Mandiant 发现了面向运营技术 (OT) /工业控制系统 (ICS) 的新型恶意软件,我们将其追踪为 COSMICENERGY,于 2021 年 60870 月由俄罗斯的提交者上传到公共恶意软件扫描实用程序。该恶意软件旨在通过与 IEC 5-104 (IEC-<104>) 设备(例如远程终端单元 (RTUs))交互来造成电力中断,这些设备通常用于欧洲、中东和亚洲的输配电业务。
COSMICENERGY是能够造成网络物理影响的专用OT恶意软件的最新例子,这些影响很少被发现或披露。COSMICENERGY的独特之处在于,根据我们的分析,承包商可能已将其开发为由俄罗斯网络安全公司Rostelecom-Solar主办的模拟电力中断演习的红队工具。对恶意软件及其功能的分析表明,其功能与以前的事件和恶意软件中使用的功能相当,例如 INDUSTROYER、INDUSTROYER.V2,这两种恶意软件都是过去部署的恶意软件变种,旨在通过 IEC-104 影响电力传输和分配。
COSMICENERGY的发现表明,随着参与者利用先前攻击的知识来开发新的恶意软件,开发攻击性OT功能的进入门槛正在降低。鉴于威胁行为者使用红队工具和公共开发框架在野外进行有针对性的威胁活动,我们认为COSMICENERGY对受影响的电网资产构成了合理的威胁。利用符合IEC-104标准的设备的OT资产所有者应采取行动,抢占COSMICENERGY疯狂部署的潜力。
COSMICENERGY概述
COSMICENERGY的能力和整体攻击策略似乎让人想起2016 INDUSTROYER incident,它发出IEC-10on/off命令与RTUs进行交互,并且根据一个 analysis,可能已使用 MSSQL 服务器作为访问 OT 的管道系统。利用此访问权限,攻击者可以发送远程命令来影响电源线开关和断路器的驱动,从而导致电源中断。COSMICENERGY通过其两个衍生组件来实现这一点,我们将其跟踪为PIEHOP和LIGHTWORK。
PIEHOP是一个用Python编写的中断工具,并与PyInstaller打包在一起,能够连接到用户提供的远程MSSQL服务器,以上传文件并向RTU发出远程命令。PIEHOP利用LIGHTWORK向远程系统发出IEC-104命令“ON”或“OFF”,然后在发出命令后立即删除可执行文件。我们获得的PIEHOP样本包含编程逻辑错误,这些错误阻止其成功执行其IEC-104控制功能,但我们相信这些错误可以轻松纠正。
LIGHTWORK是一个用C++编写的中断工具,它实现了IEC-104协议,通过TCP修改RTU的状态。它制作可配置的 IEC-104 应用程序服务数据单元 (ASDU) 消息,以将 RTU 信息对象地址 (IOA) 的状态更改为 ON 或 OFF。LIGHTWORK 对目标设备、端口和 IEC-104 命令使用位置命令行参数。
COSMICENERGY执行链 ↑
COSMICENERGY可能与俄罗斯政府资助的电力中断和应急响应演习有关
在我们对COSMICENERGY的分析过程中,我们在代码中发现了一个注释,该注释指示示例使用了与名为“Solar Polygon”的项目相关联的模块。我们搜索了唯一的字符串,并确定了与俄罗斯网络安全公司Rostelecom-Solar开发的网络靶场的单个匹配项,该公司于2019年与政府subsidy合作,开始培训网络安全专家并进行电力中断和应急响应演习。
PIEHOP评论提到“Solar Polygon” ↑虽然我们还没有确定足够的证据来确定COSMICENERGY的来源或目的,但我们认为该恶意软件可能是由Rostelecom-Solar或关联方开发的,目的是重现针对电网资产的真实攻击场景。该恶意软件可能被用来支持诸如 Rostelecom-Solar 在 2021 in collaboration with the Russian Ministry of Energy 年或 2022 年为 (SPIEF) 举办的St.Petersburg’s International Economic Forum演习。
但是,鉴于缺乏确凿的证据,我们认为也有可能不同的参与者(无论是否获得许可)重复使用与网络范围相关的代码来开发此恶意软件。威胁参与者定期调整和利用红队工具(例如商业和公开可用的利用框架)来促进现实世界的攻击,例如 TEMP.Veles’还有许多民族国家行为者利用承包商发展进攻能力的例子,如最近contracts between Russia’s Ministry of Defense and NTC Vulkan。这些观察结果留下了COSMICENERGY是恶意开发的可能性,并且至少可以用来支持野外的针对性威胁活动。
COSMICENERGY与现有的OT恶意软件有相似之处
