利用合法代码开发的工控恶意软件 Triton
翻译:360代码卫士团队
最近出现的工控系统恶意软件 Triton 的开发人员逆向了一个合法文件,寄望于理解目标设备的运行原理。
Triton 也被称为 “Trisis” 和 “HatMan”,被发现于2017年8月并被指和伊朗存在关联,当时它攻击了中东地区的一家关键基础设施组织机构。Triton 针对施耐德电气使用 TriStation 专有网络协议的 Triconex 安全仪表系统 (SIS) 控制器发动攻击。Triton 利用的是影响 Triconex SIS 多个老旧版本的一个 0day 漏洞。
火眼公司的高阶实践团队 (AdvancedPractices Team)将 Triton 描述为一款恶意软件框架,并研究判断它是何时以及如何被创建的。
TriStation 协议旨在为个人计算机(如工程工作站)和 Triconex 控制器之间的通信而设计。由于并不存在该协议的公开文档说明,因此它并不容易理解,不过施耐德电气公司已通过 TriStation 1131 软件套件执行了它。
目前尚不清楚攻击者是如何获得测试 Triton 的硬件和软件。它们可能是从某个政府实体购买或借取的,也有可能软件是从使用 Triconex 控制器的工控公司或其它组织机构盗取的。
然而,火眼公司认为 Triton 的开发人员并非从零开始搭建 TriStation 通信组件。该公司分析认为黑客从合法库中复制了代码。
具体而言,研究人员发现 Triton 恶意软件中的代码和一款合法的 TriStation 软件文件(文件名为 tr1com40.dll)的代码之间存在多种相似之处。
虽然通过逆向合法的 DLL 文件可能帮助攻击人员理解了 TriStation 的工作原理,但 Triton 中的代码表明开发人员并未全部理解它。这可能导致攻击者在攻击关键基础设施组织机构中遇到了问题。Triton 在不慎导致 SIS 控制器触发安全关闭之后被曝光。安全专家认为攻击者之前可能一直在进行测试,试图判断如何可造成物理损害。
研究人员指出,6个月前尚未出现针对 Triconex 系统的恶意攻击,此后可能会出现如 Triton 等专门针对其它 SIS 控制器和相关技术的更多框架。工业网络安全公司 Dragos 最近报道称 Triton 攻击的幕后组织 Xenotime 仍在活跃,针对全球范围内的组织机构和安全系统发动攻击,而并非仅仅针对施耐德电气公司的 Triconex。
关联阅读
原文链接
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。