欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

再度瞄准工控设备基础设施:针对TRITON恶意活动的详细分析

来源:本站整理 作者:佚名 时间:2019-04-15 TAG: 我要投稿

FireEye近期确认TRITON恶意活动正在针对一个新的关键基础设施发动攻击,我们目前已经对该恶意行为采取了响应措施。
2017年12月,FireEye公开发布了我们针对TRITON攻击的第一次分析,其中恶意攻击者使用TRITON自定义攻击框架,对关键基础设施工厂的工业安全系统发起攻击,并无意中导致生产过程中断。在随后的研究中,我们分析了攻击者是如何获得构建TRITON攻击框架所需的关键组件的访问权限。在我们最近的分析中,我们认为TRITON恶意活动与位于莫斯科的技术研究机构有所关联,这些机构归属俄罗斯政府所有。
TRITON的入侵始终笼罩在迷雾之中。安全研究人员已经围绕TRITON框架以及对目标站点的影响进行了一些公开的讨论,但在讨论中很少或者完全没有涉及到关于与入侵生命周期相关的策略、技术与流程(TTP)的信息,也没有分析攻击者是如何逐步深入攻击,最终影响工业流程的。TRITON框架以及攻击者使用的入侵工具,都是人工构建和部署的,而一旦涉及到人工进行的步骤,就一定有人为的策略、偏好、入侵操作模式以及自定义工具的特点。我们将目标定位为讨论这些攻击者使用的方法,并重点分析恶意开发者、恶意运营者和其他人员是如何在入侵中使用这些自定义工具的。
在本报告中,我们继续研究攻击者的运营模式,特别关注威胁行为者在目标攻击生命周期的早期阶段,所选择的自定义信息技术(IT)工具和策略(如下图所示)。本报告中的情报信息来源于FireEye Mandiant执行的多个与TRITON恶意活动相关的事件应急响应。
使用本文中描述的方法,FireEye Mandiant事件响应人员在第二个关键基础设施中,发现了来自该威胁行为者的其他入侵活动,包括他们使用了新的自定义工具集。因此,我们强烈建议工业控制系统(ICS)资产的负责人能充分利用本文中所包含的指标、TTP和检测方法,来改进防御机制,从而及时发现网络中可能潜藏的恶意活动。
如果需要寻求IT和运营技术(OT)事件应急响应支持,可以联系FireEye Mandiant。如果希望获取有关TRITON和其他网络威胁的更深入分析,可以考虑订阅FireEye Cyber Threat Intelligence。
FireEye的SmartVision技术通过监控IT和OT网络中的东西向流量,在横向移动的过程中搜索攻击者,降低了攻击最终到达敏感工业控制系统进程的风险。这非常适合于在复杂的工业控制系统中寻找入侵者,因为攻击者会通过两种环境都可以访问的系统,从公司IT网络迁移到OT网络,简单的外围防御远远无法实现监测与阻断。

攻击者:利用各种自定义和商品化入侵工具
在针对目标的整个攻击生命周期中,恶意攻击者利用数十种自定义和商品化的入侵工具,来获取和维护对目标IT和OT的访问。FireEye Mandiant发现的一系列自定义工具,将在本文后面的附录中列出,同时也列出了哈希值。附录A、附录B和附录C中,提供了这些工具的发现规则和技术分析,以及MITRE ATT&CK JSON原始数据。

攻击者的自定义工具,通常可以反映出商品化工具的功能,这些工具似乎是专门为了逃避反病毒检测而开发的。该恶意组织经常利用自定义工具,因为他们似乎正在解决反病毒检测的问题,或者正在处于入侵的关键阶段。举例来说,在获得对工业工作站的访问权限之前,恶意攻击者会重点利用IT和OT DMZ中的自定义后门。例如,他们使用Mimikatz(公开的工具)和SecHack(自定义工具)进行凭据窃取,而这两种工具都具有非常相似的输出结果。

攻击者:致力于长期持续进入目标环境
在复杂的工业控制系统攻击中,攻击的生命周期通常要以年为单位来衡量。攻击者需要很长时间来准备这样的攻击,以便了解目标的工业流程,并构建自定义工具。这些攻击通常也可能由一些以准备应急方案为目的的国家进行(例如:安装像TRITON这样的恶意软件,以等待在合适的时机利用),这些国家不会立即发起攻击。在此期间,攻击者必须确保能够持续访问目标环境,否则可能会失去多年来努力的成果,并使得成本高昂的自定义工业控制系统恶意软件付之东流。我们所分析的本次攻击也不例外。在攻击者进入安全仪表系统(SIS)工程工作站之前,攻击者在目标网络中存在了将近一年。在此期间,他们似乎优先考虑的是恶意活动运营方面的安全性。
攻击者在企业网络上建立初步的立足点之后,TRITON攻击者将大部分精力都聚焦在获得对OT网络的访问上。他们没有开展间谍活动,例如:使用键盘记录器和截图抓取工具,或者浏览文件、泄露大量信息。实际上,攻击者所使用的大多数攻击工具都专注于网络侦察、横向移动以及维持目标环境中的存在。
攻击者使用多种技术来隐藏他们的恶意活动,掩盖他们的踪迹,并避免他们的工具被活动的反病毒软件发现。
1. 攻击者将恶意文件进行重命名,以使得它们看起来像是合法文件,例如KB77846376.exe,这是以Microsoft更新文件来命名的。
2. 攻击者经常使用模仿合法管理员活动的标准工具,大量使用RDP和PsExec/WinRM。
3. 在Outlook Exchange服务器上植入WebShell时,攻击者修改了现有合法的flogon.js和logoff.aspx文件。
4. 攻击者依靠基于SSH的加密隧道来传输工具和远程命令/程序执行。
5. 攻击者使用了多个暂存文件夹,并选择使用合法用户或进程不常使用的目录。
6. 攻击者在成功执行某一阶段攻击后,经常会删除投放的攻击工具、执行日志、分阶段进行渗透的文件以及其他文件。
7. 攻击者对暂存文件夹中的恶意工具进行了重命名,因此即使我们通过某些安全方式(例如:ShimCache记录或WMI最近使用的应用)从磁盘上发现并删除这些文件之后,也无法识别出恶意软件的用途。
8. 攻击者使用Timestomping的方法,来修改而已工具的$STANDARD_INFORMATION属性。

[1] [2] [3] [4]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载