FireEye分析:工業惡意軟件TRITON卷土重來
責編:gltian |2019-04-15 10:31:41攻擊者在受害網絡中潛藏一年多,搜尋運營技術網絡。
TRITON惡意軟件框架是專用于破壞工業設備的少數威脅之一,研究人員近期發現其背后的黑客組織又對其他工業目標下手了。TRITON最初是安全公司火眼于2017年在沙特阿拉伯一家石油化工廠的系統里發現的,當時該惡意軟件的目的是引發一場爆炸。因為攻擊者的一個小失誤觸發了關鍵系統緊急關停,該攻擊沒能得逞。
火眼不愿透露TRITON所用關鍵基礎設施。但4月10日,該公司在其網站上發布了TRITON最新的戰術、技術和流程(TTP),并將其殺傷鏈發布到了?MITRE?ATT&CK?框架——一個有關對手技術的公開知識庫,披露了更多關于TRITON定制工具的信息。
隨時準備開展網絡攻擊的民族國家
火眼將TRITON描述為與Triconex安全儀表系統(SIS)控制器互動的攻擊框架,稱其行為與正在準備開展網絡攻擊的民族國家相一致。火眼隨后將這些工具以“高置信度”溯源到了俄羅斯中央化學與力學科學研究院身上。
TRITON惡意軟件能夠重編程施耐德電氣公司制造的Triconex安全儀表系統控制器。這些控制器是避免工業設施關鍵故障和潛在災難的最后一道防線,只要超出安全運營參數便可自動關停設備和過程。
截至目前,對運營有關鍵基礎設施的公司企業的絕大部分攻擊都針對的是IT資產,而非工業控制系統(ICS);其目標也主要是網絡間諜情報獲取。少數公開記錄在案的破壞性ICS惡意軟件攻擊包括毀了伊朗納坦茲核設施鈾濃縮離心機的震網蠕蟲,引發烏克蘭大斷電的?“黑色能量”?攻擊,以及功虧一簣的TRITON攻擊。
在10號發布的博客帖子中,火眼披露稱,黑客在神秘的CNI企業網絡上建立了初始據點,然后跳轉到OT網絡中,采用多種技術在1年時間里隱藏自身行為并挫敗對自身工具的取證檢查,最終獲取到某安全系統的訪問權,得以調整并投送足以破壞該工廠的后門載荷。
我們強烈建議ICS資產擁有者利用我們公布的指標、TTP和檢測手法來改善自身防御,追捕自身網絡中的相關行為。
駐留一年:可能潛伏在其他關鍵基礎設施中
火眼稱:攻擊者在目標網絡中潛藏了一年之久才接觸到安全儀表系統(SIS)工程工作站。縱觀整個過程,他們似乎以運營安全為優先考慮。
在企業網絡上建立初始立足點后,TRITON攻擊者的主要工作放在獲得OT網絡訪問權上。他們不展現出通常與間諜相關的行為,比如使用鍵盤記錄器和截屏工具、瀏覽文件、滲漏大量信息等。他們使用的大多數攻擊工具都落腳在網絡偵察、橫向移動和在目標環境中駐留上。
該組織利用公開和定制后門、Web?shell及憑證獲取工具,規避殺軟檢測,保持隱秘駐留。用于控制和監視工業過程的可編程邏輯控制器(PLC)通常在專用工程工作站上通過其制造商提供的特殊軟件來編程。編程Triconex安全控制器的軟件名為TriStation,采用未公開私有協議編程PLC,但該私有協議被攻擊者逆向工程后用來創建了TRITON惡意軟件。
其他目標環境中可能還有攻擊者留存
基于對其定制入侵工具的分析,攻擊者可能早在2014年就展開活動了。雖然很多工具都可追溯到初始入侵前幾年,但火眼之前從未遇到過該攻擊者的任何定制工具。這一事實和攻擊者表現出的對運營安全的關注,意味著可能還有其他的目標環境——除了10號披露的第二起入侵之外,這些攻擊者可能曾經存在或現在仍然駐留在其他未被發現的目標環境中。火眼敦促CNI提供商查找警示指征,包括:
- 通往非標準IP范圍的出入站連接,尤其是來自OVH和UK-2?Limited?之類國際虛擬專用服務器(VPS)提供商;
- 公司常用公共目錄中的未簽名微軟程序;
- 指向未簽名.exe文件的新建或異常計劃任務XML觸發器;
- PowerShell腳本或PowerShell命令行項中諸如“.CreationTime=”?的時間戳命令字符串。
火眼團隊還表示:大多數復雜ICS攻擊利用Windows、Linux和其他傳統?“IT”?系統(位于IT或OT網絡中)作為通往最終目標的通道,防御者最好多關注這些通道。
例如利用計算機獲取目標PLC訪問權(例子:震網),與聯網人機接口(HMI)直接交互(例子:黑色能量),遠程訪問工程工作站以操作遠程終端單元(RTU)(例子:INDUSTROYER),或者感染SIS可編程邏輯控制器(PLC)(例子:TRITON)。
想要阻止這些“通道”系統中的攻擊者,防御者可以利用隨IT和OT系統覆蓋面持續增長而上升的一些關鍵有利因素,包括成熟安全工具的廣泛可用性,以此防御和追捕在Windows、Linux和其他傳統“IT”中的威脅。
ICS攻擊可持續數年
復雜ICS攻擊的針對性攻擊生命周期往往以年計。攻擊者需要較長時間來準備此類攻擊以了解目標的工業過程和打造定制工具。這些攻擊還往往是由屬意待機突襲而非即時進攻的民族國家發起的(例如:安裝TRITON之類惡意軟件再等待何時的時機使用之)。在此期間,攻擊者必須確保能夠持續訪問目標環境,否則就有數年努力和高昂定制ICS惡意軟件毀于一旦的風險。本次披露的TRITON新案例也不例外。TRITON組織在入侵時用到的一些技術包括重命名文件以模仿Windows更新包,使用RDP和PsExec等標準工具以藏身于典型管理行為中,通過混入合法文件在?Outlook?Exchange?服務器上植入?Web?shell,使用加密SSH隧道,在使用后刪除工具和日志以避免留下蹤跡,修改文件時間戳,以及在非正常工作時間段操作以避免被發現等等。
TRITON所用工具的創建時間可追溯至2014年前,但該組織數年間成功規避了檢測,充分說明了其復雜程度和對運營安全的重視。研究人員認為,除了已證實的兩個受害者,可能還有其他企業或ICS環境中仍留存有TRITON。
由于截至目前觀測到的所有復雜ICS攻擊都始于對傳統Windows、Linux和其他IT系統的入侵,擁有和運營工業控制設備的公司企業應改善其可作為關鍵資產跳板的?“通道”?系統的攻擊檢測能力。
TRITON?MITRE?ATT&CK:
https://www.fireeye.com/content/dam/fireeye-www/blog/pdfs/TRITON_Appendix_C.pdf
TRITON?TTP: