2017年12月,安全研究人员发现了一款专门针对工控安全系统的恶意软件变体,该恶意软件主要以中东地区的重要基础设施为目标展开攻击,并成功造成中东多家能源工厂的运营中断。
成都创新互联公司是一家专注于成都网站设计、成都网站制作与策划设计,乐昌网站建设哪家好?成都创新互联公司做网站,专注于网站建设十多年,网设计领域的专业建站公司;建站业务涵盖:乐昌等地区。乐昌做网站价格咨询:18982081108
该恶意软件以施耐德电气生产的Triconex安全仪表控制系统(SIS)为攻击目标,所谓安全仪表系统(SIS),又称为安全联锁系统(Safety interlocking System),可以监测生产过程中出现的或者潜伏的危险,发出告警信息或直接执行预定程序,立即进入操作,防止事故的发生、降低事故带来的危害及其影响,是工业企业自动控制中的重要组成部分。
据悉,该恶意软件可以在攻陷SIS系统后,对SIS系统逻辑进行重编辑,使SIS系统产生意外动作,对正常生产活动造成影响;或是造成SIS系统失效,在发生安全隐患或安全风险时无法及时实行和启动安全保护机制;亦或在攻陷SIS系统后,对DCS系统实施攻击,并通过SIS系统与DCS系统的联合作用,对工业设备、生产活动以及人员健康造成破坏。因此,该恶意软件被研究人员命名为“TRISIS”(或TRITON)恶意软件。
虽然TRITON并不是第一个以工业控制系统(ICS)为攻击目标的恶意软件,但它确实用事实证明,曾经在很大程度上对网络威胁免疫的运营网络,现在正深受攻击者的青睐。
以下是迄今为止有关ICS恶意软件变体的简要历史记录:
2017- Triton/Trisys,详细内容上文已讨论。
由于大多数ICS环境缺乏可见性,因此,一旦攻击者获得对运营网络的访问权限,组织就很难识别恶意活动。
恶意软件攻击步骤
以下是对目标ICS恶意软件攻击的详细步骤分析:
步骤1:
攻击者成功在目标网络中立足并开始侦察活动,其中可能包含以下部分或全部内容:
步骤2:
攻击者把通过侦察活动收集到的信息提取到一个异地位置。这一过程可以通过将来自不同系统的内部消息传递给可以将其提取出来的单个位置来实现。
步骤3:
接下来,使用上述步骤1、2中收集到的信息,将恶意软件安装在可访问目标ICS系统的工作站上。这一过程可以通过网络或使用受感染的USB驱动器来完成。
步骤4:
在最后一个阶段中,恶意软件会取代现有的逻辑,并将新的梯形逻辑(一种编程语言)上传到控制器(PLC,RTU或DCS控制器)中。由于这一逻辑决定了自动化流程的执行方式,因此使用恶意有效负载进行更改或替换会导致系统、环境和人员的各种操作中断甚至物理损坏。
防御建议
由于一场成功的网络攻击是多阶段共同作用的成果,因此检测过程需要满足下述要求:
到目前为止,针对ICS环境的恶意软件不断崛起,这一现状对设施运营商而言也造成了不小的安全挑战。因为目前的运营网络甚至连最基本的安全机制(如访问控制和加密)都不具备,更不用说网络监控、威胁检测、日志记录和审计等功能了。
不过,值得庆幸的是,新的ICS定制安全技术正在不断涌现,以解决目前存在的这些威胁。
网站标题:工控恶意软件简史:从震网到Triton
本文网址:http://www.36103.cn/qtweb/news38/35788.html
网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联