作者:安天
來源:《安天發布針對工控惡意代碼TRISIS的技術分析》
1、概述
2017年8月,安天安全研究與應急處理中心(安天CERT)基於綜合情報研判,將針對工業控制系統的惡意代碼TRISIS(又名TRITON、HATMAN)列為需要重點分析關注的威脅,並將其命名為“海淵”。該惡意代碼在中東某石油天然氣廠的工業控制系統中被國外安全研究人員發現,根據各方信息判斷,由於攻擊者準備不充分,尚未對人員及財產造成重大損失。“海淵”(TRISIS)的目標為施耐德電氣公司的安全儀錶系統,通過植入固件更改最終控制元件的邏輯以達到攻擊目的。其通過Tricon安全儀錶系統所使用的TriStation通信協議進行攻擊,因此運行此協議的所有安全控制器都可能受到影響。
“海淵”(TRISIS)所攻擊的目標是工業控制系統(ICS)中的安全儀錶系統(SIS)控制器,其主要瞄準施耐德電氣的Tricon安全儀錶系統,從而達到在最終控制元件中替換邏輯的目的。安全儀錶系統(Safety Instrumented System),簡稱SIS,又稱為安全聯鎖系統(Safety Interlocking System),主要為工廠控制系統中報警和聯鎖部分,對控制系統中檢測的結果實施報警動作或調節或停機控制,是工廠企業自動控制中的重要組成部分。其包括傳感器、邏輯運算器和最終執行元件,即檢測單元、控制單元和執行單元。SIS系統可以監測生產過程中出現的或者潛伏的危險,發出告警信息或直接執行預定程序,立即進入操作,以防止事故的發生,同時降低事故帶來的危害及影響。
安天CERT針對該惡意代碼的攻擊原理及樣本展開了技術分析。發現該惡意代碼的攻擊流程為利用社工技巧偽裝成安全儀錶系統的日誌軟件進入目標網絡,之後通過特殊ping包發現安全儀錶系統,在確定安全儀錶系統可被入侵后,會上傳組合后的二進制代碼,以改變安全儀錶系統的梯形圖(即安全儀錶系統邏輯),一旦攻擊成功,將有可能對工業生產設備、工廠人身安全造成巨大危害,對關鍵信息基礎設施安全、社會安全造成巨大影響。
2、“海淵”(TRISIS)攻擊原理
2.1 攻擊原理簡述
“海淵”(TRISIS)和“震網”(Stuxnet)、“Industroyer/CrashOverride”等惡意代碼一樣具備從工業控制系統中發現特定目標裝置的能力。但同時,其更進一步具有直接交互、遠程控制和危害安全系統的能力。
“海淵”(TRISIS)採用Python腳本進行編寫,並使用Py2EXE偽編譯為PE可執行程序,以便於在未安裝Python的系統環境下執行。攻擊者充分了解安全儀錶系統處理過程及環境的具體細節,才能構造有效載荷利用“海淵”(TRISIS)進行攻擊,其主要通過修改和部署新的PLC(可編程邏輯控制器)梯形圖,以對目標產生預期的影響。
“海淵”(TRISIS)可以改變目標安全儀錶的基本邏輯,通過可執行文件將其目標作為在執行時傳遞給它的命令行參數,其核心功能是通過將四個二進制文件組合到目標上進行工作,其中植入Python腳本中的兩個二進制載荷,主要用於準備和加載包含替換邏輯的外部模塊(參見圖2-1、圖2-2);附加的兩個外部的二進制文件,由腳本中的名稱專門引用,但位於單獨的文件中,其中imain.bin為主要功能載荷(參見圖2-3)。
转载请注明:IAMCOOL » 針對工控惡意代碼 TRISIS 的技術分析