求转发,求关注,给我点阳光我灿烂
一、
Triton 恶意软件针对工业系统进行了最新一代的攻击
此前火眼已经公布了俄罗斯研究所正在支持这项活动,详情如下:
开篇主要是回忆过去针对工业系统的攻击活动
正文
经过分析发现,Triton针对的是由施耐德电气分销的Triconex安全控制器。
据该公司称,Triconex安全控制器用于18,000家工厂(核能,石油和天然气炼油厂,化工厂等)。对SIS的攻击需要专业的理解过程(通过分析获取的文档,图表,设备配置和网络流量)。
SIS是针对物理事件的最后一种保护措施。
最常用于过程(例如,炼油厂,化学,核)设施,以提供保护。
例如:
高燃料气体压力启动关闭主燃料气阀的动作。
高反应器温度启动打开冷却介质阀的动作。
高蒸馏塔压力启动打开压力排气阀的动作。
根据一项调查,攻击者可能通过鱼叉式网络钓鱼获得了访问网络的权限。在最初感染之后,攻击者移动到主网络以到达ICS网络并以SIS控制器为目标。
为了与SIS控制器通信,攻击者在端口UDP / 1502上重新编码了专有的TriStation通信协议。这一步表明他们投入时间对Triconex产品进行逆向分析。
Nozomi Networks创建了一个Wireshark解剖器,
(https://github.com/NozomiNetworks/tricotools)
非常便于分析TriStation协议和检测Triton攻击。以下屏幕截图显示了Triconex SIS返回的信息示例。Triton要求控制器的“运行状态”执行攻击的下一阶段。
上图中,Triconex回复了由Triton发送的请求 “Get Control Program Status”(获取控制程序状态)。
样本方面,
Triton(dc81f383624955e0c0441734f9f1dabfe03f373c)生成可执行文件trilog.exe,用于收集日志。
可执行文件是在exe中编译的python脚本。
该框架还包含library.zip(1dd89871c4f8eca7a42642bf4c5ec2aa7688fd5c),其中包含Triton所需的所有python脚本。
最后,两个PowerPC shellcode(根据目标架构变更)用于控制失陷主机。
第一个PowerPC shellcode是一个注入器(inject.bin,f403292f6cb315c84f84f6c51490e2e8cd8c686),用于注入第二个阶段(imain.bin,b47ad4840089247b058121e95732beb82e6311d0)
该后门允许对Triconex产品进行读,写和执行访问操作。
Triton的主要模块如下
检测手段
研究院使用Raspberry Pi修改了模拟Triconex安全控制器的脚本,以创建一个廉价的检测器工具。
https://github.com/NozomiNetworks/tricotools
这种廉价的工具可以很容易地安装在ICS网络上。如果发生非法连接,设备会发出闪烁的LED警报警报。它还显示连接的IP地址以供进一步调查。
下图显示了如何连接LED和蜂鸣器。
视频演示截图
报告中涉及样本ioc:
dc81f383624955e0c0441734f9f1dabfe03f373c:trilog.exe
b47ad4840089247b058121e95732beb82e6311d0:imain.bin
f403292f6cb315c84f84f6c51490e2e8cd03c686:inject.bin
91bad86388c68f34d9a2db644f7a1e6ffd58a449:script_test.py
1dd89871c4f8eca7a42642bf4c5ec2aa7688fd5c:library.zip
97e785e92b416638c3a584ffbfce9f8f0434a5fd:TS_cnames.pyc
d6e997a4b6a54d1aeedb646731f3b0893aee4b82:TsBase.pyc
66d39af5d61507cf7ea29e4b213f8d7dc9598bed:TsHi.pyc
a6357a8792e68b05690a9736bc3051cba4b43227:TsLow.pyc
2262362200aa28b0eead1348cb6fda3b6c83ae01:crc.pyc
9059bba0d640e7eeeb34099711ff960e8fbae655:repr.pyc
6c09fec42e77054ee558ec352a7cd7bd5c5ba1b0:select.pyc
25dd6785b941ffe6085dd5b4dbded37e1077e222:sh.pyc
相关链接(方便整理资料):
a. https://blog.schneider-electric.com/cyber-security/2018/08/07/one-year-after-triton-building-ongoing-industry-wide-cyber-resilience/
b. https://www.youtube.com/watch?v=f09E75bWvkk
c. https://ics-cert.us-cert.gov/sites/default/files/ICSJWG-Archive/QNL_DEC_17/Waterfall_top-20-attacks-article-d2%20-%20Article_S508NC.pdf
d. https://www.fireeye.com/blog/threat-research/2017/12/attackers-deploy-new-ics-attack-framework-triton.html
e. https://www.midnightbluelabs.com/blog/2018/1/16/analyzing-the-triton-industrial-malware
f. https://www.nozominetworks.com/2018/07/18/blog/new-triton-analysis-tool-wireshark-dissector-for-tristation-protocol/
g. https://github.com/NozomiNetworks/tricotools
h. https://cyberx-labs.com/en/blog/triton-post-mortem-analysis-latest-ot-attack-framework/
i. https://vimeo.com/275906105
j. https://vimeo.com/248057640
k. https://blog.talosintelligence.com/2017/07/template-injection.html
m. https://github.com/MDudek-ICS/TRISIS-TRITON-HATMAN
本文链接:
https://securingtomorrow.mcafee.com/mcafee-labs/triton-malware-spearheads-latest-generation-of-attacks-on-industrial-systems/
二、
攻击使用恶意的InPage文档和过时的VLC媒体播放器在目标系统安装后门
https://cloudblogs.microsoft.com/microsoftsecure/2018/11/08/attack-uses-malicious-inpage-document-and-outdated-vlc-media-player-to-give-attackers-backdoor-access-to-targets/
三、
Metamorfo银行木马继续对巴西进行投放,火眼之前发过类似攻击
https://blog.talosintelligence.com/2018/11/metamorfo-brazilian-campaigns.html
四、
Active Exploitation of Newly Patched ColdFusion Vulnerability (CVE-2018-15961)
一名疑似某APT小组通过直接上传China Chopper webshell来入侵ColdFusion服务器
https://www.volexity.com/blog/2018/11/08/active-exploitation-of-newly-patched-coldfusion-vulnerability-cve-2018-15961/
五
#僵尸网络#
僵尸网络Linux.Haikai源码分析
https://www.securityartwork.es/2018/11/08/analysis-of-linux-haikai-inside-the-source-code/
僵尸网络Linux.Omni分析
https://www.securityartwork.es/2018/11/08/analysis-of-linux-omni/
欢迎加入知识星球,第一手处理情报
扫一扫
350
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
