本日、私はBlack Hat USAで、画期的なマルウェア攻撃「TRITON」に関して講演するチームの一員となることができ、大変嬉しく思っています。共同プレゼンターは、産業サイバーセキュリティの専門家、マリーナ・クロトフィルと、Nozomi Networks の同僚、ユネス・ドラゴニです。
我々は、TRITONに関する新しい研究を発表し、TRITONを防御するための2つのツールをリリースし、我々の研究結果をまとめたホワイトペーパーを発表する。
TRITONマルウェア攻撃は、安全計装システム(SIS)と直接やりとりすることで、他の産業用サイバー攻撃を超えた。SISは、機器の故障や爆発・火災などの大惨事を防止するために設計された、産業施設の自動化された安全防御の最終ラインです。
この攻撃は、産業システムの "王冠の宝石 "との相互作用に成功しただけでなく、本日発表された我々の調査は、TRITONマルウェア・フレームワークを作成するために必要な労力、スキル、財源がそれほど高くないことを明確に示している。このことを考慮すると、資産所有者は、自社のSISを監視し、外部攻撃から保護するために直ちに行動すべきである。
私たちの新しいTRITON研究と、私たちが自由に公開したツールが、産業組織の安全管理にどのように役立つかを見てみよう。
TRITONマルウェアとその作成に要したリソースを理解する
TRITON攻撃についてよくご存じでない方は、以下のホワイトペーパーをダウンロードされることをお勧めする。私たちの観点からは、TRITONそのものと、その作成に必要なリソースのレベルを理解することを決意しました。また、産業界のオペレータが将来このような攻撃から制御システムを守るのに役立つ知見を得たいと考えました。
それはそれでいいのだが、何から手をつければいいのだろう?まず、「TRITONの作り方を理解する」ことを、私たちのセキュリティ・リサーチ・チームのメンバーであるアレッサンドロ・ディ・ピントと ユネス・ドラゴニに命じました。Younesは大学を卒業したばかりで、Alessandroは8年間のマルウェア解析の経験があります。彼らは、必要なリソースを「簡単な方法」で賢く入手し、マルウェア・フレームワークを作成するために必要なことだけに集中するというアプローチをとることにしました。
情報収集とSISのショッピング
TRITONのエンジニアリング・ツールセットを入手するために、チームはインターネットを駆使し、適切な人に適切な質問をした。あるものはネットサーフィンから、あるものはベンダー(シュナイダーエレクトリック社)のウェブサイトから、あるものは主要な専門家との相談から得た。最も良い情報源は、産業組織のオペレーション・スタッフとセキュリティ・スタッフに話を聞くことだった。
次のハードルは、トリコネックスのコントローラーを手に入れることだった。ここで "無料 "は終わり、チームは5~10万ドル程度の出費を余儀なくされた。eBayやAlibabaなどのウェブサイトを利用して、チームは動作環境を構築するのに必要な部品を集めた。この段階で留意しなければならなかったのは、すべてを連動させるためにはシステムに互換性がなければならないこと、トリコネックスは攻撃対象となったのと同じモデルでなければならないこと、そして解析中に1つがレンガ化した場合に備えてコントローラーのコピーを用意することだった。(最終的に、レンガは作られませんでした!)。
文書化されていないデバイス」を悪意のあるコードに変える
チームはエンジニアリング・ワークステーション・ソフトウェア、TriStation 1131 v4.9.0 (build 117) を入手し、そのバージョンを使って解析を行った。同ソフトウェアはファイル名が詳細に記述されており、ソフトウェアアーキテクチャとその一般的な構造を理解するのに役立った。
ソフトウェアをリバース・エンジニアリングした結果、チームはハードコードされた認証情報を持つ、文書化されていない2つのパワーユーザーも発見した。パワーユーザーのログインの1つは、隠しメニューを有効にしていた。
文書化されていないユーザーについて、いくつかの重要なコメントがある。第一に、私たちの調査では、TRITONマルウェアとこの隠しメニューの間に関連はなく、マルウェアはこれらの文書化されていないユーザーを利用していませんでした。第二に、これらの文書化されていないユーザーは、シュナイダーエレクトリック社によれば、TriStation 1131 v4.9.0およびそれ以前のバージョンにのみ存在する。
このホワイトペーパーでは、チームが「tr1com.dll」ファイルを解析して、エンジニアリング・ワークステーションとTriconexコントローラー間の通信に使用されるTriStation独自のプロトコルを理解したことが説明されています。また、「TR1HWDEF.HWD」ファイルをリバース・エンジニアリングして(脅威の主体では行われなかった)、ハードウェア情報を解析し、ハードウェア定義リストを提供しました。TS-cnames.pyc」ファイルを逆コンパイルして抽出し、ネットワーク「TriStation Protocol」で使用されるファンクションコードの説明を入手した。
マルウェア解析とワークステーション・ソフトウェアで行ったリバースエンジニアリング活動を組み合わせることで、チームはTriStationプロトコルを深く解剖した。これにより、産業組織や研究者がSIS通信を理解するためのツールを開発することも可能になった。
TRITONに対する防御:役立つ新しいツール
TRITONの解析により、チームはLuaスクリプトを使用した拡張Wiresharkディセクタを開発しました。 Wireshark用TriStationプロトコルプラグイン.これは2018年7月18日にリリースされ、以前のブログで紹介した。
TriStationプロトコルを使用するエンジニアにとって便利な機能がいくつかあります:
- コミュニケーションの方向性を示す
- 機能コードを説明テキストに変換
- 送信されたPLCプログラムの抽出
- 接続されているハードウェアの識別
- ネットワーク通信におけるTRITONマルウェアの検出
彼らはまた、Triconexコントローラをシミュレートするツールを開発した。 トリコネックス・ハニーポット・ツールを開発した。これは、防衛チームが特定のシステム構成でSISコントローラをシミュレートし、ハニーポットのように使用して偵察スキャンを検出し、悪意のあるペイロードをキャプチャするために使用することができます。したがって、SISネットワークを標的とする未知のトラフィックを検出する上で有用な役割を果たすことができる。
どちらのツールも、TriStation PCAPとともにGithubで自由に利用できる。ICSコミュニティがSIS通信に関する知識を向上させるために、ぜひご活用ください。
TRITONの悪意あるペイロードの動作デモ
研究段階では、研究チームは、フィールドデバイスをコントローラに接続するなど、完全に動作するTriconexインフラを再現した。StuxnetのICSマルウェアを実証するために最初に使用されたセットアップのように、コンプレッサーと気球を取り付けた。
彼らが作成したプログラムは、コンプレッサーの膨張と収縮のプロセスを、特定の同期された継続的な方法で実行するよう監視する。その後、TRITONの機能を使用して、セキュリティ・スーパーバイザーの動作を変更するコマンドを注入し、バルーンを過膨張させ、最終的に爆発を発生させた。
TRITONが意味する産業制御システムの安全性
この20年間で、脅威行為者がICSサイバー攻撃を仕掛けることはますます容易になっている。より多くのツールや事例が容易に入手できるようになり、侵入者が必要とする知識やスキルのハードルが下がっている。
例えば、TRITONマルウェア・フレームワークや、過去2年間に発見された他の多くのICSマルウェア・フレームワークは、インターネット上で自由に入手できる。探す場所を知っている必要があるかもしれないが、見つけることは不可能ではない。これらのフレームワークは、比較的プログラミングスキルの低い人でも、高度な攻撃を仕掛けることができる。
実際、私たちの調査によれば、TRITONマルウェアのフレームワークを作成するために必要な労力、スキル、資金的リソースは、取るに足らないものではないものの、それほど高いものではありません。サイバー攻撃実行の難易度は、各施設のサイバーセキュリティ防御、ネットワーク・アーキテクチャ、設備によって異なるものの、マルウェアの開発自体に高いレベルのリソースは必要ない。
私の考えでは、未知の結果や報復のリスクがあるため、重要インフラサービスに大きな混乱をもたらすサイバー攻撃はまだ起きていない。石油・ガス施設や送電網への攻撃は制御が難しく、間違いなく多くの巻き添え被害をもたらすだろう。このことが報復のリスクと相まって、攻撃者を寄せ付けないのかもしれない。
資産家の皆さんには、産業用ネットワークとSISを監視し、外部からの攻撃から守るために、今すぐ行動を起こすことをお勧めします。私たちのホワイトペーパーとTRITONのツールは、その助けとなるでしょう。
