工控惡意軟體簡史：從震網到Triton

2017年12月，安全研究人員發現了一款專門針對工控安全系統的惡意軟體變體，該惡意軟體主要以中東地區的重要基礎設施為目標展開攻擊，並成功造成中東多家能源工廠的運營中斷。

該惡意軟體以施耐德電氣生產的Triconex安全儀錶控制系統（SIS）為攻擊目標，所謂安全儀錶系統（SIS），又稱為安全聯鎖系統（Safety interlocking System），可以監測生產過程中出現的或者潛伏的危險，發出告警信息或直接執行預定程序，立即進入操作，防止事故的發生、降低事故帶來的危害及其影響，是工業企業自動控制中的重要組成部分。

據悉，該惡意軟體可以在攻陷SIS系統後，對SIS系統邏輯進行重編輯，使SIS系統產生意外動作，對正常生產活動造成影響；或是造成SIS系統失效，在發生安全隱患或安全風險時無法及時實行和啟動安全保護機制；亦或在攻陷SIS系統後，對DCS系統實施攻擊，並通過SIS系統與DCS系統的聯合作用，對工業設備、生產活動以及人員健康造成破壞。因此，該惡意軟體被研究人員命名為「TRISIS」（或TRITON）惡意軟體。

雖然TRITON並不是第一個以工業控制系統（ICS）為攻擊目標的惡意軟體，但它確實用事實證明，曾經在很大程度上對網路威脅免疫的運營網路，現在正深受攻擊者的青睞。

以下是迄今為止有關ICS惡意軟體變體的簡要歷史記錄：

2010-震網病毒（Stuxnet）是第一款專門針對SCADA系統（數據採集與監視控制系統）和可編程邏輯控制器（PLC）的惡意軟體，曾對伊朗的核設施造成了難以估量的損害，最終導致伊朗擁有核武器的時間延遲了好幾年。

2013- Havex是一款遠程訪問木馬（RAT），被編寫來感染SCADA系統（數據採集與監視控制系統）和工控系統（ICS）中使用的工業控制軟體，其有能力禁用水電大壩、使核電站過載、甚至可以做到一鍵關閉一個國家的電網。此外，它還可以通過掃描受感染的系統來定位網路上的SCADA或ICS設備，並將數據發送回攻擊者處。概括而言，Havex是一款用於間諜活動的情報收集工具，而並非用於破壞或摧毀工業系統。

2014- BlackEnergy 2（黑暗力量2.0）是BlackEnergy（出現於2007年）的變種，該惡意軟體的攻擊目標為GE Cimplicity、Advantech/Broadwin WebAccess以及西門子WinCC等少數供應商提供的HMI（人機介面）軟體。據悉，該惡意軟體被用於2015年12月攻陷烏克蘭電網的網路攻擊活動中。

2016- Crash Override/Industroyer，這是第一款用於攻擊電網系統的已知惡意軟體，並成功實踐於2016年12月針對烏克蘭基輔地區變電站的攻擊活動中。ESET將該惡意軟體命名為「Industroyer」，Dragos將該惡意軟體命名為「Crash override」。研究人員表示，這是一款全新的惡意軟體，比2015年用於攻擊烏克蘭電網的工具要先進得多。而造成Crash override如此高複雜性的原因在於，它所利用的協議與單個電網系統間進行相互通信所使用的協議相同。除Crash Override 外，Stuxnet和Triton也可以訪問這些本地協議。

2017- Triton/Trisys，詳細內容上文已討論。

由於大多數ICS環境缺乏可見性，因此，一旦攻擊者獲得對運營網路的訪問許可權，組織就很難識別惡意活動。

惡意軟體攻擊步驟

以下是對目標ICS惡意軟體攻擊的詳細步驟分析：

步驟1

攻擊者成功在目標網路中立足並開始偵察活動，其中可能包含以下部分或全部內容：

>一個可能會用於滲透工業網路的遠程連接；

>一旦進入網路，攻擊者就可以掃描受感染網路來識別ICS設備；

>由於ICS網路不使用身份驗證或加密，所以攻擊者能夠訪問任何系統——包括操作員和工程師工作站、人機界面、Windows伺服器或控制器（PLC，RTU或DCS控制器）——以識別攻擊目標中的資產詳情。

步驟2

攻擊者把通過偵察活動收集到的信息提取到一個異地位置。這一過程可以通過將來自不同系統的內部消息傳遞給可以將其提取出來的單個位置來實現。

步驟3

接下來，使用上述步驟1、2中收集到的信息，將惡意軟體安裝在可訪問目標ICS系統的工作站上。這一過程可以通過網路或使用受感染的USB驅動器來完成。

步驟4

在最後一個階段中，惡意軟體會取代現有的邏輯，並將新的梯形邏輯（一種編程語言）上傳到控制器（PLC，RTU或DCS控制器）中。由於這一邏輯決定了自動化流程的執行方式，因此使用惡意有效負載進行更改或替換會導致系統、環境和人員的各種操作中斷甚至物理損壞。

防禦建議

由於一場成功的網路攻擊是多階段共同作用的成果，因此檢測過程需要滿足下述要求：

識別遠程連接、網路掃描、未經授權的系統訪問以及任何嘗試讀取控制器信息的行為；

監視網路上的工業系統與外部系統之間的通信；

檢測任何未經授權的訪問行為，以及任何針對控制器邏輯、配置和狀態的更改行為等。

到目前為止，針對ICS環境的惡意軟體不斷崛起，這一現狀對設施運營商而言也造成了不小的安全挑戰。因為目前的運營網路甚至連最基本的安全機制（如訪問控制和加密）都不具備，更不用說網路監控、威脅檢測、日誌記錄和審計等功能了。

不過，值得慶幸的是，新的ICS定製安全技術正在不斷湧現，以解決目前存在的這些威脅。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！