TRITON恶意软件框架是专用于破坏工业设备的少数威胁之一,研究人员近期发现其背后的黑客组织又对其他工业目标下手了。TRITON最初是安全公司火眼于2017年在沙特阿拉伯一家石油化工厂的系统里发现的,当时该恶意软件的目的是引发一场爆炸。因为攻击者的一个小失误触发了关键系统紧急关停,该攻击没能得逞。
火眼不愿透露TRITON所用关键基础设施。但4月10日,该公司在其网站上发布了TRITON最新的战术、技术和流程(TTP),并将其杀伤链发布到了 MITRE ATT&CK 框架——一个有关对手技术的公开知识库,披露了更多关于TRITON定制工具的信息。
火眼随后将这些工具以“高置信度”溯源到了俄罗斯中央化学与力学科学研究院身上。
TRITON恶意软件能够重编程施耐德电气公司制造的Triconex安全仪表系统控制器。这些控制器是避免工业设施关键故障和潜在灾难的最后一道防线,只要超出安全运营参数便可自动关停设备和过程。
截至目前,对运营有关键基础设施的公司企业的绝大部分攻击都针对的是IT资产,而非工业控制系统(ICS);其目标也主要是网络间谍情报获取。少数公开记录在案的破坏性ICS恶意软件攻击包括毁了伊朗纳坦兹核设施铀浓缩离心机的震网蠕虫,引发乌克兰大断电的 “黑色能量” 攻击,以及功亏一篑的TRITON攻击。
在10号发布的博客帖子中,火眼披露称,黑客在神秘的CNI企业网络上建立了初始据点,然后跳转到OT网络中,采用多种技术在1年时间里隐藏自身行为并挫败对自身工具的取证检查,最终获取到某安全系统的访问权,得以调整并投送足以破坏该工厂的后门载荷。
我们强烈建议ICS资产拥有者利用我们公布的指标、TTP和检测手法来改善自身防御,追捕自身网络中的相关行为。
在企业网络上建立初始立足点后,TRITON攻击者的主要工作放在获得OT网络访问权上。他们不展现出通常与间谍相关的行为,比如使用键盘记录器和截屏工具、浏览文件、渗漏大量信息等。他们使用的大多数攻击工具都落脚在网络侦察、横向移动和在目标环境中驻留上。
火眼敦促CNI提供商查找警示指征,包括:
- 通往非标准IP范围的出入站连接,尤其是来自OVH和UK-2 Limited 之类国际虚拟专用服务器(VPS)提供商;
- 公司常用公共目录中的未签名微软程序;
- 指向未签名.exe文件的新建或异常计划任务XML触发器;
- PowerShell脚本或PowerShell命令行项中诸如“.CreationTime=” 的时间戳命令字符串。
火眼团队还表示:大多数复杂ICS攻击利用Windows、Linux和其他传统 “IT” 系统(位于IT或OT网络中)作为通往最终目标的通道,防御者最好多关注这些通道。
例如利用计算机获取目标PLC访问权(例子:震网),与联网人机接口(HMI)直接交互(例子:黑色能量),远程访问工程工作站以操作远程终端单元(RTU)(例子:INDUSTROYER),或者感染SIS可编程逻辑控制器(PLC)(例子:TRITON)。
TRITON组织在入侵时用到的一些技术包括重命名文件以模仿Windows更新包,使用RDP和PsExec等标准工具以藏身于典型管理行为中,通过混入合法文件在 Outlook Exchange 服务器上植入 Web shell,使用加密SSH隧道,在使用后删除工具和日志以避免留下踪迹,修改文件时间戳,以及在非正常工作时间段操作以避免被发现等等。
TRITON所用工具的创建时间可追溯至2014年前,但该组织数年间成功规避了检测,充分说明了其复杂程度和对运营安全的重视。研究人员认为,除了已证实的两个受害者,可能还有其他企业或ICS环境中仍留存有TRITON。
由于截至目前观测到的所有复杂ICS攻击都始于对传统Windows、Linux和其他IT系统的入侵,拥有和运营工业控制设备的公司企业应改善其可作为关键资产跳板的 “通道” 系统的攻击检测能力。
TRITON MITRE ATT&CK:
https://www.fireeye.com/content/dam/fireeye-www/blog/pdfs/TRITON_Appendix_C.pdf
TRITON TTP: