TrisisやHatManとしても知られるTRITONは、重要インフラに直接物理的な影響を与えた数少ない既知のマルウェアフレームワークの1つです。2017年、TRITONはサウジアラビアのガス施設を攻撃するために使用され、安全計装システム(SIS)と直接対話し、遠隔操作しました。この攻撃の重要性を考慮し、Nozomi Networks は、マルウェアの多段階インジェクション技術がどのように機能するかをよりよく理解するために、マルウェアに関する研究を実施した。
私たちはTriconex SISコントローラを入手し、TRITONマルウェアの注入を含む通信に成功しました。生成されたネットワークトラフィックを使用して、Triconex Safety Systemsとの通信に使用される独自のTriStationプロトコルを解析することができました。
本日、TriStationプロトコル用のWiresharkディセクタ(Wireshark用TriStationプロトコルプラグイン)をリリースしました。このディセクタは、TriStation通信を含むネットワークトラフィックのパケットキャプチャ(PCAP)とともに、GitHubから無料でダウンロードできます。これらのツールは、研究者やICS組織がSISコントローラ通信を視覚的に明確に分解し、侵害やサイバーセキュリティリスクを特定するのに役立つことを目的としています。
TRITONの完全な分析は、攻撃のライブデモと2番目のTRITONツールとともに、2018年8月8日にFireEyeと共同で行う予定のBlack Hat USAのプレゼンテーションで紹介される予定です。
マイルストーン社のTRITON ICS攻撃でSISコントローラーがプログラム変更される
2017年12月、FireEye(完全な情報開示として、FireEyeはNozomi Networks )のパートナーである)は、TRITONと名付けた新種のICSマルウェアに施設を攻撃された産業事業者と最近協力したと報告した。この攻撃は、施設のSISを再プログラムし、故障状態に陥らせ、工業プロセスの自動シャットダウンを引き起こした。
このシャットダウンによってマルウェアが発見されたが、マルウェアのコードにプログラミング上の問題があったためと考えられている。TRITONは、プロセスそのものへの攻撃と同時に使用された場合、SISがプラントを安全にシャットダウンできないようにするためのものであった可能性が高い。
SISシステムは、重要なプロセスシステムが安全、健康、または環境事故を引き起こすのを防ぐように設計されている。プラントの自動化された防御の最終ラインであり(機械的防御も存在する)、複数の冗長システムを持つ特殊なPLCである。
このケースでは被害は発生しなかったが、この攻撃は高度なICSサイバー攻撃のステップアップを意味し、SISとの相互作用に成功した最初のものである。
ICSプロトコルを理解するためにWiresharkの解析が重要な理由
Nozomi Networks TRITONに関する調査中、Triconex Safety Systemsのコンポーネントが使用する独自のTriStationプロトコルに関する知識を拡大した。いくつかの知見は、マルウェア自体から得られたものです。また、NCM 4329/N/G通信モジュールを搭載したTriconexコントローラモデルMP 3008を使用して、当社のラボで生成されたライブトラフィックから得た知識もあります。
このトラフィックのPCAPはFireEyeと共有され、FireEyeはBSI(ドイツ連邦情報セキュリティ局)と協力して、TRITONを検出するためのパケットルールを開発した。
私たちはPCAPを独自に分析し、通信を説明できるツールがあれば非常に便利だと気づきました。通常、エンジニアはWiresharkと呼ばれるプログラムでネットワークトラフィックを傍受して分析する。Wiresharkは、キャプチャしたトラフィックに含まれる各バイトの意味を視覚的に説明する非常に柔軟なツールです。Wiresharkは、よく文書化された既知のプロトコルには有効だが、プロプライエタリなプロトコルを扱う場合には効果がない。この問題を克服するために、Wiresharkでは未知のプロトコルをどのように解釈するかを記述する独自のディセクタ(プロトコルパーサー)を作成することができます。ディセクタを作成するために使用される言語には、C++やLuaがあります。
TriStationはWiresharkが理解できないプロプライエタリなプロトコルなので、最初はパケットの内容が生データのように見えた。私たちは、各パケットに含まれるデータの解析方法をWiresharkに指示するLuaディセクタを開発しました。ディセクタをガイドとして、WiresharkはTriStationパケット内の各バイトの意味を記述し、アナリストが制御ネットワーク上を移動するTriStationデータを理解しやすくしました。
私たちのWiresharkディセクタは、次のような便利な機能を提供します:
- コミュニケーションの方向性を示す
- 機能コードを説明テキストに変換
- 送信されたPLCプログラムの抽出
- 接続されているハードウェアの識別
- ネットワーク通信におけるTRITONマルウェアの検出
ディセクタの機能はマルウェア解析の結果であり、攻撃者によるTriStationプロトコルのリバースエンジニアリングを反映したものであることを強調したい。
Nozomi Networks TriStation Wireshark DissectorがTRITON検出機能を搭載
さらに、TRITONの研究で得られた新たな知見に基づき、Wireshark用のTriStation Protocol Plug-inは、TRITONに関連する悪意のあるプログラムのアップロードを検出します。Wiresharkが侵入検知を行うための最も便利なツールではないことは承知していますが、私たちのディセクタは、パッシブ技術を使用してネットワーク上のICSマルウェアを特定することが可能であることを示しています。
Nozomi Networks / ブラックハットUSAにおけるファイア・アイTRITONブリーフィング
TRITONマルウェアの分析から多くの新たな知見を得ましたので、Black Hat USA 2018でご紹介します。8月8日に行われるFireEye社との提携によるプレゼンテーションをお見逃しなく:
TRITON: How it Disrupted Safety Systems and Changed Threat Landscape of Industrial Control Systems Forever
時間:11:15 am - 12:05 pm
場所:トレードウィンズEF
ブリーフィングの内容は以下の通り:
- 私たち自身の経験に基づき、脅威の主体が、標的となった機器、ファームウェア、文書をどのように入手できたか。
- 高度なマルウェアの開発に必要なリソースのレベル(時間、資金、専門知識)。
- マルウェアがシュナイダーエレクトリック社の安全シャットダウンシステム「Triconex」のコントローラにバックドアを多段階に侵入させるために使用した高度な手法は、コードの静的解析と動的解析の両方から導き出された。
- TRITONマルウェアが産業用ネットワーク上のTriconexコントローラー上で実行されるデモ。
- 攻撃者がペイロードの注入に失敗したと考えられる理由。
セキュアなSIS TriStationプロトコル用Wiresharkディセクタ
産業サイバーセキュリティ研究者または ICS オペレータの方は、ぜひ無料のNozomi Networks TriStation Protocol Plug-in for Wiresharkおよび TriStation PCAP をダウンロードしてください。これらは、SIS通信を理解し、侵害を特定し、リスクを評価し、安全計装システムを保護するのに役立ちます。
関連ダウンロード
