Triton针对工业系统的形势分析以及检测手段 || 后附今日情报资源

释放双眼,带上耳机,听听看~!

求转发,求关注,给我点阳光我灿烂

一、

Triton 恶意软件针对工业系统进行了最新一代的攻击


此前火眼已经公布了俄罗斯研究所正在支持这项活动,详情如下:

针对工控系统的TRITON入侵活动由俄罗斯研究所支持

开篇主要是回忆过去针对工业系统的攻击活动

正文

经过分析发现,Triton针对的是由施耐德电气分销的Triconex安全控制器。

据该公司称,Triconex安全控制器用于18,000家工厂(核能,石油和天然气炼油厂,化工厂等)。对SIS的攻击需要专业的理解过程(通过分析获取的文档,图表,设备配置和网络流量)。

SIS是针对物理事件的最后一种保护措施。

SIS:Safety instrumented system,安全仪表系统。

最常用于过程(例如,炼油厂,化学,核)设施,以提供保护。

例如:

高燃料气体压力启动关闭主燃料气阀的动作。

高反应器温度启动打开冷却介质阀的动作。

高蒸馏塔压力启动打开压力排气阀的动作。

根据一项调查,攻击者可能通过鱼叉式网络钓鱼获得了访问网络的权限。在最初感染之后,攻击者移动到主网络以到达ICS网络并以SIS控制器为目标。

为了与SIS控制器通信,攻击者在端口UDP / 1502上重新编码了专有的TriStation通信协议。这一步表明他们投入时间对Triconex产品进行逆向分析。

Nozomi Networks创建了一个Wireshark解剖器,

(https://github.com/NozomiNetworks/tricotools)

非常便于分析TriStation协议和检测Triton攻击。以下屏幕截图显示了Triconex SIS返回的信息示例。Triton要求控制器的“运行状态”执行攻击的下一阶段。

上图中,Triconex回复了由Triton发送的请求 “Get Control Program Status”(获取控制程序状态)。

样本方面,

Triton(dc81f383624955e0c0441734f9f1dabfe03f373c)生成可执行文件trilog.exe,用于收集日志。

可执行文件是在exe中编译的python脚本。

该框架还包含library.zip(1dd89871c4f8eca7a42642bf4c5ec2aa7688fd5c),其中包含Triton所需的所有python脚本。

最后,两个PowerPC shellcode(根据目标架构变更)用于控制失陷主机。

第一个PowerPC shellcode是一个注入器(inject.bin,f403292f6cb315c84f84f6c51490e2e8cd8c686),用于注入第二个阶段(imain.bin,b47ad4840089247b058121e95732beb82e6311d0)

该后门允许对Triconex产品进行读,写和执行访问操作。

Triton的主要模块如下


检测手段

研究院使用Raspberry Pi修改了模拟Triconex安全控制器的脚本,以创建一个廉价的检测器工具。

https://github.com/NozomiNetworks/tricotools

这种廉价的工具可以很容易地安装在ICS网络上。如果发生非法连接,设备会发出闪烁的LED警报警报。它还显示连接的IP地址以供进一步调查。

下图显示了如何连接LED和蜂鸣器。

视频演示截图

报告中涉及样本ioc:

dc81f383624955e0c0441734f9f1dabfe03f373c:trilog.exe

b47ad4840089247b058121e95732beb82e6311d0:imain.bin

f403292f6cb315c84f84f6c51490e2e8cd03c686:inject.bin

91bad86388c68f34d9a2db644f7a1e6ffd58a449:script_test.py

1dd89871c4f8eca7a42642bf4c5ec2aa7688fd5c:library.zip

97e785e92b416638c3a584ffbfce9f8f0434a5fd:TS_cnames.pyc

d6e997a4b6a54d1aeedb646731f3b0893aee4b82:TsBase.pyc

66d39af5d61507cf7ea29e4b213f8d7dc9598bed:TsHi.pyc

a6357a8792e68b05690a9736bc3051cba4b43227:TsLow.pyc

2262362200aa28b0eead1348cb6fda3b6c83ae01:crc.pyc

9059bba0d640e7eeeb34099711ff960e8fbae655:repr.pyc

6c09fec42e77054ee558ec352a7cd7bd5c5ba1b0:select.pyc

25dd6785b941ffe6085dd5b4dbded37e1077e222:sh.pyc

相关链接(方便整理资料):

a. https://blog.schneider-electric.com/cyber-security/2018/08/07/one-year-after-triton-building-ongoing-industry-wide-cyber-resilience/

b. https://www.youtube.com/watch?v=f09E75bWvkk

c. https://ics-cert.us-cert.gov/sites/default/files/ICSJWG-Archive/QNL_DEC_17/Waterfall_top-20-attacks-article-d2%20-%20Article_S508NC.pdf

d. https://www.fireeye.com/blog/threat-research/2017/12/attackers-deploy-new-ics-attack-framework-triton.html

e. https://www.midnightbluelabs.com/blog/2018/1/16/analyzing-the-triton-industrial-malware

f. https://www.nozominetworks.com/2018/07/18/blog/new-triton-analysis-tool-wireshark-dissector-for-tristation-protocol/

g. https://github.com/NozomiNetworks/tricotools

h. https://cyberx-labs.com/en/blog/triton-post-mortem-analysis-latest-ot-attack-framework/

i. https://vimeo.com/275906105

j. https://vimeo.com/248057640

k. https://blog.talosintelligence.com/2017/07/template-injection.html

m. https://github.com/MDudek-ICS/TRISIS-TRITON-HATMAN

本文链接:

https://securingtomorrow.mcafee.com/mcafee-labs/triton-malware-spearheads-latest-generation-of-attacks-on-industrial-systems/

    二、

    攻击使用恶意的InPage文档和过时的VLC媒体播放器在目标系统安装后门

    https://cloudblogs.microsoft.com/microsoftsecure/2018/11/08/attack-uses-malicious-inpage-document-and-outdated-vlc-media-player-to-give-attackers-backdoor-access-to-targets/

    三、

    Metamorfo银行木马继续对巴西进行投放,火眼之前发过类似攻击

    https://blog.talosintelligence.com/2018/11/metamorfo-brazilian-campaigns.html

    四、

    Active Exploitation of Newly Patched ColdFusion Vulnerability (CVE-2018-15961)

    一名疑似某APT小组通过直接上传China Chopper webshell来入侵ColdFusion服务器

    https://www.volexity.com/blog/2018/11/08/active-exploitation-of-newly-patched-coldfusion-vulnerability-cve-2018-15961/

    #僵尸网络#  

    僵尸网络Linux.Haikai源码分析

    https://www.securityartwork.es/2018/11/08/analysis-of-linux-haikai-inside-the-source-code/

    僵尸网络Linux.Omni分析

    https://www.securityartwork.es/2018/11/08/analysis-of-linux-omni/

    欢迎加入知识星球,第一手处理情报

    本文源自微信公众号:黑鸟

    人已赞赏
    安全工具

    今日各类情报合集:网络犯罪组织3ve落网/DNSpionage/APT34/落井下石式钓鱼攻击等

    2019-10-16 10:17:07

    安全工具

    Bithumb加密货币交易所遭黑客窃取将近2千万美元货币,疑为内鬼作为

    2019-10-16 10:17:12

    0 条回复 A文章作者 M管理员
      暂无讨论,说说你的看法吧
    个人中心
    购物车
    优惠劵
    今日签到
    有新私信 私信列表
    搜索