TRITON病毒可渗透关键基础设施，导致工控系统关机

据美国安全厂商FireEye报告：民族国家黑客使用了一款名为TRITON的恶意软件渗透了一个关键基础设施的安全系统，导致了工控系统关机。该恶意软件对施耐德电气SE运行安全系统（Triconex安全仪表系统，简称SIS）的工作站进行远程控制，然后试图重新编程用于监视工厂的控制器。

TRITON是迄今为止发现的第三种能够破坏工业流程的计算机病毒。前两种是震网Stuxnet和用于2016年底攻击乌克兰电力系统的BlackEnergy。

据研究人员分析，导致工控系统关机很可能是为了最终造成物理破坏，而且很可能是国家发起的攻击行为。目前FireEye已将此事汇报给了美国国土安全部。

病毒工作原理

TRITON病毒可以与SIS控制器通讯（例如发送halt等特定命令，或读取其内存内容），并利用攻击者定义的负载对其远程重新编程。安全研究人员捕获的TRITON病毒样本将攻击者提供的程序添加到Triconex控制器的执行表中，如果控制器失效，TRITON会尝试让程序进入运行状态。在一定的时间窗口后控制器仍未恢复的话，样本会用无效数据覆盖恶意程序以掩盖其踪迹。

攻击者可以利用TRITON病毒执行以下攻击

攻击方式 1:利用 SIS关闭进程

攻击者可以重新编程SIS逻辑，导致其在安全状态下也会关闭进程，也就是触发误报。进程关闭期间及大型工厂在关闭后的启动流程都会造成巨大的经济损失。

攻击方式 2: 重新编程SIS允许不安全状态

攻击者可以重新编程SIS允许持续出现不安全的情况，增加了出现物理破坏的风险，例如，SIS功能缺失可能会影响设备、产品、环境和人身安全。

攻击方式 3: 重新编程SIS允许不安全状态，并利用DCS导致风险

攻击者可以从DCS操控进程进入不安全状态，并导致SIS无法正常工作，这可能对人身安全、环境造成影响，或者直接破坏设备，具体取决于进程的物理限制和工厂的设计。

安全建议

技术上可行的话，将安全系统网络与进程控制和信息系统网络进行隔离。能够对SIS控制器进行编程的工程工作站不应双宿在任何其他DCS进程控制器或信息系统网络上。

利用硬件功能物理控制程序安全控制器，这通常是由物理钥匙控制的开关。在Triconex控制器上，除了定期的编程事件期间，其他时间钥匙不应处于PROGRAM模式。

更改钥匙位置要执行变更管理流程，定期审计当前的钥匙状态。

对于任何依赖于SIS所提供数据的应用，使用单向网关而不是双向网络连接。

在所有可以通过TCP/IP到达SIS系统的服务器或工作站上，执行严格的访问控制和应用白名单。

在ICS网络通讯中监控非预期的通讯流量及其他异常行为。

- END -