使用合法代码开发的Triton ICS恶意软件

  • 时间:
  • 浏览:38
  • 来源:it300
使用合法代码开发的Triton ICS恶意软件

最近发现的针对工业控制系统(ICS)的恶意软件Triton的开发人员反向设计了一个合法文件,以了解目标设备的工作方式。

Triton,也称为作为Trisis和HatMan,是在2017年8月被一些与伊朗联系的威胁组织用于对抗中东的一个关键基础设施组织后被发现的。该恶意软件针对施耐德电气的Triconex安全仪表系统(SIS)控制器,该控制器使用专有的TriStation网络协议。该恶意软件利用了影响旧版本产品的零日漏洞。

FireEye的高级实践团队对威胁进行了详细分析,并将其描述为恶意软件框架。ort确定何时以及如何创建。

TriStation协议设计用于PC(例如工程工作站)和Triconex控制器之间的通信。由于没有可用的公共文档,该协议并不容易理解,但Schneider已经通过TriStation 1131软件套件实现了该协议。

目前还不清楚攻击者如何获得他们用于测试恶意软件的硬件和软件。他们可能购买了它或从政府拥有的公用事业借来的。该软件也可能被ICS公司或使用Triconex控制器的其他组织窃取。

然而,FireEye认为,恶意软件开发人员并没有从头开始构建TriStation通信组件。该公司的分析暗示黑客从合法的库中复制了代码。

具体而言,研究人员发现恶意软件中的代码与名为“tr1com40.dll”的合法TriStation软件文件中的代码之间存在显着的相似性。

虽然逆向工程合法的DLL文件可能有助于他们了解TriStation的工作原理,但恶意软件中的代码表明它没有回答所有问题。这可能导致威胁组在攻击关键基础设施组织时遇到的问题。

Triton在意外导致SIS控制器启动安全关闭后被发现。专家认为,攻击者一直在进行测试,试图确定他们如何造成物理伤害。

了解更多在SecurityWeek的2018年ICS网络安全会议上

“看到以恶意为目的的Triconex系统在六个月前是全新的。展望未来,预计其他框架是合理的,例如TRITON,旨在用于对抗其他SIS控制器和相关技术,“FireEye在其报告中说。 “如果Triconex在范围内,我们可能会看到类似的攻击方法影响主导的工业安全技术。”

工业网络安全公司Dragos最近报告说,Triton攻击背后的威胁组织,它跟踪Xenotime,仍然是活跃,针对全球的组织和施耐德Triconex以外的安全系统。

相关:互联网曝光,缺陷工业安全控制受到攻击的风险

相关:测试,测试再次测试 - 您的安全仪表系统是否网络安全?

相关:国土安全部警告恶意软件针对工业安全系统

猜你喜欢

希腊最高法院批准俄罗斯对比特币嫌疑人的请求

希腊最高法院批准俄罗斯对比特币嫌疑人的请求希腊最高法院上周五表示,一名据称使用比特币数字货币洗钱40亿美元的俄罗斯人应该被引渡到俄罗斯,一位法院消息人士说。AlexanderV

2019-02-01

塑造美国网络防御的创造性破坏和自满情绪

塑造美国网络防御的创造性破坏和自满情绪创造性的破坏,思维的范式转换取代现有的秩序,可能是一个难以捉摸的概念,但它作为人类行为驱动力的力量是不可否认的。在硅谷和其他美国的高层科技

2019-02-01

为什么我(非常)担心PRISM

为什么我(非常)担心PRISM美国国家安全局正在利用我们的数字生活,监控语音电话,电子邮件,社交媒体以及谁知道什么。美国国家安全局方面的人说,这是为了国家安全;它已经停止了恐怖

2019-02-01

先发优势:为什么新的恶意软件最初会打败反恐

先发优势:为什么新的恶意软件最初会打败反恐虽然反病毒解决方案可以有效对抗广泛使用的恶意软件,但是有一个很好的机会,新的恶意软件会躲过那些解决方案。最近有重大安全事件的报告激增,

2019-02-01

台湾银行抢劫与朝鲜黑客有关

台湾银行抢劫与朝鲜黑客有关最近针对台湾一家银行的网络抢劫事件已被安全研究人员联系到一个据信在朝鲜境外活动的臭名昭着的威胁组织。黑客利用SWIFT全球金融网络大致窃取来自台湾远东

2019-02-01