再度对准工控装备基础设施:针对TRITON歹意运动的详细分析 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

再度对准工控装备基础设施:针对TRITON歹意运动的详细分析

申博_新闻事件 申博 158次浏览 已收录 0个评论

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

概述

FireEye近期确认TRITON歹意运动正在针对一个新的症结基础设施提议进击,我们现在已对该歹意行动接纳了相应步伐。

2017年12月,FireEye公然宣布了我们针对TRITON进击的第一次剖析,个中歹意进击者运用TRITON自定义进击框架,对症结基础设施工场的产业平安体系提议进击,并没有意中致使生产过程当中缀。在随后的研讨中,我们剖析了进击者是怎样取得构建TRITON进击框架所需的症结组件的接见权限。在我们近来的剖析中,我们以为TRITON歹意运动与位于莫斯科的手艺研讨机构有所联络关系,这些机构归属俄罗斯当局一切。

TRITON的入侵一向笼罩在迷雾当中。平安研讨职员已缭绕TRITON框架和对目标站点的影响举行了一些公然的议论,但在议论中很少或许完整没有涉及到关于与入侵生命周期相干的计谋、手艺与流程(TTP)的信息,也没有剖析进击者是怎样逐渐深切进击,终究影响产业流程的。TRITON框架和进击者运用的入侵对象,都是人工构建和布置的,而一旦涉及到人工举行的步调,就一定有工资的计谋、偏好、入侵支配形式和自定义对象的特性。我们将目标定位为议论这些进击者运用的要领,并重点剖析歹意开辟者、歹意运营者和其他职员是怎样在入侵中运用这些自定义对象的。

在本申报中,我们继承研讨进击者的运营形式,迥殊存眷要挟行动者在目标进击生命周期的初期阶段,所挑选的自定义信息手艺(IT)对象和计谋(如下图所示)。本申报中的谍报信息来源于FireEye Mandiant实行的多个与TRITON歹意运动相干的事宜应急相应。

运用本文中形貌的要领,FireEye Mandiant事宜相应职员在第二个症结基础设施中,发清楚明了来自该要挟行动者的其他入侵运动,包孕他们运用了新的自定义对象集。因而,我们猛烈发起产业控制体系(ICS)资产的负责人能充分运用本文中所包罗的目标、TTP和检测要领,来革新防备机制,从而及时发明网络合可以或许躲藏的歹意运动。

若是须要追求IT和运营手艺(OT)事宜应急相应支撑,可以或许联络FireEye Mandiant。若是愿望猎取有关TRITON和其他网络要挟的更深切剖析,可以或许斟酌定阅FireEye Cyber Threat Intelligence。

FireEye的SmartVision手艺经由过程监控IT和OT网络合的东西向流量,在横向挪动的过程当中搜刮进击者,下降了进击终究抵达敏感产业控制体系历程的风险。这非常适合于在庞杂的产业控制体系中寻觅入侵者,由于进击者会经由过程两种情况都可以或许接见的体系,从公司IT网络迁移到OT网络,简朴的外围防备远远没法完成监测与阻断。

再度对准工控装备基础设施:针对TRITON歹意运动的详细分析

进击者:运用种种自定义和商品化入侵对象

在针对目标的全部进击生命周期中,歹意进击者运用数十种自定义和商品化的入侵对象,来猎取和珍爱对目标IT和OT的接见。FireEye Mandiant发明的一系列自定义对象,将在本文背面的附录中列出,同时也列出了哈希值。附录A、附录B和附录C中,供应了这些对象的发明划定规矩和手艺剖析,和MITRE ATT&CK JSON原始数据。

再度对准工控装备基础设施:针对TRITON歹意运动的详细分析

进击者的自定义对象,一般可以或许反映出商品化对象的功用,这些对象好像是特地为了回避反病毒检测而开辟的。该歹意构造常常运用自定义对象,由于他们好像正在处置惩罚反病毒检测的题目,或许正在处于入侵的症结阶段。举例来说,在取得对产业事情站的接见权限之前,歹意进击者会重点运用IT和OT DMZ中的自定义后门。比方,他们运用Mimikatz(公然的对象)和SecHack(自定义对象)举行凭证盗取,而这两种对象都具有非常类似的输出效果。

再度对准工控装备基础设施:针对TRITON歹意运动的详细分析

进击者:致力于临时延续进入目标情况

在庞杂的产业控制体系进击中,进击的生命周期一般要以年为单位来权衡。进击者须要很长时候来预备如许的进击,以便相识目标的产业流程,并构建自定义对象。这些进击一般也可以或许由一些以预备应急设计为目标的国度举行(比方:装置像TRITON如许的歹意软件,以等待在适宜的机遇运用),这些国度不会马上提议进击。在此时期,进击者必需确保可以或许延续接见目标情况,不然可以或许会落空多年来勤奋的效果,并使得本钱奋发的自定义产业控制体系歹意软件付之东流。我们所剖析的本次进击也不破例。在进击者进入平安仪表体系(SIS)工程事情站之前,进击者在目标网络合存在了快要一年。在此时期,他们好像优先斟酌的是歹意运动运营方面的平安性。

进击者在企业网络上竖立开端的立足点以后,TRITON进击者将大局部精神都聚焦在取得对OT网络的接见上。他们没有展开间谍运动,比方:运用键盘纪录器和截图抓取对象,或许阅读文件、泄漏大批信息。实际上,进击者所运用的大多数进击对象都专注于网络侦探、横向挪动和连结目标情况中的存在。

进击者运用多种手艺来隐蔽他们的歹意运动,掩饰他们的踪影,并制止他们的对象被运动的反病毒软件发明。

1. 进击者将歹意文件举行重定名,以使得它们看起来像是正当文件,比方KB77846376.exe,这是以Microsoft更新文件来定名的。

2. 进击者常常运用模拟正当管理员运动的规范对象,大批运用RDP和PsExec/WinRM。

3. 在Outlook Exchange效劳器上植入WebShell时,进击者修正了现有正当的flogon.js和logoff.aspx文件。

4. 进击者依托基于SSH的加密隧道来传输对象和长途敕令/顺序实行。

5. 进击者运用了多个暂存文件夹,并挑选运用正当用户或历程不常运用的目次。

6. 进击者在胜利实行某一阶段进击后,常常会删除投放的进击对象、实行日记、分阶段举行渗入的文件和其他文件。

7. 进击者对暂存文件夹中的歹意对象举行了重定名,因而纵然我们经由过程某些平安体式格局(比方:ShimCache纪录或WMI近来运用的运用)从磁盘上发明并删除这些文件以后,也没法辨认出歹意软件的用处。

8. 进击者运用Timestomping的要领,来修正罢了对象的$STANDARD_INFORMATION属性。

一旦进击者取得了对目标SIS控制器的接见权限,他们的存眷点好像就只转移到对胜利布置的TRITON连结延续的可接见性。从计谋上来看,进击者之所以限定其运动,是为了削减被发明的风险

1. 该进击者在分布式控制体系(DCS)上取得了立足点,但没有运用该接见权限来相识工场的支配流程、盗取敏感信息、改动DCS控制器或支配流程。

2. 随后,进击者取得了SIS工程事情站的接见权限。从这时候最先,进击者将大局部精神集合在运用TRITON进击框架供应后门Payload和后门Payload的革新上。

3. 进击者试图经由过程在非事情时候与目标控制器举行交互,来下降在高风险运动中被发明的时机。如许将确保现场有更少的事情职员能对歹意支配控制器引发的潜伏告警做出回响反映。

4. 进击者重定名了他们的文件,以使这些文件看起来正当,比方他们运用了trilog.exe,这是以正当的Schneider Electric运用顺序定名。

歹意运动:最少从2014年最先运营

我们对该歹意构造运用的自定义入侵对象举行了剖析,发明该团队从2014年以来一向在运营歹意运动。值得注意的是,FireEye从未发明任何进击者的自定义对象,只管个中的很多对象可以或许追溯到几年前的IoC。基于这个现实,再加上歹意构造对运营平安性的猛烈兴致,配合表清楚明了除在本文中所剖析的第二次入侵,进击者可以或许还针对其他目标情况提议了进击,并且曾胜利猎取权限,或许到现在依然保留了权限。

