对工控安全威胁最大的五个恶意软件.docx
《对工控安全威胁最大的五个恶意软件.docx》由会员分享,可在线阅读,更多相关《对工控安全威胁最大的五个恶意软件.docx(4页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、对工控平安威胁最大的五个恶意软件目录编者按1Triton/Trisis 11. Incontroller/PipeDream 2Industroyer/CrashOverride 32. BlackEnergy 3Havex 4编者按提到工控系统恶意软件,人们首先会想第一个能直接攻击0T网络的震网 病毒(Stuxnet),但是震网病毒之后,又涌现大量新型恶意软件,对工控系统 构成严重威胁。近年来,针对工控系统的恶意软件正变得更加复杂且易用。最初的震网病 毒需要通过U盘来潜入伊朗设施,但最新的工控恶意软件工具可通过网络远程 攻击。“较新的0T恶意软件可以通过跨0T网络的中间系统远程部署,使攻击者
2、 更方便地使用它来对付目标。Mandiant的平安研究人员Kapellmann Zafra指 出:“新的工控系统恶意软件更加灵活,可以定制修改,以针对多个目标进行 部署。”Rapid7的首席平安研究员Deral Heiland那么指出,针对工控系统的新型恶意 软件通常利用目标ICS/SCADA环境的正常功能以及相关的管理和控制协议。攻 击者对曾经相对闭塞和晦涩的ICS/SCADA通信协议(例如Codesys和Profinet) 有了更好的理解,并正在利用这些知识开发更复杂的工具。以下是震网病毒之后,专为攻击工控系统而设计的五大恶意软件:1. Triton/TrisisTriton/Trisis
3、被用于2017年针对沙特阿拉伯炼油厂的攻击。该恶意软件针 对施耐德电气的平安仪表系统S)Triconex的多个型号的设备,这些设备被炼油 厂用于监控工厂的管理和硫回收系统。如果恶意软件按预期工作,它可能会引 第1页共5页发爆炸和设施内危险气体的释放。但施耐德电气SIS设备上的平安控制发现了 攻击者安装恶意软件的尝试,并触发了整个炼油厂的自动关闭。Triton/Trisis针对炼油厂的施耐德平安仪表系统而设计。因此,Dragos当时 评估该恶意软件不会对施耐德电气的其他客户环境构成威胁、。但Dragos评估 说,攻击者在攻击中使用的策略、技术和程序会被其他人复制。Mandiant发现该恶意软件有
4、多种功能,包括读写程序和查询施耐德SIS控 制器的状态;向控制器发送特定命令,例如“停止”;并使用恶意负载远程重 新编程它们。Mandiant的Kapellmann Zafra透露:“Triton之所以特别危险,是因为它针 对的是平安系统,这意味着可能存在物理破坏的意图。”他说,该恶意软件针 对特定的资产,此类资产通过一种几乎没有记录的专有协议进行通信,这意味 着攻击者可能需要对工控设备进行逆向工程来开发恶意软件。2. Incontroller/PipeDreamIncontroller/PipeDream是最近才发现的专门攻击工控系统的恶意软件威 胁。美国网络平安和基础设施平安局(CISA)
5、等机构已确定该恶意软件对液化天然 气和电力供应商等能源机构和组织构成严重威胁。Incontroller是Mandiant给该恶意软件的跟踪代号,包含三个恶意软件工 具,针对施耐德电气和欧姆龙的可编程逻辑控制器(PLC)以及任何基于开放平台 通信统一架构(OPC UA)的服务器。攻击者可使用该恶意软件对目标工业环境进 行侦察,并控制PLC,实施可能导致工厂中断、平安故障和潜在物理灾难的破 坏活动。值得注意的是,Incontroller/PipeDream并未利用任何漏洞来破坏目标系 统。相反,它使用Modbus和Codesys这两种常见的工业协议与PLC进行通信 和交互。据Dragos称,该恶意
6、软件利用本机功能的能力使其难以在工业环境中 被发现,该公司给该恶意软件分配的代号是PipeDream。Dragos将该恶意软件 归因于一个可能位于俄罗斯的威胁组织,称之为ChernoviteoIncontroller/PipeDream的三个主要组件是:一个从OPC环境中扫描和收集 数据的工具;一个可以通过Modbus和Codesys识别Schneider和其他基于第2页共5页Modbus的PLC并与之交互的框架;以及专门设计用于通过HTTP和Telnet攻击 Omron设备的工具。目前,Mandiant正在跟踪Tagrun、Codecall和Omshell这三种威胁。Mandiant高级技术
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 安全 威胁 最大 五个 恶意 软件
限制150内