Triton惡意軟體率先對工業系統開展新一代的攻擊

攻擊工業控制系統（ICS）的惡意軟體，例如2010年的Stuxnet campaign，是非常嚴重的威脅。此類網路行為可以監視、擾亂或破壞大規模工業流程的管理系統。該威脅的一個重要危險是它將單純的數字傷害轉變為人身安全傷害。在本文中，我們將回顧ICS惡意軟體的歷史，簡要分析一個ICS框架的運作方式，並就如何應對這些威脅提供建議。

ICS惡意軟體通常很複雜，需要足夠的資源和時間來研究。正如在Stuxnet中看到的那樣，攻擊者可能受到經濟利益、黑客主義或間諜活動以及政治目的的驅使。自Stuxnet以來，研究人員發現了多種工業攻擊；每年我們都會遇到比之前更糟糕的威脅。

2017年8月發現的一個複雜的惡意軟體，專門針對中東的石化設施。該惡意軟體稱為Triton、Trisis或HatMan，攻擊安全儀錶系統（SIS），SIS是一個旨在保護人類生命的關鍵組件。該攻擊針對的系統是Schneider Triconex SIS。最初的感染媒介目前仍然未知，但很有可能是網路釣魚攻擊。

獲取遠程訪問後，Triton攻擊者開始擾亂、拆除或破壞工業流程。攻擊者的目標仍然不明確，因為攻擊是在工廠意外關閉導致的進一步調查後發現的。一些安全公司進行調查後發現了一個複雜的惡意軟體框架，它嵌入了PowerPC shellcode（Triconex架構）並實現了專有通信協議TriStation。惡意軟體允許攻擊者輕鬆與安全控制器通信並遠程操作系統內存注入shellcode;也就是說，他們完全控制了目標。但是，由於失去了攻擊最後階段的有效載荷，攻擊沒有成功。所有調查都指向了這點。如果最後的有效載荷得以實施的話，那麼後果是災難性的。

一、ICS惡意軟體歷史

Stuxnet是在2010年發現的最複雜的ICS威脅之一。該網路武器是針對伊朗的離心機而製造的。它能夠重新編程特定的可編程邏輯控制器以改變離心機旋轉的速度。 Stuxnet的目標不是破壞，而是控制工業過程。

2013年，惡意軟體Havex針對能源、電力和許多其他公司。攻擊者收集了大量數據並遠程監控工業系統。Havex是為間諜和破壞而創建的。

BlackEnergy於2015年被發現。它針對關鍵基礎設施並銷毀存儲在工作站和伺服器上的文件。在烏克蘭，黑客入侵了幾個配電中心後，有23萬人被迫在黑暗中待了六個小時。

2015年，IronGate在公共資源上發現。它針對西門子控制系統，具有與Stuxnet類似的功能。目前還不清楚這是概念驗證還是簡單的滲透測試工具。

2016年，Industroyer再次襲擊烏克蘭。該惡意軟體嵌入了數據擦除組件以及分散式拒絕服務模塊。它是為破壞而精心製作的。這次襲擊導致烏克蘭電網再次關閉。

2017年，Triton被發現。攻擊沒有成功；否則後果可能是災難性的。

ICS惡意軟體至關重要，因為它們會感染工業設備和自動化系統。但是，常規惡意軟體也會影響工業流程。去年，WannaCry迫使從醫療行業到汽車行業的部分公司停產。幾個月後，NotPetya襲擊了核電站、電網和醫療系統。2018年，一位加密貨幣挖礦程序襲擊了歐洲的水務公司。

面對日益廣泛的風險，關鍵基礎設施需要特定的方法來保證安全。

二、Triton框架

Triton針對由施耐德電氣銷售的Triconex安全控制器。據該公司稱，Triconex安全控制器用於18,000家工廠（核能、石油和天然氣煉油廠、化工廠等）。對SIS的攻擊需要高水平的理解認識（通過分析獲取的文檔、圖表、設備配置和網路流量）。SIS是針對物理事件的最後一種保護措施。

根據一項調查，攻擊者可能通過魚叉式網路釣魚獲得了訪問網路的許可權。在初步感染之後，攻擊者橫向移動到主網路到達ICS網路並以SIS控制器為目標。

為了與SIS控制器通信，攻擊者在UDP 1502埠上重新編碼了專有的TriStation通信協議。這表明他們投入大量時間對Triconex產品進行了逆向。

Nozomi Networks創建了一個Wireshark dissector，非常便於分析TriStation協議和檢測Triton攻擊。下面的屏幕截圖顯示了Triconex SIS返回的信息。Triton要求控制器處於「運行狀態」來執行下一階段的攻擊。