1. 在观察时期,我们规复了用于竖立初始立足点的后门样本,该样本基于Cryptcat编写,在2014年被歹意构造上传到歹意软件的测试情况。

2. 基于Cryptcat和PLINK的后门从2014年4月28日最先天天实行一次,运用ProgramDataUpdater和NetworkAccessProtectionUpdateDB义务。该日期与观察到的入侵时候节点无关,可以或许注解要挟参与者初次建立这些持久性机制的日期。

3. NetExec.exe是一个自定义横向挪动和长途敕令实行对象,其自称为“NetExec 2014 by OSA”。

4. SecHack.exe(By OSA)是一种自定义凭证网络和侦探对象,于2014年10月23日编译完成。

5. 进击者运用盗版的Wii.exe,这是一种公然的文件索引对象,自2010年该对象取得受权,自2014年以来一向没有更新。

工控启示录:优先斟酌IT和OT中Windows体系的检测与防备

大多数庞杂的产业控制进击,都将Windows、Linux和其他经常使用的IT体系(位于IT或OT网络合)作为终究目标。此前碰到的一些案例包孕:运用盘算机接见目标可编程逻辑控制器(PLC)(比方:Stuxnet)、直接与衔接互联网的人机界面(HMI)(比方:BlackEnergy)举行交互、猎取对工程站的长途接见并操控长途终端单位(RTU)(比方:INDUSTROYER)、沾染SIS可编程逻辑控制器(比方:TRITON)。

若是防备者可以或许有针对性地专注于阻挠这些体式格局的进击行动,那末防备者就会具有很多症结上风。并且,这些上风只会跟着IT和OT体系的赓续融会而越来越大。

1. 进击者一般会在大多数进击生命周期中,在IT体系留下较大的后续运用空间。

2. 防备者应当全力在进击生命周期的初期阻挠进击者。一旦进击者抵达目标ICS,致使负面效果的可以或许性和进击者对目标要挟的严峻水平将会急剧增添。

3. 现在,有很多成熟的平安对象、效劳和其他已有的功用,可以或许用于在“管道”体系中举行防备和搜刮。

防备者:运用已知对象和TTP来寻觅TRITON进击者

该歹意构造的汗青运动,展示了他们壮大的自定义对象开辟才能。这些对象集背地的开辟职员,高度依靠现有的软件框架,并对其举行修正,从而最好地效劳于入侵支配。开辟职员熟习端口、协定、持久性机制,并且熟习歹意软件的支配流程。

只管支撑歹意运动的开辟团队的偏好可以或许会跟着时候的推移而发生变化,但相识这些内容关于肯定其TTP是不是适用于其他歹意软件开辟职员和要挟参与者依然非常有用。另外,进击者可以或许在其他目标网络上取得了立足点,这也超出了本文中所议论的局限。在这类情况下,接纳追溯性佃猎的设计将有助于防备者辨认和提防歹意运动。

基于我们对开辟职员偏好及进击者要领的剖析,我们可以或许运用种种具有保真度和要挟密度的检测与搜刮划定规矩,来增强更普遍的TTP的可见性。这些划定规矩的编写使得辨认和分类潜伏的歹意样本成为可以或许,同时也竖立了新的归类来寻觅目标进击者的运动。

我们针对这一构造的歹意运动所提取的TTP,纷歧定是具有排他性的,在特定场景下也有可以或许不是歹意行动致使的。然则,FireEye构建的TTP配置文件可用于搜刮网络和终端运动中的歹意形式。这些TTP不只可以或许用于发明入侵的证据,并且个中包罗了针对与进击者偏幸的手艺具有猛烈堆叠的运动的辨认,可以或许有用发明这一特定歹意构造的潜伏运动,进一步增强事宜相应事情。

