2017年12月，安全研究人員發(fā)現(xiàn)了一款專門針對工控安全系統(tǒng)的惡意軟件變體該惡意軟件以施耐德電氣生產(chǎn)的Triconex安全儀表控制系統(tǒng)(SIS)為攻擊目標(biāo)，所謂安全儀表系統(tǒng)(SIS)，又稱為安全聯(lián)鎖系統(tǒng)(Safety interlocking System)，可以監(jiān)測生產(chǎn)過程中出現(xiàn)的或者潛伏的危險，發(fā)出告警信息或直接執(zhí)行預(yù)定程序，立即進(jìn)入操作，防止事故的發(fā)生、降低事故帶來的危害及其影響，是工業(yè)企業(yè)自動控制中的重要組成部分。

據(jù)悉，該惡意軟件可以在攻陷SIS系統(tǒng)后，對SIS系統(tǒng)邏輯進(jìn)行重編輯，使SIS系統(tǒng)產(chǎn)生意外動作，對正常生產(chǎn)活動造成影響;或是造成SIS系統(tǒng)失效，在發(fā)生安全隱患或安全風(fēng)險時無法及時實行和啟動安全保護(hù)機(jī)制;亦或在攻陷SIS系統(tǒng)后，對DCS系統(tǒng)實施攻擊，并通過SIS系統(tǒng)與DCS系統(tǒng)的聯(lián)合作用，對工業(yè)設(shè)備、生產(chǎn)活動以及人員健康造成破壞。

因此，該惡意軟件被研究人員命名為“TRISIS”(或TRITON)惡意軟件。

雖然TRITON并不是第一個以工業(yè)控制系統(tǒng)(ICS)為攻擊目標(biāo)的惡意軟件，但它確實用事實證明，曾經(jīng)在很大程度上對網(wǎng)絡(luò)威脅免疫的運(yùn)營網(wǎng)絡(luò)，現(xiàn)在正深受攻擊者的青睞。

以下是迄今為止有關(guān)ICS惡意軟件變體的簡要?dú)v史記錄：

2010-震網(wǎng)病毒(Stuxnet)是第一款專門針對SCADA系統(tǒng)(數(shù)據(jù)采集與監(jiān)視控制系統(tǒng))和可編程邏輯控制器(PLC)的惡意軟件，曾對伊朗的核設(shè)施造成了難以估量的損害，最終導(dǎo)致伊朗擁有核武器的時間延遲了好幾年。

2013- Havex是一款遠(yuǎn)程訪問木馬(RAT)，被編寫來感染SCADA系統(tǒng)(數(shù)據(jù)采集與監(jiān)視控制系統(tǒng))和工控系統(tǒng)(ICS)中使用的工業(yè)控制軟件，其有能力禁用水電大壩、使核電站過載、甚至可以做到一鍵關(guān)閉一個國家的電網(wǎng)。

此外，它還可以通過掃描受感染的系統(tǒng)來定位網(wǎng)絡(luò)上的SCADA或ICS設(shè)備，并將數(shù)據(jù)發(fā)送回攻擊者處。

概括而言，Havex是一款用于間諜活動的情報收集工具，而并非用于破壞或摧毀工業(yè)系統(tǒng)。

2014- BlackEnergy 2(黑暗力量2.0)是BlackEnergy(出現(xiàn)于2007年)的變種，該惡意軟件的攻擊目標(biāo)為GE Cimppcity、Advantech/Broadwin WebAccess以及西門子WinCC等少數(shù)供應(yīng)商提供的HMI(人機(jī)接口)軟件。

據(jù)悉，該惡意軟件被用于2015年12月攻陷烏克蘭電網(wǎng)的網(wǎng)絡(luò)攻擊活動中。

2016- Crash Override/Industroyer，這是第一款用于攻擊電網(wǎng)系統(tǒng)的已知惡意軟件，并成功實踐于2016年12月針對烏克蘭基輔地區(qū)變電站的攻擊活動中。

