TRITON惡意軟件框架是專(zhuān)用于破壞工業(yè)設(shè)備的少數(shù)威脅之一，研究人員近期發(fā)現(xiàn)其背后的黑客組織又對(duì)其他工業(yè)目標(biāo)下手了。TRITON最初是安全公司火眼于2017年在沙特阿拉伯一家石油化工廠的系統(tǒng)里發(fā)現(xiàn)的，當(dāng)時(shí)該惡意軟件的目的是引發(fā)一場(chǎng)爆炸。因?yàn)楣粽叩囊粋€(gè)小失誤觸發(fā)了關(guān)鍵系統(tǒng)緊急關(guān)停，該攻擊沒(méi)能得逞。

火眼不愿透露TRITON所用關(guān)鍵基礎(chǔ)設(shè)施。但4月10日，該公司在其網(wǎng)站上發(fā)布了TRITON最新的戰(zhàn)術(shù)、技術(shù)和流程(TTP)，并將其殺傷鏈發(fā)布到了MITREATT&CK框架——一個(gè)有關(guān)對(duì)手技術(shù)的公開(kāi)知識(shí)庫(kù)，披露了更多關(guān)于TRITON定制工具的信息。

隨時(shí)準(zhǔn)備開(kāi)展網(wǎng)絡(luò)攻擊的民族國(guó)家

火眼將TRITON描述為與Triconex安全儀表系統(tǒng)(SIS)控制器互動(dòng)的攻擊框架，稱(chēng)其行為與正在準(zhǔn)備開(kāi)展網(wǎng)絡(luò)攻擊的民族國(guó)家相一致。

火眼隨后將這些工具以“高置信度”溯源到了俄羅斯中央化學(xué)與力學(xué)科學(xué)研究院身上。

TRITON惡意軟件能夠重編程施耐德電氣公司制造的Triconex安全儀表系統(tǒng)控制器。這些控制器是避免工業(yè)設(shè)施關(guān)鍵故障和潛在災(zāi)難的最后一道防線(xiàn)，只要超出安全運(yùn)營(yíng)參數(shù)便可自動(dòng)關(guān)停設(shè)備和過(guò)程。

截至目前，對(duì)運(yùn)營(yíng)有關(guān)鍵基礎(chǔ)設(shè)施的公司企業(yè)的絕大部分攻擊都針對(duì)的是IT資產(chǎn)，而非工業(yè)控制系統(tǒng)(ICS)；其目標(biāo)也主要是網(wǎng)絡(luò)間諜情報(bào)獲取。少數(shù)公開(kāi)記錄在案的破壞性ICS惡意軟件攻擊包括毀了伊朗納坦茲核設(shè)施鈾濃縮離心機(jī)的震網(wǎng)蠕蟲(chóng)，引發(fā)烏克蘭大斷電的“黑色能量”攻擊，以及功虧一簣的TRITON攻擊。

在10號(hào)發(fā)布的博客帖子中，火眼披露稱(chēng)，黑客在神秘的CNI企業(yè)網(wǎng)絡(luò)上建立了初始據(jù)點(diǎn)，然后跳轉(zhuǎn)到OT網(wǎng)絡(luò)中，采用多種技術(shù)在1年時(shí)間里隱藏自身行為并挫敗對(duì)自身工具的取證檢查，最終獲取到某安全系統(tǒng)的訪(fǎng)問(wèn)權(quán)，得以調(diào)整并投送足以破壞該工廠的后門(mén)載荷。

我們強(qiáng)烈建議ICS資產(chǎn)擁有者利用我們公布的指標(biāo)、TTP和檢測(cè)手法來(lái)改善自身防御，追捕自身網(wǎng)絡(luò)中的相關(guān)行為。

駐留一年：可能潛伏在其他關(guān)鍵基礎(chǔ)設(shè)施中

火眼稱(chēng)：攻擊者在目標(biāo)網(wǎng)絡(luò)中潛藏了一年之久才接觸到安全儀表系統(tǒng)(SIS)工程工作站。縱觀整個(gè)過(guò)程，他們似乎以運(yùn)營(yíng)安全為優(yōu)先考慮。

在企業(yè)網(wǎng)絡(luò)上建立初始立足點(diǎn)后，TRITON攻擊者的主要工作放在獲得OT網(wǎng)絡(luò)訪(fǎng)問(wèn)權(quán)上。他們不展現(xiàn)出通常與間諜相關(guān)的行為，比如使用鍵盤(pán)記錄器和截屏工具、瀏覽文件、滲漏大量信息等。他們使用的大多數(shù)攻擊工具都落腳在網(wǎng)絡(luò)偵察、橫向移動(dòng)和在目標(biāo)環(huán)境中駐留上。

該組織利用公開(kāi)和定制后門(mén)、Webshell及憑證獲取工具，規(guī)避殺軟檢測(cè)，保持隱秘駐留。用于控制和監(jiān)視工業(yè)過(guò)程的可編程邏輯控制器(PLC)通常在專(zhuān)用工程工作站上通過(guò)其制造商提供的特殊軟件來(lái)編程。編程Triconex安全控制器的軟件名為T(mén)riStation，采用未公開(kāi)私有協(xié)議編程PLC，但該私有協(xié)議被攻擊者逆向工程后用來(lái)創(chuàng)建了TRITON惡意軟件。

