公司。

面对日益广泛的风险,关键基础设施需要特定的方法来保证安全。

二、Triton框架

Triton针对由施耐德电气销售的Triconex安全控制器。据该公司称,Triconex安全控制器用于18,000家工厂(核能、石油和天然气炼油厂、化工厂等)。对SIS的攻击需要高水平的理解认识(通过分析获取的文档、图表、设备配置和网络流量)。SIS是针对物理事件的最后一种保护措施。

根据一项调查,攻击者可能通过鱼叉式网络钓鱼获得了访问网络的权限。在初步感染之后,攻击者横向移动到主网络到达ICS网络并以SIS控制器为目标。

1541947431132600.jpg

为了与SIS控制器通信,攻击者在UDP 1502端口上重新编码了专有的TriStation通信协议。这表明他们投入大量时间对Triconex产品进行了逆向。

Nozomi Networks创建了一个Wireshark dissector,非常便于分析TriStation协议和检测Triton攻击。下面的屏幕截图显示了Triconex SIS返回的信息。Triton要求控制器处于“运行状态”来执行下一阶段的攻击。

1541947441616324.jpg

在上面的屏幕截图中,Triconex回复了由Triton发送的请求“获取控制程序状态”。

Triton框架(dc81f383624955e0c0441734f9f1dabfe03f373c)生成合法的可执行文件trilog.exe,它收集日志。可执行文件是由python脚本编译而成的exe。该框架还包含library.zip(1dd89871c4f8eca7a42642bf4c5ec2aa7688fd5c),它包括Triton所需的所有python脚本。最后,两个PowerPC shellcode(目标架构)用于攻击控制器。第一个PowerPC shellcode是一个注入器(inject.bin,f403292f6cb315c84f84f6c51490e2e8cd8c686),用于注入第二个阶段(imain.bin,b47ad4840089247b058121e95732beb82e6311d0)的后门,该后门允许对Triconex产品进行读、写和执行访问。

下面的架构图展示了Triton的主要模块:

1541947454759283.gif

在调查取证期间,没有恢复已丢失的有效载荷。由于攻击是早期发现的,攻击者可能没有时间进入最后阶段。

三、检测非正常网络连接

Nozomi Networks创建了一个模拟Triconex安全控制器的脚本。我们使用Raspberry Pi修改了这个脚本,以创建一个廉价的检测器。

这种廉价的工具可以很容易的安装在ICS网络上。如果发生非法连接,设备会发出闪烁的LED警报警报。它还显示连接的IP地址以供进一步调查。

下图显示了如何连接LED和蜂鸣器。

1541947463531129.gif

四、与ICS恶意软件作斗争

ICS恶意软件变得更加激进和复杂。许多工业设备是在像Triton这样没人能预料到的网络攻击之前建造的。ICS目前处于不是为其专门设计的连接环境中,而是与常规网络保持一致。但出于其重要性,工业系统需要特定的安全措施。工业网络必须与一般业务网络隔离,并且应使用严格的访问控制和应用白名单来仔细监控连接到工业过程的每台机器。

更多安全建议:

· 通过强大的身份验证(包括强密码和双重因子,读卡器,监控摄像头等),对ICS网络进行物理和逻辑访问。

· 使用DMZ和防火墙防止公司和ICS网络之间的交互流量。

· 在ICS网络边界上部署强大的安全措施,包括补丁管理、禁用未使用的端口以及限制ICS用户权限

· 记录并监控ICS网络上的每个操作,用于快速识别故障点

· 可以在关键设备上实施冗余以避免重大问题

· 制定强有力的安全策略和事件响应计划,以便在事件发生期间恢复系统

· 通过模拟事件响应和安全意识培训人员

攻击者可以从之前的攻击中学习,也可相互交流。ICS威胁的快速发展使得安全保护至关重要。制造商、工厂运营商、政府和网络安全行业必须共同努力,以避免严重的网络攻击。

IoC

· dc81f383624955e0c0441734f9f1dabfe03f373c: trilog.exe

· b47ad4840089247b058121e95732beb82e6311d0: imain.bin

· f403292f6cb315c84f84f6c51490e2e8cd03c686: inject.bin

· 91bad86388c68f34d9a2db644f7a1e6ffd58a449: script_test.py

· 1dd89871c4f8eca7a42642bf4c5ec2aa7688fd5c: library.zip

· 97e785e92b416638c3a584ffbfce9f8f0434a5fd: TS_cnames.pyc

· d6e997a4b6a54d1aeedb646731f3b0893aee4b82: TsBase.pyc

· 66d39af5d61507cf7ea29e4b213f8d7dc9598bed: TsHi.pyc

· a6357a8792e68b05690a9736bc3051cba4b43227: TsLow.pyc

· 2262362200aa28b0eead1348cb6fda3b6c83ae01: crc.pyc

· 9059bba0d640e7eeeb34099711ff960e8fbae655: repr.pyc

· 6c09fec42e77054ee558ec352a7cd7bd5c5ba1b0: select.pyc

· 25dd6785b941ffe6085dd5b4dbded37e1077e222: sh.pyc

参考

· https://blog.schneider-electric.com/cyber-security/2018/08/07/one-year-after-triton-building-ongoing-industry-wide-cyber-resilience/

· https://www.youtube.com/watch?v=f09E75bWvkk

· https://ics-cert.us-cert.gov/sites/default/files/ICSJWG-Archive/QNL_DEC_17/Waterfall_top-20-attacks-article-d2%20-%20Article_S508NC.pdf

· https://www.fireeye.com/blog/threat-research/2017/12/attackers-deploy-new-ics-attack-framework-triton.html

· https://www.midnightbluelabs.com/blog/2018/1/16/analyzing-the-triton-industrial-malware

· https://www.nozominetworks.com/2018/07/18/blog/new-triton-analysis-tool-wireshark-dissector-for-tristation-protocol/

· https://github.com/NozomiNetworks/tricotools

· https://cyberx-labs.com/en/blog/triton-post-mortem-analysis-latest-ot-attack-framework/

· https://vimeo.com/275906105

· https://vimeo.com/248057640

· https://blog.talosintelligence.com/2017/07/template-injection.html

· https://github.com/MDudek-ICS/TRISIS-TRITON-HATMAN

源链接

Hacking more

...