在上面的屏幕截圖中，Triconex回復了由Triton發送的請求「獲取控制程序狀態」。

Triton框架（dc81f383624955e0c0441734f9f1dabfe03f373c）生成合法的可執行文件trilog.exe，它收集日誌。可執行文件是由python腳本編譯而成的exe。該框架還包含library.zip（1dd89871c4f8eca7a42642bf4c5ec2aa7688fd5c），它包括Triton所需的所有python腳本。最後，兩個PowerPC shellcode（目標架構）用於攻擊控制器。第一個PowerPC shellcode是一個注入器（inject.bin，f403292f6cb315c84f84f6c51490e2e8cd8c686），用於注入第二個階段（imain.bin，b47ad4840089247b058121e95732beb82e6311d0）的後門，該後門允許對Triconex產品進行讀、寫和執行訪問。

下面的架構圖展示了Triton的主要模塊：

在調查取證期間，沒有恢復已丟失的有效載荷。由於攻擊是早期發現的，攻擊者可能沒有時間進入最後階段。

三、檢測非正常網路連接

Nozomi Networks創建了一個模擬Triconex安全控制器的腳本。我們使用Raspberry Pi修改了這個腳本，以創建一個廉價的檢測器。

這種廉價的工具可以很容易的安裝在ICS網路上。如果發生非法連接，設備會發出閃爍的LED警報警報。它還顯示連接的IP地址以供進一步調查。

下圖顯示了如何連接LED和蜂鳴器。

四、與ICS惡意軟體作鬥爭

ICS惡意軟體變得更加激進和複雜。許多工業設備是在像Triton這樣沒人能預料到的網路攻擊之前建造的。ICS目前處於不是為其專門設計的連接環境中，而是與常規網路保持一致。但出於其重要性，工業系統需要特定的安全措施。工業網路必須與一般業務網路隔離，並且應使用嚴格的訪問控制和應用白名單來仔細監控連接到工業過程的每台機器。

更多安全建議：

·通過強大的身份驗證（包括強密碼和雙重因子，讀卡器，監控攝像頭等），對ICS網路進行物理和邏輯訪問。

·使用DMZ和防火牆防止公司和ICS網路之間的交互流量。

·在ICS網路邊界上部署強大的安全措施，包括補丁管理、禁用未使用的埠以及限制ICS用戶許可權

·記錄並監控ICS網路上的每個操作，用於快速識別故障點

·可以在關鍵設備上實施冗餘以避免重大問題

·制定強有力的安全策略和事件響應計劃，以便在事件發生期間恢復系統

·通過模擬事件響應和安全意識培訓人員

攻擊者可以從之前的攻擊中學習，也可相互交流。ICS威脅的快速發展使得安全保護至關重要。製造商、工廠運營商、政府和網路安全行業必須共同努力，以避免嚴重的網路攻擊。

IoC

·b47ad4840089247b058121e95732beb82e6311d0: imain.bin

·f403292f6cb315c84f84f6c51490e2e8cd03c686: inject.bin

·91bad86388c68f34d9a2db644f7a1e6ffd58a449: script_test.py

·1dd89871c4f8eca7a42642bf4c5ec2aa7688fd5c: library.zip

·97e785e92b416638c3a584ffbfce9f8f0434a5fd: TS_cnames.pyc

·d6e997a4b6a54d1aeedb646731f3b0893aee4b82: TsBase.pyc

·66d39af5d61507cf7ea29e4b213f8d7dc9598bed: TsHi.pyc

·a6357a8792e68b05690a9736bc3051cba4b43227: TsLow.pyc

·6c09fec42e77054ee558ec352a7cd7bd5c5ba1b0: select.pyc

·25dd6785b941ffe6085dd5b4dbded37e1077e222: sh.pyc

參考

·https://blog.schneider-electric.com/cyber-security/2018/08/07/one-year-after-triton-building-ongoing-industry-wide-cyber-resilience/

·https://www.youtube.com/watch?v=f09E75bWvkk

·https://ics-cert.us-cert.gov/sites/default/files/ICSJWG-Archive/QNL_DEC_17/Waterfall_top-20-attacks-article-d2%20-%20Article_S508NC.pdf

·https://www.fireeye.com/blog/threat-research/2017/12/attackers-deploy-new-ics-attack-framework-triton.html

·https://www.midnightbluelabs.com/blog/2018/1/16/analyzing-the-triton-industrial-malware

·https://www.nozominetworks.com/2018/07/18/blog/new-triton-analysis-tool-wireshark-dissector-for-tristation-protocol/

·https://github.com/NozomiNetworks/tricotools

·https://cyberx-labs.com/en/blog/triton-post-mortem-analysis-latest-ot-attack-framework/

·https://vimeo.com/275906105

·https://vimeo.com/248057640

·https://blog.talosintelligence.com/2017/07/template-injection.html

·https://github.com/MDudek-ICS/TRISIS-TRITON-HATMAN

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！