ESET將該惡意軟件命名為“Industroyer”，Dragos將該惡意軟件命名為“Crash override”。

研究人員表示，這是一款全新的惡意軟件，比2015年用于攻擊烏克蘭電網(wǎng)的工具要先進(jìn)得多。

而造成Crash override如此高復(fù)雜性的原因在于，它所利用的協(xié)議與單個電網(wǎng)系統(tǒng)間進(jìn)行相互通信所使用的協(xié)議相同。

除Crash Override 外，Stuxnet和Triton也可以訪問這些本地協(xié)議。

2017- Triton/Trisys，詳細(xì)內(nèi)容上文已討論。

由于大多數(shù)ICS環(huán)境缺乏可見性，因此，一旦攻擊者獲得對運(yùn)營網(wǎng)絡(luò)的訪問權(quán)限，組織就很難識別惡意活動。

惡意軟件攻擊步驟以下是對目標(biāo)ICS惡意軟件攻擊的詳細(xì)步驟分析：步驟1：攻擊者成功在目標(biāo)網(wǎng)絡(luò)中立足并開始偵察活動，其中可能包含以下部分或全部內(nèi)容：

一個可能會用于滲透工業(yè)網(wǎng)絡(luò)的遠(yuǎn)程連接;一旦進(jìn)入網(wǎng)絡(luò)，攻擊者就可以掃描受感染網(wǎng)絡(luò)來識別ICS設(shè)備;由于ICS網(wǎng)絡(luò)不使用身份驗證或加密，所以攻擊者能夠訪問任何系統(tǒng)——包括操作員和工程師工作站、人機(jī)界面、Windows服務(wù)器或控制器(PLC，RTU或DCS控制器)——以識別攻擊目標(biāo)中的資產(chǎn)詳情。

步驟2：攻擊者把通過偵察活動收集到的信息提取到一個異地位置。

這一過程可以通過將來自不同系統(tǒng)的內(nèi)部消息傳遞給可以將其提取出來的單個位置來實現(xiàn)。

步驟3：接下來，使用上述步驟1、2中收集到的信息，將惡意軟件安裝在可訪問目標(biāo)ICS系統(tǒng)的工作站上。

這一過程可以通過網(wǎng)絡(luò)或使用受感染的USB驅(qū)動器來完成。

步驟4：在最后一個階段中，惡意軟件會取代現(xiàn)有的邏輯，并將新的梯形邏輯(一種編程語言)上傳到控制器(PLC，RTU或DCS控制器)中。

由于這一邏輯決定了自動化流程的執(zhí)行方式，因此使用惡意有效負(fù)載進(jìn)行更改或替換會導(dǎo)致系統(tǒng)、環(huán)境和人員的各種操作中斷甚至物理損壞。

防御建議由于一場成功的網(wǎng)絡(luò)攻擊是多階段共同作用的成果，因此檢測過程需要滿足下述要求：

識別遠(yuǎn)程連接、網(wǎng)絡(luò)掃描、未經(jīng)授權(quán)的系統(tǒng)訪問以及任何嘗試讀取控制器信息的行為;監(jiān)視網(wǎng)絡(luò)上的工業(yè)系統(tǒng)與外部系統(tǒng)之間的通信;檢測任何未經(jīng)授權(quán)的訪問行為，以及任何針對控制器邏輯、配置和狀態(tài)的更改行為等。

到目前為止，針對ICS環(huán)境的惡意軟件不斷崛起，這一現(xiàn)狀對設(shè)施運(yùn)營商而言也造成了不小的安全挑戰(zhàn)。

因為目前的運(yùn)營網(wǎng)絡(luò)甚至連最基本的安全機(jī)制(如訪問控制和加密)都不具備，更不用說網(wǎng)絡(luò)監(jiān)控、威脅檢測、日志記錄和審計等功能了。