下表中供应了有关进击者运用自定义对象的行动形式,和用于辨认该歹意运动及进击者其他运动的相干目标。与此同时,我们也运用了MITRE ATT&CK框架来展示进击者的进击体式格局(拜见附录C:MITRE ATT&CK)。

1. 借助XML触发器,运用设计义务完成持久性

· ATT&CK:T1053

检测发起:查找新增或非常的援用未署名.exe文件的义务设计XML触发器。

2. 经由过程IFEO注入完成持久性

· ATT&CK:T1183

门罗币挖矿+远控木马样本剖析

近日,威胁情报小组在对可疑下载类样本进行分析时,发现一起门罗币挖矿+木马的双功能样本。该样本会在执行挖矿的同时,通过C2配置文件,到指定站点下载具有远控功能的样本,获取受害主机信息,并进一步控制受害主机。 详细分析过程: 样

· 检测发起:在注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下查找援用.exe文件的修正项和新增项。

3. 运用硬编码的DNS效劳器建立敕令与控制(C2)

· 检测发起:查找以8.8.8.8:53为目标举行DNS查询的PE实行。这可以或许适用于沙箱和其他歹意软件处置惩罚手艺。

4. C2运用盛行的C2ports

· ATT&CK:T1043

· ATT&CK:T1065

· 检测发起:在罕见和非罕见端口上(比方:443、4444、8531和50501)查找具有与该端口所对应协定不婚配的出站衔接。

5. C2运用假造专用效劳器(VPS)基础设施

· ATT&CK:T1329

· 检测发起:查找与非规范IP局限之间的入站和出站衔接,迥殊是来自OVH和UK-2 Limited(uk2.net)等国际VPS供应商的衔接。

6. 带有连字符的C2域名

· 检测发起:寻觅新观察到的包罗连字符的2LD和3LD域名。

7. 运用来自fear.org的动态DNS域名的C&C

· ATT&CK:T1311

· 检测发起:寻觅新观察到的具有或注册fear.org的动态DNS域名。

8. 运用vfemail.net电子邮件地点注册的C2域名

· 检测发起:在新观察到的域名或DNS剖析中,寻觅包罗vfemail.net的注册邮件信息。

9. 运用PLINK完成RDP隧道通讯

· ATT&CK:T1076

· 检测发起:运用事宜日记、防火墙日记和注册表项,查找是不是存在PLINK和非规范的RDP用法。可以或许参考FireEye博客文章《经由过程RDP隧道绕过网络限定》。

可以或许查找底本不该经由过程RDP接见敏感体系的用户帐户下的位图缓存文件,从而查找内部RDP透视。查找默许帐户、效劳帐户或管理员帐户下的bcache22.bmc等位图缓存文件,或许任何不愿望对受珍爱的OT衔接地区中的敏感体系举行内部RDP接见的帐户,迥殊是在DMZ或许DCS地区(比方:HMI),或许是工程事情站。

10. C2运用硬编码的SSH私钥

· 检测发起:查找具有硬编码OpenSSH私钥的PE。

11. 运用RDP直接衔接

· ATT&CK:T1076

· 检测发起:查找具有默许主机信息、非规范或非常的地区设置ID,或包罗其他元数据的入站RDP衔接。可以或许参阅FireEye有关RDP运动基线的博客文章。

12. C2运用具有默许Windows主机名的源体系

· 检测发起:在PE证书、SSL和SSH证书、RDP握手中,查找婚配WIN-[A-Z0-9]{11}(比方:WIN-ABCDEFGH1JK)构造的默许Windows主机名。

13. C2运用SSH

· 检测发起:寻觅新增的、奇特的或许非常的SSH会话。纪录SSH密钥和指纹,可以或许轻松疾速地辨认歹意软件发生的非常会话。查找经由过程非默许端口举行的SSH会话。

