首页 > 知识 > 修改
【页面双击滚屏】
标题 简介 类型 公开时间
关联规则 关联知识 关联工具 关联文档 关联抓包
参考1(官网)
参考2
参考3
详情
[SAFE-ID: JIWO-2024-1245]   作者: ecawen 发表于: [2018-01-02]

本文共 [428] 位读者顶过

12月15日,出现第一起攻击工业厂房的 工控安全 事件, 工控恶意软件TRITON浮出水面 ,文中提到该 恶意软件 可以以对工作站进行远程控制,并关闭系统。在29日绿盟科技给出的分析报告中显示, 工控恶意软件TRITON 用来与Triconex安全仪表系统(Safety Instrumented System)(SIS)控制器交互。本文提要如下,后附报告全文下载。

新型ICS攻击框架“TRITON”导致工业系统运营中断技术分析与防护方案

绿盟科技在报告中指出, 工控恶意软件 TRITON具有高度针对性,可能不会对其他施耐德电气客户构成直接威胁,其他SIS产品也不会受到威胁。 重要的是, 恶意软件 不会在施耐德电气产品中利用固有的漏洞。 然而,这个特定事件中的这种能力,方法和流通现在可能被其他攻击者所复制,给工业资产所有者和运营商带来一类新的威胁。

TRITON的攻击情况

攻击者获得了对SIS工程师站的远程访问权限,并部署了TRITON攻击框架来重新下装SIS控制器。事件中,一些SIS控制器进入失效的安全状态,自动关闭工业控制流程,并促使资产拥有者开始调查。调查发现,当冗余控制器之间的应用程序代码未通过验证检查时,SIS控制器启动了安全关闭 - 导致MP诊断失败并在调查的过程中发现了TRITON的存在。

攻击者的长期目标是引起物理破坏后果的能力。基于这样一个事实,即攻击者最初在DCS上获得了可靠的立足点,并且已经具备了操纵流程或关闭工厂的能力,进一步危害了SIS系统。入侵后的DCS和SIS系统将使攻击者最大限度的对物理装置造成破坏。

一旦接触到SIS网络,攻击者使用预先构建的TRITON攻击框架与使用TriStation协议的SIS控制器进行交互。攻击者可能通过发出暂停命令或向SIS控制器上传有缺陷的代码而导致进程关闭。相反,攻击者在一段时间内进行了多次尝试,为此目标环境中的SIS控制器提供功能控制逻辑。虽然由于SIS系统对攻击脚本的限制而导致攻击尝试失败,但攻击者仍然在不停的测试。这表明攻击者意图在造成关闭过程之外的特定结果。

SIS是什么起什么作用

现代工业过程控制和自动化系统依靠各种先进的控制系统和安全功能。这些系统和功能通常被称为工业控制系统(ICS)或操作技术(OT)。

分布式控制系统(DCS)为操作人员提供远程监视和控制工业过程的能力。它是由计算机,软件应用程序和控制器组成的计算机控制系统。工程工作站是用于控制系统应用和其他控制系统设备的配置,维护和诊断的计算机。

SIS是一个独立的控制系统,可独立监控受控过程的状态。如果过程中有参数超过了定义的危险状态,则SIS会尝试将过程恢复到安全状态或自动执行流程的安全关闭。如果SIS和DCS控制失败,最后的防线就是工业设施的设计,其中包括设备(如爆破片)的机械保护,物理报警,应急程序和其他缓解危险情况的机制。

资产所有者采用不同的方法将工厂的DCS与SIS连接起来。传统的方法依赖于通信基础设施和控制策略的隔离原则。至少在过去的十年中,由于各种原因(包括较低的成本,易用性以及通过DCS与SIS之间的信息交换所获得的益处)而出现了集成DCS和SIS设计的趋势。我们相信TRITON能够敏锐地展示与集成设计相关的风险,从而实现DCS与SIS网络主机之间的双向通信。

工控恶意软件TRITON 分析

TRITON包括两部分:基于Windows平台的Python脚本程序Trilog.exe,以及两个恶意代码inject.bin、imain.bin。Trilog.exe是Triconex应用软件中用于记录日志的程序。TRITON病毒将该程序感染,用来与Triconex控制器通信。检测控制器状态,并将两个恶意代码inject.bin以及imain.bin注入到Triconex控制器中。详细分析见附件下载

工控恶意软件TRITON Timeline

时间

影响

2017-11-17

Dragos发现TRITON并开始跟进分析

2017-11 月底

Dragos确认TRITON的恶意行为并确认至少有一个目标受影响

Dragos联合DOS和DHS确认没有敏感信息泄漏并且决定暂时不公开

FireEye知悉Dragos有该恶意样本,并和相关组织进行分析,再次确保敏感信息未被泄漏

2017-12-6

初始的安全通告发给Dragos ICS WorldView客户

2017-12-8

深度技术报告完成并且发给Dragos ICS WorldView客户

2017-12-10

Dragos准备对外通告

2017-12-12

FireEye发布相关技术报告,Dragos也发布了相关报告

2017-12-12

绿盟科技安全团队关注并跟踪此事件,随时获取公布的样本

2017-12-13

绿盟科技安全团队完成主样本trilog.exe的分析

2017-12-25

绿盟科技安全团队获取到完整样本,开始技术分析

2017-12-29

绿盟科技发布技术分析报告与防护方案

工控恶意软件TRITON 攻击防护建议

如果资产拥有者想防护上述的攻击,建议考虑以下控制措施:

