利用合法代码开发的工控恶意软件 Triton

聚焦源代码安全，网罗国内外最新资讯！

翻译：360代码卫士团队

最近出现的工控系统恶意软件Triton的开发人员逆向了一个合法文件，寄望于理解目标设备的运行原理。

Triton 也被称为 “Trisis” 和 “HatMan”，被发现于2017年8月并被指和伊朗存在关联，当时它攻击了中东地区的一家关键基础设施组织机构。Triton 针对施耐德电气使用 TriStation 专有网络协议的 Triconex 安全仪表系统 (SIS) 控制器发动攻击。Triton 利用的是影响 Triconex SIS 多个老旧版本的一个 0day 漏洞。

火眼公司的高阶实践团队 （AdvancedPractices Team）将 Triton 描述为一款恶意软件框架，并研究判断它是何时以及如何被创建的。

TriStation 协议旨在为个人计算机（如工程工作站）和 Triconex 控制器之间的通信而设计。由于并不存在该协议的公开文档说明，因此它并不容易理解，不过施耐德电气公司已通过 TriStation 1131 软件套件执行了它。

目前尚不清楚攻击者是如何获得测试 Triton 的硬件和软件。它们可能是从某个政府实体购买或借取的，也有可能软件是从使用 Triconex 控制器的工控公司或其它组织机构盗取的。

然而，火眼公司认为 Triton 的开发人员并非从零开始搭建 TriStation 通信组件。该公司分析认为黑客从合法库中复制了代码。

具体而言，研究人员发现 Triton 恶意软件中的代码和一款合法的 TriStation 软件文件（文件名为 tr1com40.dll）的代码之间存在多种相似之处。

虽然通过逆向合法的 DLL 文件可能帮助攻击人员理解了 TriStation 的工作原理，但 Triton 中的代码表明开发人员并未全部理解它。这可能导致攻击者在攻击关键基础设施组织机构中遇到了问题。Triton 在不慎导致 SIS 控制器触发安全关闭之后被曝光。安全专家认为攻击者之前可能一直在进行测试，试图判断如何可造成物理损害。

研究人员指出，6个月前尚未出现针对 Triconex 系统的恶意攻击，此后可能会出现如 Triton 等专门针对其它 SIS 控制器和相关技术的更多框架。工业网络安全公司 Dragos 最近报道称 Triton 攻击的幕后组织 Xenotime 仍在活跃，针对全球范围内的组织机构和安全系统发动攻击，而并非仅仅针对施耐德电气公司的 Triconex。

https://www.securityweek.com/triton-ics-malware-developed-using-legitimate-code