罕见又危险的工控系统恶意软件-Incontroller - 网安 - 专业的网络安全产业、社区、知识平台

施耐德电气可编程逻辑控制器(PLC)
欧姆龙（OMRON） Sysmac NEX PLC
开发平台通讯统一架构（Open Platform Communications Unified Architecture，OPC UA)服务器

该恶意软件包含一套针对ICS和SCADA设备的危险定制工具，一旦具对操作技术(OT)网络的初始访问权限，这些设备就可以扫描、破坏和控制受影响设备。

与乌克兰当局本周早些时候宣布的industryer2 ICS恶意软件一样，新的恶意软件被Dragos称为 Pipedream，被Mandiant和施耐德电气(Schneider Electric)称为Incontroller，可以忽略操作技术（OT）环境，实现IT系统的访问和控制。具体来说，该恶意软件利用一个具有已知漏洞的ASRock主板驱动程序，帮助威胁行动者破坏IT或OT环境中Windows工作站。

APT通过这些模块可以执行的操作包括：扫描目标设备、侦察设备详情、向目标设备上传恶意配置/代码、备份或恢复设备内容、修改设备参数等。

此外，APT攻击者可以使用一个工具来安装和利用ASRock主板驱动程序AsrDrv103.sys中的一个漏洞。被标记为CVE-2020-15368。该缺陷允许在Windows内核中执行恶意代码，加速IT或OT环境的横向移动，以及破坏关键设备或功能。

参与者也有一个特定的模块来攻击其他ICS设备。施耐德电气的模块通过标准管理协议和Modbus (TCP 502)与设备进行交互。该模块可允许行为者执行各种恶意行为，包括运行快速扫描以识别本地网络上的所有施耐德PLC；暴力破解PLC密码；进行拒绝服务(DoS)攻击，阻止PLC接收网络通信；或者实施“死亡数据包”攻击，使PLC瘫痪等等。

APT工具的其他模块针对欧姆龙设备，可以在网络上扫描它们，并执行其他危害功能。

而且根据警报，OMRON模块可以上传一个代理，允许威胁行为者通过HTTP和/或超文本传输安全协议(HTTPS)连接和发起命令，如文件操作、数据包捕获和代码执行。

最后，一个允许入侵OPC UA设备的模块，包括识别OPC UA服务器的基本功能，并使用默认或以前泄露的证书连接到OPC UA服务器。

什么是Incontroller恶意软件?

在报告中，Dragos认为这种新的恶意软件是已知第七种专门攻击ICS的恶意软件，也是第五种破坏工业流程的恶意软件，“对工业控制系统和流程的可用性、控制和安全构成了明确而现实的威胁，危及操作和生命。”mandiant在一篇博客文章中表示，Incontroller“代表了一种非常罕见和危险的网络攻击能力。相当于2017年试图关闭工业安全系统的Triton；2016年，Industroyer导致乌克兰停电；以及在2010年前后破坏伊朗核计划的震网病毒。”

Mandiant表示，Incontroller由三个组件组成。第一个是Tagrun，它扫描OPC(OLE[对象链接和嵌入] 过程控制)服务器，枚举OPC结构/标签，暴力破解凭证，并读/写OPC标签值。OPC允许Windows程序与工业硬件设备通信。

第二个组件是CodeCall，这是一个使用Modbus(最常见的工业协议之一)和Codesys(工程控制系统自动化软件)进行通信的框架。CodeCall所含模块，至少能够和三个施耐德电气可编程逻辑控制器(PLC)交互、扫描和攻击。

第三个组件是Omshell，它是一个框架，具有通过HTTP、Telnet和Omron FINS协议扫描某些类型的Omron PLC，并与之交互的能力。它还可以与欧姆龙的伺服传动系统互动，后者使用反馈控制，传递能量到电机实现精密运动控制

侦察特定目标网络可能选择的目标

被恶意软件盯上的的设备包括“机器自动化解决方案，其用例从支持简单、重复的机器到分布式架构中复杂的模块化机器，”Mandiant说，他高度怀疑威胁行为者“会随机针对这些设备”。更有可能的是，他们被选中是因为对特定目标环境进行侦察。”Dragons表示，这些目标设备被用于许多垂直行业。但该公司估计，这种恶意软件最有可能的目标是液化天然气(LNG)和电力环境中的设备。

Dragos说，私营公司和政府机构之间的合作是“在恶意软件针对基础设施之前就分析其功能的罕见案例，这给了防护者一个独特的提前准备的机会。”施耐德电气也认同这一观点，他说，私营公司和政府之间的工作“是在关键基础设施受到威胁之前进行成功合作的一个实例，进一步强调了公共和私营伙伴关系对于在威胁发生之前主动发现和应对威胁是多么重要。”

ICS恶意软件正变得越来越复杂

Mandiant的工业控制系统和操作技术总监Rob Caldwell告诉CSO:“这项公告的重点在于，这是一种非常罕见的工具。我们很少看到这种类型的控制系统、针对操作技术的工具。”

与Stuxnet或industroyer不同，Incontroller“更像是一个框架。它不只是针对一个特定的设备，尽管它可以。它还针对多种特定的设备，而且根据编写的方式，可以扩展到潜在的更多类型的活动，”Caldwell说。“你很少看到所有这些功能集中在一起。所以，Incontroller最值得注意的一点就是，这些不同的组件彼此关联，但针对的是不同类型的系统。”

ICS恶意软件的这种演变变得更加复杂和危险，“正是OT攻击者获得更多技能、理解和能力的证据。就像他们在IT领域所做的一样，随着时间的推移，他们的工具会变得更加复杂。”

没找到源头，但情况表明是俄罗斯

所有参与声明的人都同意，一个老练的组织对这个恶意软件负责，但没有人提供确切的来源。Mandiant说，考虑到恶意软件的复杂性、制造它所需的专业知识和资源，以及它在财务动机上的有限使用，这个恶意件“很可能与一个国家资助的组织有关。”

不过，Mandiant暗示，间接证据初步指向俄罗斯。Mandiant说:“这项活动符合俄罗斯对ICS的历史兴趣。虽然我们将Incontroller与俄罗斯联系起来的证据在很大程度上是间接的，但考虑到俄罗斯破坏性网络攻击的历史、目前对乌克兰的入侵，以及再次面临相关威胁。”

修复Incontroller的步骤

联合建议提供了与网络行动者工具相关联的工具、战术、技术和程序(TTP)，这些工具映射到MITRE ATT&CK的ICS框架。该建议还提供了组织应采取的步骤，处理定制工具和缓解措施，使网络防护者开始努力保护系统和设备免受新功能的影响。

Cadwell指出了企业应该注意的几个关键信息。他说:“了解这些系统的互联性，并确保尽可能减少连通性。”第二条信息是理解“已知的好”，意思是一个没有恶意软件的环境是什么样子的，并寻找与已知的好不匹配的东西。这归结为了解“网络边界并尽可能地缩小它，并了解在这些系统中已知的良好状态是什么样子的”。

（完）