FireEye分析:工业恶意软件TRITON卷土重来

攻击者在受害网络中潜藏一年多,搜寻运营技术网络。

TRITON恶意软件框架是专用于破坏工业设备的少数威胁之一,研究人员近期发现其背后的黑客组织又对其他工业目标下手了。TRITON最初是安全公司火眼于2017年在沙特阿拉伯一家石油化工厂的系统里发现的,当时该恶意软件的目的是引发一场爆炸。因为攻击者的一个小失误触发了关键系统紧急关停,该攻击没能得逞。

火眼不愿透露TRITON所用关键基础设施。但4月10日,该公司在其网站上发布了TRITON最新的战术、技术和流程(TTP),并将其杀伤链发布到了 MITRE ATT&CK 框架——一个有关对手技术的公开知识库,披露了更多关于TRITON定制工具的信息。

随时准备开展网络攻击的民族国家

火眼将TRITON描述为与Triconex安全仪表系统(SIS)控制器互动的攻击框架,称其行为与正在准备开展网络攻击的民族国家相一致。火眼随后将这些工具以“高置信度”溯源到了俄罗斯中央化学与力学科学研究院身上。

TRITON恶意软件能够重编程施耐德电气公司制造的Triconex安全仪表系统控制器。这些控制器是避免工业设施关键故障和潜在灾难的最后一道防线,只要超出安全运营参数便可自动关停设备和过程。

截至目前,对运营有关键基础设施的公司企业的绝大部分攻击都针对的是IT资产,而非工业控制系统(ICS);其目标也主要是网络间谍情报获取。少数公开记录在案的破坏性ICS恶意软件攻击包括毁了伊朗纳坦兹核设施铀浓缩离心机的震网蠕虫,引发乌克兰大断电的 “黑色能量” 攻击,以及功亏一篑的TRITON攻击。

在10号发布的博客帖子中,火眼披露称,黑客在神秘的CNI企业网络上建立了初始据点,然后跳转到OT网络中,采用多种技术在1年时间里隐藏自身行为并挫败对自身工具的取证检查,最终获取到某安全系统的访问权,得以调整并投送足以破坏该工厂的后门载荷。

我们强烈建议ICS资产拥有者利用我们公布的指标、TTP和检测手法来改善自身防御,追捕自身网络中的相关行为。

驻留一年:可能潜伏在其他关键基础设施中

火眼称:攻击者在目标网络中潜藏了一年之久才接触到安全仪表系统(SIS)工程工作站。纵观整个过程,他们似乎以运营安全为优先考虑。

在企业网络上建立初始立足点后,TRITON攻击者的主要工作放在获得OT网络访问权上。他们不展现出通常与间谍相关的行为,比如使用键盘记录器和截屏工具、浏览文件、渗漏大量信息等。他们使用的大多数攻击工具都落脚在网络侦察、横向移动和在目标环境中驻留上。

该组织利用公开和定制后门、Web shell及凭证获取工具,规避杀软检测,保持隐秘驻留。用于控制和监视工业过程的可编程逻辑控制器(PLC)通常在专用工程工作站上通过其制造商提供的特殊软件来编程。编程Triconex安全控制器的软件名为TriStation,采用未公开私有协议编程PLC,但该私有协议被攻击者逆向工程后用来创建了TRITON恶意软件。

其他目标环境中可能还有攻击者留存

基于对其定制入侵工具的分析,攻击者可能早在2014年就展开活动了。虽然很多工具都可追溯到初始入侵前几年,但火眼之前从未遇到过该攻击者的任何定制工具。这一事实和攻击者表现出的对运营安全的关注,意味着可能还有其他的目标环境——除了10号披露的第二起入侵之外,这些攻击者可能曾经存在或现在仍然驻留在其他未被发现的目标环境中。火眼敦促CNI提供商查找警示指征,包括:

  • 通往非标准IP范围的出入站连接,尤其是来自OVH和UK-2 Limited 之类国际虚拟专用服务器(VPS)提供商;
  • 公司常用公共目录中的未签名微软程序;
  • 指向未签名.exe文件的新建或异常计划任务XML触发器;
  • PowerShell脚本或PowerShell命令行项中诸如“.CreationTime=” 的时间戳命令字符串。

火眼团队还表示:大多数复杂ICS攻击利用Windows、Linux和其他传统 “IT” 系统(位于IT或OT网络中)作为通往最终目标的通道,防御者最好多关注这些通道。

例如利用计算机获取目标PLC访问权(例子:震网),与联网人机接口(HMI)直接交互(例子:黑色能量),远程访问工程工作站以操作远程终端单元(RTU)(例子:INDUSTROYER),或者感染SIS可编程逻辑控制器(PLC)(例子:TRITON)。

想要阻止这些“通道”系统中的攻击者,防御者可以利用随IT和OT系统覆盖面持续增长而上升的一些关键有利因素,包括成熟安全工具的广泛可用性,以此防御和追捕在Windows、Linux和其他传统“IT”中的威胁。

ICS攻击可持续数年

复杂ICS攻击的针对性攻击生命周期往往以年计。攻击者需要较长时间来准备此类攻击以了解目标的工业过程和打造定制工具。这些攻击还往往是由属意待机突袭而非即时进攻的民族国家发起的(例如:安装TRITON之类恶意软件再等待何时的时机使用之)。在此期间,攻击者必须确保能够持续访问目标环境,否则就有数年努力和高昂定制ICS恶意软件毁于一旦的风险。本次披露的TRITON新案例也不例外。TRITON组织在入侵时用到的一些技术包括重命名文件以模仿Windows更新包,使用RDP和PsExec等标准工具以藏身于典型管理行为中,通过混入合法文件在 Outlook Exchange 服务器上植入 Web shell,使用加密SSH隧道,在使用后删除工具和日志以避免留下踪迹,修改文件时间戳,以及在非正常工作时间段操作以避免被发现等等。

TRITON所用工具的创建时间可追溯至2014年前,但该组织数年间成功规避了检测,充分说明了其复杂程度和对运营安全的重视。研究人员认为,除了已证实的两个受害者,可能还有其他企业或ICS环境中仍留存有TRITON。

由于截至目前观测到的所有复杂ICS攻击都始于对传统Windows、Linux和其他IT系统的入侵,拥有和运营工业控制设备的公司企业应改善其可作为关键资产跳板的 “通道” 系统的攻击检测能力。

TRITON MITRE ATT&CK:

https://www.fireeye.com/content/dam/fireeye-www/blog/pdfs/TRITON_Appendix_C.pdf

TRITON TTP:

https://www.fireeye.com/blog/threat-research/2019/04/TRITON-actor-ttp-profile-custom-attack-tools-detections.html

上一篇:你被“侠盗”的蟹钳夹伤了吗?漫谈GANDCRAB

下一篇:Alexa智能语音助手秘密军队曝光 还有谁在监听你的生活?