其他目標(biāo)環(huán)境中可能還有攻擊者留存

基于對(duì)其定制入侵工具的分析，攻擊者可能早在2014年就展開(kāi)活動(dòng)了。雖然很多工具都可追溯到初始入侵前幾年，但火眼之前從未遇到過(guò)該攻擊者的任何定制工具。這一事實(shí)和攻擊者表現(xiàn)出的對(duì)運(yùn)營(yíng)安全的關(guān)注，意味著可能還有其他的目標(biāo)環(huán)境——除了10號(hào)披露的第二起入侵之外，這些攻擊者可能曾經(jīng)存在或現(xiàn)在仍然駐留在其他未被發(fā)現(xiàn)的目標(biāo)環(huán)境中。

火眼敦促CNI提供商查找警示指征，包括：

通往非標(biāo)準(zhǔn)IP范圍的出入站連接，尤其是來(lái)自O(shè)VH和UK-2Limited之類(lèi)國(guó)際虛擬專(zhuān)用服務(wù)器(VPS)提供商；

公司常用公共目錄中的未簽名微軟程序；

指向未簽名.exe文件的新建或異常計(jì)劃任務(wù)XML觸發(fā)器；

PowerShell腳本或PowerShell命令行項(xiàng)中諸如“.CreationTime=”的時(shí)間戳命令字符串。

火眼團(tuán)隊(duì)還表示：大多數(shù)復(fù)雜ICS攻擊利用Windows、Linux和其他傳統(tǒng)“IT”系統(tǒng)(位于IT或OT網(wǎng)絡(luò)中)作為通往最終目標(biāo)的通道，防御者最好多關(guān)注這些通道。

例如利用計(jì)算機(jī)獲取目標(biāo)PLC訪(fǎng)問(wèn)權(quán)（例子：震網(wǎng))，與聯(lián)網(wǎng)人機(jī)接口(HMI)直接交互（例子：黑色能量)，遠(yuǎn)程訪(fǎng)問(wèn)工程工作站以操作遠(yuǎn)程終端單元(RTU)（例子：INDUSTROYER)，或者感染SIS可編程邏輯控制器(PLC)（例子：TRITON)。

想要阻止這些“通道”系統(tǒng)中的攻擊者，防御者可以利用隨IT和OT系統(tǒng)覆蓋面持續(xù)增長(zhǎng)而上升的一些關(guān)鍵有利因素，包括成熟安全工具的廣泛可用性，以此防御和追捕在Windows、Linux和其他傳統(tǒng)“IT”中的威脅。

ICS攻擊可持續(xù)數(shù)年

復(fù)雜ICS攻擊的針對(duì)性攻擊生命周期往往以年計(jì)。攻擊者需要較長(zhǎng)時(shí)間來(lái)準(zhǔn)備此類(lèi)攻擊以了解目標(biāo)的工業(yè)過(guò)程和打造定制工具。這些攻擊還往往是由屬意待機(jī)突襲而非即時(shí)進(jìn)攻的民族國(guó)家發(fā)起的(例如：安裝TRITON之類(lèi)惡意軟件再等待何時(shí)的時(shí)機(jī)使用之)。在此期間，攻擊者必須確保能夠持續(xù)訪(fǎng)問(wèn)目標(biāo)環(huán)境，否則就有數(shù)年努力和高昂定制ICS惡意軟件毀于一旦的風(fēng)險(xiǎn)。本次披露的TRITON新案例也不例外。

TRITON組織在入侵時(shí)用到的一些技術(shù)包括重命名文件以模仿Windows更新包，使用RDP和PsExec等標(biāo)準(zhǔn)工具以藏身于典型管理行為中，通過(guò)混入合法文件在OutlookExchange服務(wù)器上植入Webshell，使用加密SSH隧道，在使用后刪除工具和日志以避免留下蹤跡，修改文件時(shí)間戳，以及在非正常工作時(shí)間段操作以避免被發(fā)現(xiàn)等等。

TRITON所用工具的創(chuàng)建時(shí)間可追溯至2014年前，但該組織數(shù)年間成功規(guī)避了檢測(cè)，充分說(shuō)明了其復(fù)雜程度和對(duì)運(yùn)營(yíng)安全的重視。研究人員認(rèn)為，除了已證實(shí)的兩個(gè)受害者，可能還有其他企業(yè)或ICS環(huán)境中仍留存有TRITON。

由于截至目前觀測(cè)到的所有復(fù)雜ICS攻擊都始于對(duì)傳統(tǒng)Windows、Linux和其他IT系統(tǒng)的入侵，擁有和運(yùn)營(yíng)工業(yè)控制設(shè)備的公司企業(yè)應(yīng)改善其可作為關(guān)鍵資產(chǎn)跳板的“通道”系統(tǒng)的攻擊檢測(cè)能力。