この記事は2019年10月10日に更新されました。
最近の産業セキュリティ関連のニュースでは、Industroyer(CrashOverride またはWin32/Industroyerとしても知られる)に注目が集まっている。物理的なインフラ(特に電力網)を破壊するために設計・配備された高度なマルウェアは、Stuxnet以来のことだ。Industroyerは、2016年12月17日にウクライナで発生し、首都キエフの広い地域の電力を停止させた攻撃に使用されたと考えられている。
Industroyerは、変電所のスイッチやサーキットブレーカーを直接制御するために、電力供給インフラで世界的に使用されている産業用通信プロトコルを採用している。Industroyerは、プロトコルが使用されるように設計された方法でプロトコルを使用するため、高いレベルでは検出や軽減が困難であることが懸念される。さらに、これは設定可能なペイロードを持つツールセットとして設計されており、有能な攻撃者の手にかかれば、複数の環境に適応させることができる。
幸いなことに、この種のマルウェアの存在を特定し、その影響から防御するのに役立つ高度なICS侵入検知が利用できる。Industroyerキャンペーンのフェーズと、この脅威を防御するために異常検知とルール機能がどのように連携しているかを検証してみよう。
Industroyerマルウェアキャンペーンの3つの主要フェーズ
他の高度な持続的脅威と同様、Industroyerは複数の段階を経て目標を達成する。主な3つの段階は以下の通りだ:
第1段階 - 感染
この段階では、IndustroyerはICSに特化していない。ネットワーク上で自らを確立し、バックドアを使用して外部のC&C(Command and Control Sever)にビーコンを発信する。C&Cからのコマンドにより、攻撃のフェーズ2と3が開始されます。
フェーズ2 - ディスカバリー
Industroyerは、感染した送電網のネットワークと制御システムについて学習し、4つの標準的な産業用プロトコルを使用してコマンドを送信する。ホスト環境をマッピングし、主要なターゲットを特定することで、脅威の主体が特定の環境に害を及ぼすように調整された攻撃を設計することが可能になる。
フェーズ3 - 攻撃
このフェーズでは、マルウェアはホスト環境内の変電所のスイッチやサーキットブレーカーを直接制御することができます。目的を達成すると、データ・ワイパー・モジュールはマシンを使用不能にし、攻撃者の痕跡を消すのに役立ちます。
インダストロイダー/ クラッシュオーバーライドの緩和と修復
Nozomi Networks Guardian は、異常検知とルール分析のレイヤーアプローチを活用し、攻撃の3つの段階すべてでIndustroyerを迅速に発見します。
1.異常検知
異常検知は、Guardian の基本的な機能であり、正常なネットワークとプロセスの動作を学習し、不審な動作を検知する製品の機能である。フェーズ1では、Guardian 、IndustroyerがパブリックIPアドレスに接続しようとしていることを特定し、ダッシュボードや電子メールアラートで確認できるアラームを生成する。
Guardian 、標準的なコミュニケーション行動の変化を素早く特定する。
例えば、Industroyerがネットワーク上の全デバイスをスキャンする際に、異常なOPCトラフィックを検出する。また、これまで利用されていなかったプロトコルを利用するシステムや、プロトコルを利用する新しいネットワークの流れも特定することができます。これにより、ICSの専門家は直ちに改善措置を実施することができる。
フェーズ1と2で警告が出されるため、理想的にはフェーズ3を防ぐ行動がとられる。 しかし、攻撃がこのレベルまで進んだ場合、Guardian は、スイッチやサーキットブレーカーへの不規則なコマンドを迅速に検出することで支援する。これにより、セキュリティまたは運用スタッフは、さらなる攻撃コマンドを阻止するために新しいファイアウォールルールを導入することができる。
あるいは、フォーティネットのFortiGateのようなファイアウォールと統合することで、Guardian 、不正なコマンドを検出すると、攻撃をブロックするルールの実装を自動的にトリガーすることができる。
2.ヤラのルール
Yaraルールは、グローバルなIT研究者のオープンコミュニティによって構築されたマルウェアサンプルのリポジトリです。Guardian 、この知識をプラットフォームに組み込み、集合体が行うのと同じ速さで学習し、進歩することを可能にしています。現時点では、Guardian 、フェーズ1とフェーズ3のIndustroyerに関連する特定のファイルを識別する5つのYaraルールが含まれています。これらのファイルがネットワーク上で特定されると、アラームが発生する。
3.アサーション
アサーションは、ネットワークトラフィックのストリームから解析されたデータと特定のイベントの検出を可能にする、Guardian のルール構築およびクエリー機能である。アサーションは、デバイスの動作の微妙な変化を認識する適応的な方法であり、変化する脅威の状況において、オペレータが可能な限りプロアクティブになることを可能にする。アサーションは、Industroyerを特定するためにフェーズ1と3で使用することができる。
アサーションは、Guardianの異常検知やYaraルールと組み合わせて使用することで、ICS担当者がIndustroyerのような高度な脅威を特定し、軽減するための強力な手段となる。
異常検知とルールによるICSサイバーセキュリティの向上
Industroyerのようなマルウェアによるサイバー脅威の増加により、発電、変電所、電力網のオペレータは、強化されたICSサイバーセキュリティプログラムと戦略によって、システムの回復力を向上させる必要に迫られています。高度なマルウェア攻撃を防止し、修復を改善する方法を検討する際には、包括的な侵入検知がGuardian に含まれていることを知っておいてください。
その異常検知は、ある環境に対して設定されたベースラインと比較して、Industroyerが割り当てた特定のプロトコルの使用量の増加または変動を識別します。また、これらのプロトコルを使用していないシステムを特定し、そのプロトコルを使用している新しいネットワークフローを特定します。
YaraのルールはGuardian 、Industroyer感染に関する高い信頼性を提供するために活用することができ、他の侵害指標(IOC)を使用するよりも信頼性が高い可能性があります。
最後に、本製品のアサーション機能により、電力系統のオペレータは、データ・フローに異常なトラフィックや不規則な動作がないかチェックするための強力で柔軟かつ迅速な方法を得ることができる。
Industroyer / CrashOverrideからシステムを守るために、2つのリソースが利用可能です:
