继震网、乌克兰断网后 又一计算机病毒来袭！

不知道大家是否还记得震网Stuxnet以及2016年底导致乌克兰电力系统瘫痪的BlackEnergy，这两种病毒作为破坏工业流程的计算机病毒，可谓是一鸣惊人，让业界都为之“颤抖”。

那如果我告诉你，继震网Stuxnet以及BlackEnergy之后，第三种计算机病毒再次来袭，你怕不怕?

美国知名全厂商FireEye发布报告指出：民族国家黑客使用了一款名为TRITON的恶意软件渗透了一个关键基础设施的安全系统，导致了工控系统关机。该恶意软件对施耐德电气SE运行安全系统(Triconex安全仪表系统，简称SIS)的工作站进行远程控制然后试图重新编程用于监视工厂的控制器是否存在潜在的安全问题。

据研究人员分析，导致工控系统关机很可能是为了最终造成物理破坏，而且很可能是国家发起的攻击行为。

鉴于病毒危害的严重性，目前Fireeye已将此事向美国国土安全部做了相关汇报。

那TRITON病毒具体是通过怎样的原理运作的呢?据介绍，TRITON病毒可以与SIS控制器通讯(例如发送halt等特定命令，或读取其内存内容)，并利用攻击者定义的负载对其远程重新编程。安全研究人员捕获的TRITON病毒样本将攻击者提供的程序添加到Triconex控制器的执行表中，如果控制器失效，TRITON会尝试让程序进入运行状态。在一定的时间窗口后控制器仍未恢复的话，样本会用无效数据覆盖恶意程序以掩盖其踪迹。

利用TRITON病毒，攻击者主要能够发布一下三种攻击：

利用SIS关闭进程

攻击者可重新编程SIS逻辑，致其在安全状态下也会关闭进程，即触发误报。进程关闭期间及大型工厂关闭后的启动流程都会造成巨大经济损失。

重新编程SIS允许不安全状态

攻击者可重新编程SIS允许持续出现的不安全情况，增加出现物理破坏的风险，譬如SIS功能缺失可能会影响到设备、产品、环境和人身安全。

重新编程SIS允许不安全状态，并利用DCS导致风险

攻击者可从DCS操控进程进入不安全状态，并导致SIS无法正常工作，这可能对人身安全和环境造成影响，或者直接破坏设备，具体取决于进程的物理限制和工厂的设计。

为了能够更加有效的对该病毒进行防御，相关人员给出了以下几点安全建议：

技术可行的情况下，将安全系统网络、进程控制、信息系统网络进行隔离。能够对SIS控制器进行编程的工程工作站不应双宿任何其他DCS进程控制器以及信息系统网络上。

利用硬件功能物理控制程序安全控制器，这通常是由物理钥匙控制的开关。Triconex控制器上，除了定期编程事件期间，其他时间钥匙不应处于PROGRAM模式。

更改钥匙位置要执行变更管理流程，定期审计当前钥匙状态。

对任何依赖于SIS所提供数据的应用，用单向网关而不是双向网络进行连接。

在所有可以通过TCP/IP到达SIS系统的服务器或工作站上，执行严格访问控制与应用白名单。

在Monitor ICS网络通讯中监控非预期通讯流量及任何异常行为。

作为第三种能够破坏工业流程的计算机病毒，TRITON病毒的威胁性应该不输其“前辈”Stuxnet和BlackEnergy。希望相关机构能够汲取教训，做好安全防范措施，不要让震网事件以及乌克兰断电事件重演。