安全研究人員發(fā)現了一款專門針對工控安全系統(tǒng)的惡意軟件變體該惡意軟件以施耐德電氣生產的Triconex安全儀表控制系統(tǒng)(SIS)為攻擊目標����,所謂安全儀表系統(tǒng)(SIS)��,又稱為安全聯(lián)鎖系統(tǒng)(Safety interlocking System),可以監(jiān)測生產過程中出現的或者潛伏的危險��,發(fā)出告警信息或直接執(zhí)行預定程序�,立即進入操作,防止事故的發(fā)生��、降低事故帶來的危害及其影響��,是工業(yè)企業(yè)自動控制中的重要組成部分�。
據悉,該惡意軟件可以在攻陷SIS系統(tǒng)后�����,對SIS系統(tǒng)邏輯進行重編輯���,使SIS系統(tǒng)產生意外動作�,對正常生產活動造成影響;或是造成SIS系統(tǒng)失效�,在發(fā)生安全隱患或安全風險時無法及時實行和啟動安全保護機制;亦或在攻陷SIS系統(tǒng)后,對DCS系統(tǒng)實施攻擊�,并通過SIS系統(tǒng)與DCS系統(tǒng)的聯(lián)合作用,對工業(yè)設備��、生產活動以及人員健康造成破壞�。
因此,該惡意軟件被研究人員命名為“TRISIS”(或TRITON)惡意軟件����。
雖然TRITON并不是第一個以工業(yè)控制系統(tǒng)(ICS)為攻擊目標的惡意軟件,但它確實用事實證明�,曾經在很大程度上對網絡威脅免疫的運營網絡,現在正深受攻擊者的青睞��。
以下是迄今為止有關ICS惡意軟件變體的簡要歷史記錄:2010-震網病毒(Stuxnet)是第一款專門針對SCADA系統(tǒng)(數據采集與監(jiān)視控制系統(tǒng))和可編程邏輯控制器(PLC)的惡意軟件���,曾對伊朗的核設施造成了難以估量的損害�,最終導致伊朗擁有核武器的時間延遲了好幾年�。
2013- Havex是一款遠程訪問木馬(RAT),被編寫來感染SCADA系統(tǒng)(數據采集與監(jiān)視控制系統(tǒng))和工控系統(tǒng)(ICS)中使用的工業(yè)控制軟件�,其有能力禁用水電大壩、使核電站過載�����、甚至可以做到一鍵關閉一個國家的電網�����。
此外,它還可以通過掃描受感染的系統(tǒng)來定位網絡上的SCADA或ICS設備�,并將數據發(fā)送回攻擊者處。
概括而言����,Havex是一款用于間諜活動的情報收集工具,而并非用于破壞或摧毀工業(yè)系統(tǒng)�����。
2014- BlackEnergy 2(黑暗力量2.0)是BlackEnergy(出現于2007年)的變種��,該惡意軟件的攻擊目標為GE Cimppcity�����、Advantech/Broadwin WebAccess以及西門子WinCC等少數供應商提供的HMI(人機接口)軟件��。
據悉�,該惡意軟件被用于2015年12月攻陷烏克蘭電網的網絡攻擊活動中。
2016- Crash Override/Industroyer����,這是第一款用于攻擊電網系統(tǒng)的已知惡意軟件,并成功實踐于2016年12月針對烏克蘭基輔地區(qū)變電站的攻擊活動中。
ESET將該惡意軟件命名為“Industroyer”�����,Dragos將該惡意軟件命名為“Crash override”���。
研究人員表示,這是一款全新的惡意軟件�,比2015年用于攻擊烏克蘭電網的工具要先進得多。
而造成Crash override如此高復雜性的原因在于����,它所利用的協(xié)議與單個電網系統(tǒng)間進行相互通信所使用的協(xié)議相同。
除Crash Override 外�����,Stuxnet和Triton也可以訪問這些本地協(xié)議����。
2017- Triton/Trisys,詳細內容上文已討論��。
由于大多數ICS環(huán)境缺乏可見性���,因此����,一旦攻擊者獲得對運營網絡的訪問權限,組織就很難識別惡意活動���。
惡意軟件攻擊步驟以下是對目標ICS惡意軟件攻擊的詳細步驟分析:
步驟1:攻擊者成功在目標網絡中立足并開始偵察活動��,其中可能包含以下部分或全部內容:一個可能會用于滲透工業(yè)網絡的遠程連接;一旦進入網絡�,攻擊者就可以掃描受感染網絡來識別ICS設備;由于ICS網絡不使用身份驗證或加密���,所以攻擊者能夠訪問任何系統(tǒng)——包括操作員和工程師工作站�、人機界面����、Windows服務器或控制器(PLC,RTU或DCS控制器)——以識別攻擊目標中的資產詳情�。
步驟2:攻擊者把通過偵察活動收集到的信息提取到一個異地位置。
這一過程可以通過將來自不同系統(tǒng)的內部消息傳遞給可以將其提取出來的單個位置來實現���。
步驟3:接下來��,使用上述步驟1�����、2中收集到的信息��,將惡意軟件安裝在可訪問目標ICS系統(tǒng)的工作站上����。
這一過程可以通過網絡或使用受感染的USB驅動器來完成。
步驟4:在最后一個階段中�����,惡意軟件會取代現有的邏輯����,并將新的梯形邏輯(一種編程語言)上傳到控制器(PLC�,RTU或DCS控制器)中。
由于這一邏輯決定了自動化流程的執(zhí)行方式��,因此使用惡意有效負載進行更改或替換會導致系統(tǒng)���、環(huán)境和人員的各種操作中斷甚至物理損壞�����。
防御建議由于一場成功的網絡攻擊是多階段共同作用的成果����,因此檢測過程需要滿足下述要求:識別遠程連接、網絡掃描����、未經授權的系統(tǒng)訪問以及任何嘗試讀取控制器信息的行為;監(jiān)視網絡上的工業(yè)系統(tǒng)與外部系統(tǒng)之間的通信;檢測任何未經授權的訪問行為,以及任何針對控制器邏輯��、配置和狀態(tài)的更改行為等����。
到目前為止,針對ICS環(huán)境的惡意軟件不斷崛起�����,這一現狀對設施運營商而言也造成了不小的安全挑戰(zhàn)�����。
因為目前的運營網絡甚至連最基本的安全機制(如訪問控制和加密)都不具備����,更不用說網絡監(jiān)控�、威脅檢測���、日志記錄和審計等功能了����。
