罕見又危險的工控系統惡意軟件-Incontroller - 網安 - 專業的網絡安全產業、社區、知識平臺

施耐德電氣可編程邏輯控制器(PLC)
歐姆龍（OMRON） Sysmac NEX PLC
開發平臺通訊統一架構（Open Platform Communications Unified Architecture，OPC UA)服務器

該惡意軟件包含一套針對ICS和SCADA設備的危險定制工具，一旦具對操作技術(OT)網絡的初始訪問權限，這些設備就可以掃描、破壞和控制受影響設備。

與烏克蘭當局本周早些時候宣布的industryer2 ICS惡意軟件一樣，新的惡意軟件被Dragos稱為 Pipedream，被Mandiant和施耐德電氣(Schneider Electric)稱為Incontroller，可以忽略操作技術（OT）環境，實現IT系統的訪問和控制。具體來說，該惡意軟件利用一個具有已知漏洞的ASRock主板驅動程序，幫助威脅行動者破壞IT或OT環境中Windows工作站。

APT通過這些模塊可以執行的操作包括：掃描目標設備、偵察設備詳情、向目標設備上傳惡意配置/代碼、備份或恢復設備內容、修改設備參數等。

此外，APT攻擊者可以使用一個工具來安裝和利用ASRock主板驅動程序AsrDrv103.sys中的一個漏洞。被標記為CVE-2020-15368。該缺陷允許在Windows內核中執行惡意代碼，加速IT或OT環境的橫向移動，以及破壞關鍵設備或功能。

參與者也有一個特定的模塊來攻擊其他ICS設備。施耐德電氣的模塊通過標準管理協議和Modbus (TCP 502)與設備進行交互。該模塊可允許行為者執行各種惡意行為，包括運行快速掃描以識別本地網絡上的所有施耐德PLC；暴力破解PLC密碼；進行拒絕服務(DoS)攻擊，阻止PLC接收網絡通信；或者實施“死亡數據包”攻擊，使PLC癱瘓等等。

APT工具的其他模塊針對歐姆龍設備，可以在網絡上掃描它們，并執行其他危害功能。

而且根據警報，OMRON模塊可以上傳一個代理，允許威脅行為者通過HTTP和/或超文本傳輸安全協議(HTTPS)連接和發起命令，如文件操作、數據包捕獲和代碼執行。

最后，一個允許入侵OPC UA設備的模塊，包括識別OPC UA服務器的基本功能，并使用默認或以前泄露的證書連接到OPC UA服務器。

什么是Incontroller惡意軟件?

在報告中，Dragos認為這種新的惡意軟件是已知第七種專門攻擊ICS的惡意軟件，也是第五種破壞工業流程的惡意軟件，“對工業控制系統和流程的可用性、控制和安全構成了明確而現實的威脅，危及操作和生命。”mandiant在一篇博客文章中表示，Incontroller“代表了一種非常罕見和危險的網絡攻擊能力。相當于2017年試圖關閉工業安全系統的Triton；2016年，Industroyer導致烏克蘭停電；以及在2010年前后破壞伊朗核計劃的震網病毒。”

Mandiant表示，Incontroller由三個組件組成。第一個是Tagrun，它掃描OPC(OLE[對象鏈接和嵌入] 過程控制)服務器，枚舉OPC結構/標簽，暴力破解憑證，并讀/寫OPC標簽值。OPC允許Windows程序與工業硬件設備通信。

第二個組件是CodeCall，這是一個使用Modbus(最常見的工業協議之一)和Codesys(工程控制系統自動化軟件)進行通信的框架。CodeCall所含模塊，至少能夠和三個施耐德電氣可編程邏輯控制器(PLC)交互、掃描和攻擊。

第三個組件是Omshell，它是一個框架，具有通過HTTP、Telnet和Omron FINS協議掃描某些類型的Omron PLC，并與之交互的能力。它還可以與歐姆龍的伺服傳動系統互動，后者使用反饋控制，傳遞能量到電機實現精密運動控制

偵察特定目標網絡可能選擇的目標

被惡意軟件盯上的的設備包括“機器自動化解決方案，其用例從支持簡單、重復的機器到分布式架構中復雜的模塊化機器，”Mandiant說，他高度懷疑威脅行為者“會隨機針對這些設備”。更有可能的是，他們被選中是因為對特定目標環境進行偵察。”Dragons表示，這些目標設備被用于許多垂直行業。但該公司估計，這種惡意軟件最有可能的目標是液化天然氣(LNG)和電力環境中的設備。

Dragos說，私營公司和政府機構之間的合作是“在惡意軟件針對基礎設施之前就分析其功能的罕見案例，這給了防護者一個獨特的提前準備的機會。”施耐德電氣也認同這一觀點，他說，私營公司和政府之間的工作“是在關鍵基礎設施受到威脅之前進行成功合作的一個實例，進一步強調了公共和私營伙伴關系對于在威脅發生之前主動發現和應對威脅是多么重要。”

ICS惡意軟件正變得越來越復雜

Mandiant的工業控制系統和操作技術總監Rob Caldwell告訴CSO:“這項公告的重點在于，這是一種非常罕見的工具。我們很少看到這種類型的控制系統、針對操作技術的工具。”

與Stuxnet或industroyer不同，Incontroller“更像是一個框架。它不只是針對一個特定的設備，盡管它可以。它還針對多種特定的設備，而且根據編寫的方式，可以擴展到潛在的更多類型的活動，”Caldwell說。“你很少看到所有這些功能集中在一起。所以，Incontroller最值得注意的一點就是，這些不同的組件彼此關聯，但針對的是不同類型的系統。”

ICS惡意軟件的這種演變變得更加復雜和危險，“正是OT攻擊者獲得更多技能、理解和能力的證據。就像他們在IT領域所做的一樣，隨著時間的推移，他們的工具會變得更加復雜。”

沒找到源頭，但情況表明是俄羅斯

所有參與聲明的人都同意，一個老練的組織對這個惡意軟件負責，但沒有人提供確切的來源。Mandiant說，考慮到惡意軟件的復雜性、制造它所需的專業知識和資源，以及它在財務動機上的有限使用，這個惡意件“很可能與一個國家資助的組織有關。”

不過，Mandiant暗示，間接證據初步指向俄羅斯。Mandiant說:“這項活動符合俄羅斯對ICS的歷史興趣。雖然我們將Incontroller與俄羅斯聯系起來的證據在很大程度上是間接的，但考慮到俄羅斯破壞性網絡攻擊的歷史、目前對烏克蘭的入侵，以及再次面臨相關威脅。”

修復Incontroller的步驟

聯合建議提供了與網絡行動者工具相關聯的工具、戰術、技術和程序(TTP)，這些工具映射到MITRE ATT&CK的ICS框架。該建議還提供了組織應采取的步驟，處理定制工具和緩解措施，使網絡防護者開始努力保護系統和設備免受新功能的影響。

Cadwell指出了企業應該注意的幾個關鍵信息。他說:“了解這些系統的互聯性，并確保盡可能減少連通性。”第二條信息是理解“已知的好”，意思是一個沒有惡意軟件的環境是什么樣子的，并尋找與已知的好不匹配的東西。這歸結為了解“網絡邊界并盡可能地縮小它，并了解在這些系統中已知的良好狀態是什么樣子的”。

（完）