声名狼藉的Stuxnet蠕虫恶意软件数年前摧毁多个伊朗核电站的离心机，目前安全公司火眼（FireEye）声称发现一款恶意软件使用了某些Stuxnet功能，该恶意软件将目标对准（工业控制系统）ICS/数据采集与监视控制系统（SCADA）。

这款恶意软件名为“铁门”（IRONGATE），只针对西门子公司生产的ICS/SCADA设备。FireEye火眼称，他们于2015年下半年发现该恶意软件，但2014年9月当多个字符实体在VirusTotal上传该软件的多个版本时，他们就成功追踪到了该软件的一些样本。

火眼表示，当时检测率为零，并且这款恶意软件从未被发现有不良记录。

攻击链以检查虚拟化环境的散播病毒程式开始，研究人员利用这种环境分析恶意软件。

在VMware和Cuckoo Sandbox环境下，IRONGATE散播病毒程式将不会运行。

如果IRONGATE没有发现虚拟化的环境，散播病毒程式可执行e.NET可执行文件“scada.exe.”。目前尚不清楚是什么触发了中间人净负荷安装恶意代码。西门子的专家怀疑恶意净负荷需人工操作。

一旦系统被感染，IRONGATE搜索所有后缀名为“Step7ProSim.dll”的DLL库，并用可以操作关联过程的恶意代码替换。

IRONGATE的主要特点是：中间人（MitM）在工业过程模拟内攻击过程输入输出（IO）和过程操作员软件。这款恶意软件用恶意DLL替换正常的DLL，然后恶意DLL充当一个可编程序逻辑控制器（PLC）与合法监控系统之间的经纪人。该恶意DLL从PLC到用户界面记录5秒的“正常”流量并进行替换，同时将不同的数据发回PLC。这就允许攻击者改动过程操作者不知情的受控过程。

IRONGATE与Stuxnet共享某些功能

研究小组发现这款恶意软件非常有趣，因为运作模式包含某些类似Stuxnet行为。

如同Stuxnet，IRONGATE使用中间人技术在可编程序逻辑控制器（PLC）与软件监控过程之间将自己注入。

与Stuxnet共享的另一个特征是如何用恶意拷贝替换有效DLL文件，从而实现中间人技术。

研究人员还发现两者存在的异同：

• 两款恶意软件寻找单一、具有较高特异性的过程。

• 均替换DLL实现过程操作。

• IRONGATE检测恶意软件“引爆”/观察环境，但Stuxnet查找杀毒软件。

• IRONGATE积极记录并回放过程数据隐藏操作，但Stuxnet并未试图隐藏过程操作，但会暂停S7-315的正常操作，因此即使HMI上显示了转子速度，数据将为静态。

与PLC Blaster有关联？火眼表示没有任何关联

上个月，德国研究团队揭露了PLC Blaster-SCADA恶意软件家族一款可以自我复制类似蠕虫针对西门子设备的恶意软件。

PLC Blaster有两组单独的研究人员，一个在2015年美国黑帽大会发布结果，另一个参加2016亚洲黑帽大会。

两组均符合IRONGATE发现的时间点，但是PLC Blaster缺少一个关键元素，那就是沙盒（sandbox）回避功能。

尽管出现了通常出现在“进攻”恶意软件的反逆向工程构件，火眼仍认为通过IRONGATE的特点可以得结论，这是一个测试，概念验证或研究活动。

火眼向外媒透露，他们的调查不处理攻击过程，但使用PLC作为传播途径。这是一项有趣的研究，但是没发现PLC Blaster与IRONGATE之间的关联。

举个例子，Klick（出席2015美国黑帽大会的研究员作者）未讨论沙盒回避，中间人文件替换或过程输入输出操作。目睹某人将两个不同分支的思想融合为一个恶意软件，着实有趣。

E安全/文 转载请注明E安全

E安全——全球网络安全新传媒