首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

利用合法代码开发的工控恶意软件 Triton

聚焦源代码安全,网罗国内外最新资讯!

翻译:360代码卫士团队

最近出现的工控系统恶意软件Triton的开发人员逆向了一个合法文件,寄望于理解目标设备的运行原理。

Triton 也被称为 “Trisis” 和 “HatMan”,被发现于2017年8月并被指和伊朗存在关联,当时它攻击了中东地区的一家关键基础设施组织机构。Triton 针对施耐德电气使用 TriStation 专有网络协议的 Triconex 安全仪表系统 (SIS) 控制器发动攻击。Triton 利用的是影响 Triconex SIS 多个老旧版本的一个 0day 漏洞。

火眼公司的高阶实践团队 (AdvancedPractices Team)将 Triton 描述为一款恶意软件框架,并研究判断它是何时以及如何被创建的。

TriStation 协议旨在为个人计算机(如工程工作站)和 Triconex 控制器之间的通信而设计。由于并不存在该协议的公开文档说明,因此它并不容易理解,不过施耐德电气公司已通过 TriStation 1131 软件套件执行了它。

目前尚不清楚攻击者是如何获得测试 Triton 的硬件和软件。它们可能是从某个政府实体购买或借取的,也有可能软件是从使用 Triconex 控制器的工控公司或其它组织机构盗取的。

然而,火眼公司认为 Triton 的开发人员并非从零开始搭建 TriStation 通信组件。该公司分析认为黑客从合法库中复制了代码。

具体而言,研究人员发现 Triton 恶意软件中的代码和一款合法的 TriStation 软件文件(文件名为 tr1com40.dll)的代码之间存在多种相似之处。

虽然通过逆向合法的 DLL 文件可能帮助攻击人员理解了 TriStation 的工作原理,但 Triton 中的代码表明开发人员并未全部理解它。这可能导致攻击者在攻击关键基础设施组织机构中遇到了问题。Triton 在不慎导致 SIS 控制器触发安全关闭之后被曝光。安全专家认为攻击者之前可能一直在进行测试,试图判断如何可造成物理损害。

研究人员指出,6个月前尚未出现针对 Triconex 系统的恶意攻击,此后可能会出现如 Triton 等专门针对其它 SIS 控制器和相关技术的更多框架。工业网络安全公司 Dragos 最近报道称 Triton 攻击的幕后组织 Xenotime 仍在活跃,针对全球范围内的组织机构和安全系统发动攻击,而并非仅仅针对施耐德电气公司的 Triconex。

https://www.securityweek.com/triton-ics-malware-developed-using-legitimate-code

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180608B1NU3G00?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券