TRITON惡意軟件框架是專用于破壞工業(yè)設備的少數(shù)威脅之一，研究人員近期發(fā)現(xiàn)其背后的黑客組織又對其他工業(yè)目標下手了。TRITON最初是安全公司火眼于2017年在沙特阿拉伯一家石油化工廠的系統(tǒng)里發(fā)現(xiàn)的，當時該惡意軟件的目的是引發(fā)一場爆炸。因為攻擊者的一個小失誤觸發(fā)了關鍵系統(tǒng)緊急關停，該攻擊沒能得逞。

火眼不愿透露TRITON所用關鍵基礎設施。但4月10日，該公司在其網(wǎng)站上發(fā)布了TRITON最新的戰(zhàn)術、技術和流程(TTP)，并將其殺傷鏈發(fā)布到了MITREATT&CK框架——一個有關對手技術的公開知識庫，披露了更多關于TRITON定制工具的信息。

隨時準備開展網(wǎng)絡攻擊的民族國家

火眼將TRITON描述為與Triconex安全儀表系統(tǒng)(SIS)控制器互動的攻擊框架，稱其行為與正在準備開展網(wǎng)絡攻擊的民族國家相一致。

火眼隨后將這些工具以“高置信度”溯源到了俄羅斯中央化學與力學科學研究院身上。

TRITON惡意軟件能夠重編程施耐德電氣公司制造的Triconex安全儀表系統(tǒng)控制器。這些控制器是避免工業(yè)設施關鍵故障和潛在災難的最后一道防線，只要超出安全運營參數(shù)便可自動關停設備和過程。

截至目前，對運營有關鍵基礎設施的公司企業(yè)的絕大部分攻擊都針對的是IT資產，而非工業(yè)控制系統(tǒng)(ICS)；其目標也主要是網(wǎng)絡間諜情報獲取。少數(shù)公開記錄在案的破壞性ICS惡意軟件攻擊包括毀了伊朗納坦茲核設施鈾濃縮離心機的震網(wǎng)蠕蟲，引發(fā)烏克蘭大斷電的“黑色能量”攻擊，以及功虧一簣的TRITON攻擊。

在10號發(fā)布的博客帖子中，火眼披露稱，黑客在神秘的CNI企業(yè)網(wǎng)絡上建立了初始據(jù)點，然后跳轉到OT網(wǎng)絡中，采用多種技術在1年時間里隱藏自身行為并挫敗對自身工具的取證檢查，最終獲取到某安全系統(tǒng)的訪問權，得以調整并投送足以破壞該工廠的后門載荷。

我們強烈建議ICS資產擁有者利用我們公布的指標、TTP和檢測手法來改善自身防御，追捕自身網(wǎng)絡中的相關行為。

駐留一年：可能潛伏在其他關鍵基礎設施中

火眼稱：攻擊者在目標網(wǎng)絡中潛藏了一年之久才接觸到安全儀表系統(tǒng)(SIS)工程工作站?？v觀整個過程，他們似乎以運營安全為優(yōu)先考慮。

在企業(yè)網(wǎng)絡上建立初始立足點后，TRITON攻擊者的主要工作放在獲得OT網(wǎng)絡訪問權上。他們不展現(xiàn)出通常與間諜相關的行為，比如使用鍵盤記錄器和截屏工具、瀏覽文件、滲漏大量信息等。他們使用的大多數(shù)攻擊工具都落腳在網(wǎng)絡偵察、橫向移動和在目標環(huán)境中駐留上。

該組織利用公開和定制后門、Webshell及憑證獲取工具，規(guī)避殺軟檢測，保持隱秘駐留。用于控制和監(jiān)視工業(yè)過程的可編程邏輯控制器(PLC)通常在專用工程工作站上通過其制造商提供的特殊軟件來編程。編程Triconex安全控制器的軟件名為TriStation，采用未公開私有協(xié)議編程PLC，但該私有協(xié)議被攻擊者逆向工程后用來創(chuàng)建了TRITON惡意軟件。

其他目標環(huán)境中可能還有攻擊者留存

基于對其定制入侵工具的分析，攻擊者可能早在2014年就展開活動了。雖然很多工具都可追溯到初始入侵前幾年，但火眼之前從未遇到過該攻擊者的任何定制工具。這一事實和攻擊者表現(xiàn)出的對運營安全的關注，意味著可能還有其他的目標環(huán)境——除了10號披露的第二起入侵之外，這些攻擊者可能曾經存在或現(xiàn)在仍然駐留在其他未被發(fā)現(xiàn)的目標環(huán)境中。

火眼敦促CNI提供商查找警示指征，包括：

通往非標準IP范圍的出入站連接，尤其是來自OVH和UK-2Limited之類國際虛擬專用服務器(VPS)提供商；

公司常用公共目錄中的未簽名微軟程序；

指向未簽名.exe文件的新建或異常計劃任務XML觸發(fā)器；

PowerShell腳本或PowerShell命令行項中諸如“.CreationTime=”的時間戳命令字符串。

火眼團隊還表示：大多數(shù)復雜ICS攻擊利用Windows、Linux和其他傳統(tǒng)“IT”系統(tǒng)(位于IT或OT網(wǎng)絡中)作為通往最終目標的通道，防御者最好多關注這些通道。

例如利用計算機獲取目標PLC訪問權（例子：震網(wǎng))，與聯(lián)網(wǎng)人機接口(HMI)直接交互（例子：黑色能量)，遠程訪問工程工作站以操作遠程終端單元(RTU)（例子：INDUSTROYER)，或者感染SIS可編程邏輯控制器(PLC)（例子：TRITON)。

想要阻止這些“通道”系統(tǒng)中的攻擊者，防御者可以利用隨IT和OT系統(tǒng)覆蓋面持續(xù)增長而上升的一些關鍵有利因素，包括成熟安全工具的廣泛可用性，以此防御和追捕在Windows、Linux和其他傳統(tǒng)“IT”中的威脅。

ICS攻擊可持續(xù)數(shù)年

復雜ICS攻擊的針對性攻擊生命周期往往以年計。攻擊者需要較長時間來準備此類攻擊以了解目標的工業(yè)過程和打造定制工具。這些攻擊還往往是由屬意待機突襲而非即時進攻的民族國家發(fā)起的(例如：安裝TRITON之類惡意軟件再等待何時的時機使用之)。在此期間，攻擊者必須確保能夠持續(xù)訪問目標環(huán)境，否則就有數(shù)年努力和高昂定制ICS惡意軟件毀于一旦的風險。本次披露的TRITON新案例也不例外。

TRITON組織在入侵時用到的一些技術包括重命名文件以模仿Windows更新包，使用RDP和PsExec等標準工具以藏身于典型管理行為中，通過混入合法文件在OutlookExchange服務器上植入Webshell，使用加密SSH隧道，在使用后刪除工具和日志以避免留下蹤跡，修改文件時間戳，以及在非正常工作時間段操作以避免被發(fā)現(xiàn)等等。

TRITON所用工具的創(chuàng)建時間可追溯至2014年前，但該組織數(shù)年間成功規(guī)避了檢測，充分說明了其復雜程度和對運營安全的重視。研究人員認為，除了已證實的兩個受害者，可能還有其他企業(yè)或ICS環(huán)境中仍留存有TRITON。

由于截至目前觀測到的所有復雜ICS攻擊都始于對傳統(tǒng)Windows、Linux和其他IT系統(tǒng)的入侵，擁有和運營工業(yè)控制設備的公司企業(yè)應改善其可作為關鍵資產跳板的“通道”系統(tǒng)的攻擊檢測能力。