对工控安全威胁最大的五个恶意软件.docx

对工控安全威胁最大的五个恶意软件 目录 TOC \o 1-5 \h \z \o Current Document 编者按 1 \o Current Document Triton/Trisis 1 \o Current Document Incontroller/PipeDream 2 \o Current Document Industroyer/CrashOverride 3 \o Current Document BlackEnergy 3 \o Current Document Havex 4 编者按 提到工控系统恶意软件，人们首先会想第一个能直接攻击0T网络的震网 病毒(Stuxnet)，但是震网病毒之后，又涌现大量新型恶意软件，对工控系统 构成严重威胁。 近年来，针对工控系统的恶意软件正变得更加复杂且易用。最初的震网病 毒需要通过U盘来潜入伊朗设施，但最新的工控恶意软件工具可通过网络远程 攻击。 “较新的0T恶意软件可以通过跨0T网络的中间系统远程部署，使攻击者 更方便地使用它来对付目标。” Mandiant的安全研究人员Kapellmann Zafra指 出：“新的工控系统恶意软件更加灵活，可以定制修改，以针对多个目标进行 部署。 Rapid?的首席安全研究员Deral Heiland则指出，针对工控系统的新型恶意 软件通常利用目标ICS/SCADA环境的正常功能以及相关的管理和控制协议。攻 击者对曾经相对闭塞和晦涩的ICS/SCADA通信协议(例如Codesys和Profinet) 有了更好的理解，并正在利用这些知识开发更复杂的工具。 以下是震网病毒之后，专为攻击工控系统而设计的五大恶意软件： Triton/Trisis Triton/Trisis被用于2017年针对沙特阿拉伯炼油厂的攻击。该恶意软件针对施耐德电气的安全仪表系统(SIS)Triconex的多个型号的设备，这些设备被炼油厂用于监控工厂的管理和硫回收系统。如果恶意软件按预期工作，它可能会引第1页共5页 第 第 PAGE #页共5页 发爆炸和设施内危险气体的释放。但施耐德电气Sis设备上的安全控制发现了 攻击者安装恶意软件的尝试，并触发了整个炼油厂的自动关闭。 Triton/Trisis针对炼油厂的施耐德安全仪表系统而设计。因此，Dragos当时 评估该恶意软件不会对施耐德电气的其他客户环境构成威胁。但Dragos评估 说，攻击者在攻击中使用的策略、技术和程序会被其他人复制。 Mandiant发现该恶意软件有多种功能，包括读写程序和查询施耐德SIS控 制器的状态；向控制器发送特定命令，例如“停止”；并使用恶意负载远程重 新编程它们。 Mandiant的Kapellmann Zafra透露：“Triton之所以特别危险，是因为它针 对的是安全系统，这意味着可能存在物理破坏的意图。”他说，该恶意软件针 对特定的资产，此类资产通过一种几乎没有记录的专有协议进行通信，这意味 着攻击者可能需要对工控设备进行逆向工程来开发恶意软件。 Incontroller/PipeDream Incontroller/PipeDream是最近才发现的专门攻击工控系统的恶意软件威 胁。美国网络安全和基础设施安全局(CISA)等机构己确定该恶意软件对液化天然 气和电力供应商等能源机构和组织构成严重威胁。 Incontroller是Mandiant给该恶意软件的跟踪代号，包含三个恶意软件工 具，针对施耐德电气和欧姆龙的可编程逻辑控制器(PLC)以及任何基于开放平台 通信统一架构(OPC UA)的服务器。攻击者可使用该恶意软件对目标工业环境进 行侦察，并控制PLC,实施可能导致工厂中断、安全故障和潜在物理灾难的破 坏活动。 值得注意的是,Incontroller/PipeDream并未利用任何漏洞来破坏目标系 统。相反，它使用Modbus和Codesys这两种常见的工业协议与PLC进行通信 和交互。据Dragos称，该恶意软件利用本机功能的能力使其难以在工业环境中 被发现，该公司给该恶意软件分配的代号是PipeDreamo Dragos将该恶意软件 归因于一个可能位于俄罗斯的威胁组织，称之为Chernoviteo Incontroller/PipeDream的三个主要组件是：一个从OPC环境中扫描和收集 数据的工具；一个可以通过Modbus和Codesys识别Schneider和其他基于 Modbus的PLC并与之交互的框架；以及专门设计用于通过HTTP和Telnet攻击 Omron设备的工具。 目前，Mandiant正在跟踪Tagrun Codecall和。mshell这三种威胁。 Mandiant高级技术分析经理Kapellmann Z