Triton Malware对工业系统最新攻击

     Mcafee11月8日称,发现针对中东石化工业控制系统(ICS)的恶意软件Triton。报道中描述了ICS恶意软件的历史,Triton框架、IOC等。

报告见这里

ICS恶意软件的历史

2010年,Stuxnet是发现的最复杂的ICS威胁之一。这种网络武器是为了瞄准伊朗的离心机而制造的。它能够重新编程特定的可编程逻辑控制器以改变离心机旋转的速度。Stuxnet的目标不是要破坏,而是要控制工业过程。

2013年,恶意软件Havex针对能源网络,电力公司和许多其他公司。攻击者收集了大量数据并远程监控工业系统。Havex是为间谍和破坏而创建的。

BlackEnergy于2015年被发现。它针对关键基础设施并销毁存储在工作站和服务器上的文件。在乌克兰,黑客入侵几个配电中心后,有23万人在黑暗中待了六个小时。

2015年,IronGate在公共资源上被发现。它针对西门子控制系统,具有与Stuxnet类似的功能。目前还不清楚这是概念验证还是简单的渗透测试工具。

2016年,Industroyer再次袭击乌克兰。该恶意软件嵌入了数据抽头组件以及分布式拒绝服务模块。它是为破坏而精心制作的。这次袭击导致乌克兰电网再次关闭。

2017年,Triton被发现。袭击没有成功; 后果可能是灾难性的。

另外,18年10月,火眼明确表示,针对中东关键基础设施组织的工业控制系统(ICS)的Triton是由俄罗斯支持http://www.threatpage.com/?p=435

ICS恶意软件至关重要,因为它们会感染工业设备和自动化。但是,常规恶意软件也会影响工业流程。去年,WannaCry迫使几家公司,从医疗行业到汽车行业,停止生产。几个月后,NotPetya袭击了核电站,电网和医疗系统。2018年,一位加密货币采矿者袭击了欧洲的水务公用事业公司。

Triton框架

Triton针对由施耐德电气分销的Triconex安全控制器。据该公司称,Triconex安全控制器用于18,000家工厂(核能,石油和天然气炼油厂,化工厂等)。对SIS的攻击需要高水平的过程理解(通过分析获取的文档,图表,设备配置和网络流量)。SIS是针对物理事件的最后一种保护措施。

根据一项调查,攻击者可能通过鱼叉式网络钓鱼获得了访问网络的权限。在最初感染之后,攻击者移动到主网络以到达ICS网络并以SIS控制器为目标。

为了与SIS控制器通信,攻击者在端口UDP / 1502上重新编码了专有的TriStation通信协议。这一步表明他们投入时间对Triconex产品进行逆向工程。

Nozomi Networks创建了一个Wireshark解剖器,非常便于分析TriStation协议和检测Triton攻击。以下屏幕截图显示了Triconex SIS返回的信息示例。Triton要求控制器的“运行状态”执行攻击的下一阶段。

在前面的图中,Triconex回复了由Triton发送的请求“获取控制程序状态”。

Triton框架(dc81f383624955e0c0441734f9f1dabfe03f373c)构成了合法的可执行文件trilog.exe,它收集日志。可执行文件是在exe中编译的python脚本。该框架还包含library.zip(1dd89871c4f8eca7a42642bf4c5ec2aa7688fd5c),其中包含Triton所需的所有python脚本。最后,两个PowerPC shellcode(目标架构)用于危害控制器。第一个PowerPC shellcode是一个注入器(inject.bin,f403292f6cb315c84f84f6c51490e2e8cd8c686),用于注入第二个阶段(imain.bin,b47ad4840089247b058121e95732beb82e6311d0),后门允许对Triconex产品进行读,写和执行访问。

以下架构显示了Triton的主要模块:

由于攻击是早期发现的,攻击者可能没有时间进入最后阶段。

IOCs

  • dc81f383624955e0c0441734f9f1dabfe03f373c:trilog.exe
  • b47ad4840089247b058121e95732beb82e6311d0:imain.bin
  • f403292f6cb315c84f84f6c51490e2e8cd03c686:inject.bin
  • 91bad86388c68f34d9a2db644f7a1e6ffd58a449:script_test.py
  • 1dd89871c4f8eca7a42642bf4c5ec2aa7688fd5c:library.zip
  • 97e785e92b416638c3a584ffbfce9f8f0434a5fd:TS_cnames.pyc
  • d6e997a4b6a54d1aeedb646731f3b0893aee4b82:TsBase.pyc
  • 66d39af5d61507cf7ea29e4b213f8d7dc9598bed:TsHi.pyc
  • a6357a8792e68b05690a9736bc3051cba4b43227:TsLow.pyc
  • 2262362200aa28b0eead1348cb6fda3b6c83ae01:crc.pyc
  • 9059bba0d640e7eeeb34099711ff960e8fbae655:repr.pyc
  • 6c09fec42e77054ee558ec352a7cd7bd5c5ba1b0:select.pyc
  • 25dd6785b941ffe6085dd5b4dbded37e1077e222:sh.pyc

参考

发表评论

电子邮件地址不会被公开。 必填项已用*标注