  • 在技术上可行的情况下,将安全系统网络与过程控制和信息系统网络分开。能够对SIS控制器进行编程的工程师站应该与其他DCS或信息系统进行网络隔离。
  • 利用硬件进行访问控制。一般采用由物理密钥控制的交换机的形式。在Triconex控制器上,密钥只应该保留在预定的编程事件中。
  • 定期更改密码。
  • 对于依赖于SIS提供的数据的任何应用程序,使用单向隔离设备。
  • 在通过TCP/IP访问SIS系统的服务器或工作站端点上实施严格的访问控制和应用程序白名单。
  • 监控ICS网络流量,以预测异常通信流量和其他活动。
  • 在非必要的情况下,禁止外部设备连入本地1502端口。

绿盟科技检测与防护方案

绿盟科技检测服务

绿盟科技工程师前往客户现场检测。

绿盟科技木马专杀解决方案

  • 短期服务:绿盟科技工程师现场木马后门清理服务(人工服务+IPS+TAC)。确保第一时间消除网络内相关风险点,控制事件影响范围,提供事件分析报告。
  • 中期服务:提供3-6个月的风险监控与巡检服务(IPS+TAC+人工服务)。根除风险,确保事件不复发。
  • 长期服务:基金行业业务风险解决方案(威胁情报+攻击溯源+专业安全服务)。

工控恶意软件TRITON IoC

文件列表

FileName

HASH

trilog.exe

MD5: 6c39c3f4a08d3d78f2eb973a94bd7718

SHA-256:e8542c07b2af63ee7e72ce5d97d91036c5da56e2b091aa2afe737b224305d230

imain.bin

MD5: 437f135ba179959a580412e564d3107f [出自:jiwo.org]
SHA-256:08c34c6ac9186b61d9f29a77ef5e618067e0bc9fe85cab1ad25dc6049c376949

inject.bin

MD5: 0544d425c7555dc4e9d76b571f31f500 
SHA-256:5fc4b0076eac7aa7815302b0c3158076e3569086c4c6aa2f71cd258238440d14

library.zip

MD5: 0face841f7b2953e7c29c064d6886523 
SHA-256:bef59b9a3e00a14956e0cd4a1f3e7524448cbe5d3cc1295d95a15b83a3579c59

TS_cnames.pyc

MD5: e98f4f3505f05bf90e17554fbc97bba9 
SHA-256:2c1d3d0a9c6f76726994b88589219cb8d9c39dd9924bc8d2d02bf41d955fe326

TsBase.pyc

MD5: 288166952f934146be172f6353e9a1f5 
SHA-256:1a2ab4df156ccd685f795baee7df49f8e701f271d3e5676b507112e30ce03c42

TsHi.pyc

MD5: 27c69aa39024d21ea109cc9c9d944a04 
SHA-256:758598370c3b84c6fbb452e3d7119f700f970ed566171e879d3cb41102154272

TsLow.pyc

MD5: f6b3a73c8c87506acda430671360ce15 
SHA-256:5c776a33568f4c16fee7140c249c0d2b1e0798a96c7a01bfd2d5684e58c9bb32

sh.pyc

MD5: 8b675db417cc8b23f4c43f3de5c83438

SHA-256:c96ed56bf7ee85a4398cc43a98b4db86d3da311c619f17c8540ae424ca6546e1

绿盟威胁情报中心NTI获取信息

上传时间

文件名称

文件MD5

威胁

2017-12-25 15:11:39

trilog.exe

6c39c3f4a08d3d78f2eb973a94bd7718

2017-12-25 15:10:12

TsLow.pyc

f6b3a73c8c87506acda430671360ce15

2017-12-25 15:10:05

TS_cnames.pyc

e98f4f3505f05bf90e17554fbc97bba9

2017-12-25 15:09:57

TsBase.pyc

288166952f934146be172f6353e9a1f5

2017-12-25 15:09:47

imain.bin

437f135ba179959a580412e564d3107f

2017-12-25 15:09:39

TsHi.pyc

27c69aa39024d21ea109cc9c9d944a04

2017-12-25 15:09:30

sh.pyc

8b675db417cc8b23f4c43f3de5c83438

2017-12-25 15:09:05

library.zip

0face841f7b2953e7c29c064d6886523

2017-12-25 15:08:58

inject.bin

0544d425c7555dc4e9d76b571f31f500

评论

暂无
发表评论
 返回顶部 
热度(428)
 关注微信 
v1.4 by jiwo@jiwo.org   Copyright © 2016-2046 机窝安全   
京ICP备16002041号-2