14. 被攻下的VPN帐户

· ATT&CK:T1078

· 依据原帐户地位、IP地点、主机名联络关系等信息,寻觅非常的VPN登录。

若是运用基于短信息的多要素认证,可以或许查找您的员工地点国度之外注册的电话号码。

15. 歹意软件伪装成Microsoft正当组件

· 检测要领:查找PE元数据不婚配的PE,比方包罗“Bitvise”字符串的同时,在元数据中又包罗“Microsoft Corporation”二进制文件。

16. 运用自定义的Bitvise二进制文件

· 检测要领:查找具有Bitvise PDB途径字符串的PE文件,比方d:\repos\main\ssh2\。

17. 运用自定义的OpenSSH二进制文件

· 检测要领:寻觅内容为“Microsoft openSSH client”的PE。

18. 运用自定义Cryptcat,但运用默许暗码

· 查找投放Cryptcat二进制文件或包罗Cryptcat字符串内容的PE,比方默许暗码“metallica”。

19. 经由过程PowerShell举行时候盘算

· ATT&CK:T1099

在PowerShell剧本或PowerShell敕令行条目中,查找时候戳敕令字符串,比方“.CreationTime=”。在PE编译时候之前,查找具有NTFS建立时候的PE。

20. 运用Visual Studio 2010,从开辟职员事情站布置带有调试信息的二进制文件。

· 检测要领:查找包罗默许或通用途径的PDB途径的PE,比方:

\Users\user\Documents\Visual Studio 2010\
\Documents\Visual Studio 2010\

21. 运用Thinstall封装歹意软件

· 检测要领:查找内容为“thinstall\modules\boot_loader.pdb”的PE。查找SYSTEM用户在C:\Windows\SysWOW64\config\systemprofile\AppData\Roaming\Thinstall\高低文中建立的假造化文件中是不是包罗Thinstall二进制文件。

22. 运用局部偏好的目次举行文件的支配、暂存和实行

· 检测要领:在以下目次中,查找新增或非常的二进制文件:

C:\Windows\system32\inetsrv\
C:\Windows\temp\
C:\Windows\SysWOW64\wbem
C:\Windows\SysWOW64\drivers
C:\Windows\SysWOW64
C:\Windows\system32\wbem\
C:\Windows\system32\drivers\
C:\Windows\system32\
C:\Windows\
C:\Users\Public\Libraries\
C:\Users\administrator\appdata\local\temp\
C:\ssh\
C:\perflogs\admin\servermanager\ssh\
C:\perflogs\admin\servermanager\
C:\perflogs\admin\
C:\perflogs\
C:\cpqsystem\
C:\hp\hpdiags\
C:\hp\bin\log\

瞻望

在平安社区中,常常会迥殊存眷产业控制体系歹意软件,重要在于这一系列的歹意软件非常新鲜,并且在野外很少被发明。我们以为,防备者在视图辨认或阻挠以产业控制体系为中心目标的入侵行动时,应当更多存眷所谓的“管道”体系。

我们在第二个症结基础设施中发清楚明了这一要挟行动者,为了可以或许进步平安社区对这一要挟信为者在2014年至2017年之间的才能和歹意运动的人士,我们分享了我们关于这一歹意构造TTP的所控制谍报和对自定义对象的剖析效果。我们勉励产业控制体系资产的一切者,可以或许运用本申报中包罗的检测划定规矩和其他信息,来寻觅相干运动。由于我们以为,这一要挟参与者极可以或许同样在其他目标网络合存在。

附录

附录A:发明划定规矩

附录B:自定义进击对象的手艺剖析

附录C:MITRE ATT&CK JSON原始数据

门罗币挖矿+远控木马样本剖析

近日,威胁情报小组在对可疑下载类样本进行分析时,发现一起门罗币挖矿+木马的双功能样本。该样本会在执行挖矿的同时,通过C2配置文件,到指定站点下载具有远控功能的样本,获取受害主机信息,并进一步控制受害主机。 详细分析过程: 样


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明再度对准工控装备基础设施:针对TRITON歹意运动的详细分析
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址