当前位置:安全资讯 >> 全文

利用合法代码开发的工控恶意软件 Triton

发布时间:2018-6-8 12:40 标签: 工控
分享到 0

最近出现的工控系统恶意软件 Triton 的开发人员逆向了一个合法文件,寄望于理解目标设备的运行原理。

Triton 也被称为 Trisis HatMan,被发现于20178月并被指和伊朗存在关联,当时它攻击了中东地区的一家关键基础设施组织机构。Triton 针对施耐德电气使用 TriStation 专有网络协议的 Triconex 安全仪表系统 (SIS) 控制器发动攻击。Triton 利用的是影响 Triconex SIS 多个老旧版本的一个 0day 漏洞。

火眼公司的高阶实践团队 AdvancedPractices Team)将 Triton 描述为一款恶意软件框架,并研究判断它是何时以及如何被创建的。

TriStation 协议旨在为个人计算机(如工程工作站)和 Triconex 控制器之间的通信而设计。由于并不存在该协议的公开文档说明,因此它并不容易理解,不过施耐德电气公司已通过 TriStation 1131 软件套件执行了它。

目前尚不清楚攻击者是如何获得测试 Triton 的硬件和软件。它们可能是从某个政府实体购买或借取的,也有可能软件是从使用 Triconex 控制器的工控公司或其它组织机构盗取的。

然而,火眼公司认为 Triton 的开发人员并非从零开始搭建 TriStation 通信组件。该公司分析认为黑客从合法库中复制了代码。

具体而言,研究人员发现 Triton 恶意软件中的代码和一款合法的 TriStation 软件文件(文件名为 tr1com40.dll)的代码之间存在多种相似之处。

虽然通过逆向合法的 DLL 文件可能帮助攻击人员理解了 TriStation 的工作原理,但 Triton 中的代码表明开发人员并未全部理解它。这可能导致攻击者在攻击关键基础设施组织机构中遇到了问题。Triton 在不慎导致 SIS 控制器触发安全关闭之后被曝光。安全专家认为攻击者之前可能一直在进行测试,试图判断如何可造成物理损害。

研究人员指出,6个月前尚未出现针对 Triconex 系统的恶意攻击,此后可能会出现如 Triton 等专门针对其它 SIS 控制器和相关技术的更多框架。工业网络安全公司 Dragos 最近报道称 Triton 攻击的幕后组织 Xenotime 仍在活跃,针对全球范围内的组织机构和安全系统发动攻击,而并非仅仅针对施耐德电气公司的 Triconex

 

本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。
原文链接:https://www.securityweek.com/triton-ics-malware-developed-using-legitimate-code
参与讨论,请先 登录 | 注册

用户评论