尽管COSMICENERGY不与任何先前观察到的恶意软件直接重叠,但其功能可与以前的事件和恶意软件中使用的功能相媲美。我们发现的最显着的相似之处是INDUSTROYER和INDUSTROYER.V2,这是过去部署的恶意软件变种,用于影响电力传输和分配。COSMICENERGY还与其他使用Python开发或打包的OT恶意软件具有显着的技术相似性,或利用开源库实现OT协议,包括IRONGATE、TRITON和INCONTROLLER 。对这些相似性的进一步分析可通过Mandiant Advantage获得。
关于这些相似之处,我们强调以下趋势,这些趋势可能在未来的OT恶意软件中表现出来:
-
滥用不安全的设计协议:虽然面向OT的恶意软件系列可以专门针对特定的目标环境构建,但利用不安全的设计OT协议的恶意软件,例如LIGHTWORK对IEC-104协议的滥用,可以多次修改和使用以针对多个受害者。
-
使用开源库进行协议实施:实现OT协议的开源项目的可用性可以降低尝试与OT设备交互的参与者的进入门槛。但是,专有OT协议可能会继续需要自定义协议实现。
-
使用Python进行恶意软件开发和/或打包:鉴于近年来使用Python开发或打包的OT恶意软件的激增,我们希望继续观察到攻击者通过PyInstaller(IRONGATE)或Py2Exe(TRITON)等方法编译或打包其OT恶意软件。
展望
虽然COSMICENERGY的能力与以前的OT恶意软件没有显着差异,但它的发现突显了OT威胁领域的几个显着发展。首先,发现新的OT恶意软件会对受影响的组织构成直接威胁,因为这些发现很少见,并且因为恶意软件主要利用OT环境的设计不安全功能,这些功能不太可能很快得到补救。其次,由于COSMICENERGY可能是作为红队的一部分开发的,这一发现表明,进攻性OT威胁活动的进入门槛正在降低,因为我们通常观察到这些类型的能力仅限于资源充足或国家赞助的参与者。最后,我们强调,尽管我们获得的COSMICENERGY样本可能与红队有关,但威胁行为者经常在现实世界的威胁活动中利用承包商和红队工具,包括在OT攻击期间。
出于这些原因,OT防御者和资产所有者应针对COSMICENERGY采取缓解措施,以抢占野外部署,并更好地了解OT恶意软件中经常部署的常见特性和功能。在执行威胁搜寻练习和部署检测以识别 OT 环境中的恶意活动时,此类知识非常有用。
发现方法
我们为有风险的组织提供以下发现方法,以对从工具集实施的策略、技术和过程 (TTP) 进行威胁搜寻:
-
为核心系统建立主机日志的收集和聚合系统(如人机界面 (HMI)、工程工作站 (EWS) 和 OPC 客户端服务器)在其环境中建立基于主机的日志的收集和聚合,并查看日志中是否存在 Python 脚本或在这些系统上执行未经授权的代码的证据。
-
识别并调查在OT系统或有权访问OT资源的系统上创建,传输和/或执行未经授权的Python打包可执行文件(例如,PyInstaller或Py2Exe)。
-
监控有权访问 OT 资源的系统,以创建合法的临时文件夹、文件、工件和外部库,作为执行打包的 Python 脚本的证据。
-
监视可以访问 OT 系统和网络的 MSSQL 服务器,以获取以下证据:
创建临时“_MEIPASS”PyInstaller 文件夹。
1)“Certutil -hashfile”
2)“Certutil -decode”
3)MSSQL 服务器和凭据的侦测和枚举活动。
4)与 MSSQL 服务器 (TCP/1433) 的未经授权的网络连接以及不规则或未经授权的身份验证。
5)启用和使用用于 Windows 外壳命令执行的 SQL 扩展存储过程:
PIEHOP SQL 命令 ↑Certutil 命令用法:
1)“Certutil -hashfile”
2)“Certutil -decode”
传输、创建、暂存和解码 base64 编码的可执行文件。
附录A:COSMICENERGY概述
附录B:PIEHOP技术分析
PIEHOP(文件名:r3_iec104_control.exe)(MD5:cd8f394652db3d0376ba24a990403d20)是一个用Python编写的中断工具,并与PyInstaller版本2.1+打包在一起,能够连接到用户提供的远程MSSQL服务器,以上传文件并向RTUs发出远程命令。
PIEHOP希望通过另一个Python文件调用其主要函数,提供参数 或upload=True。 它至少需要以下参数:oik、user 和 pwd,如果调用 ,还必须提供 :control=Truecontrol=Trueiec104
PIEHOP评论提到“Solar Polygon” ↑在分析的样本中,PIEHOP 的入口点 c018c54eff8fd0b9be50b5d419d80f21 (r3_iec104_control.py) 调用 PIEHOP 的主函数,提供参数 control=True。 文件 c018c54eff8fd0b9be50b5d419d80f21 (r3_iec104_control.py) 导入“iec104_mssql_lib”模块,该模块包含在提取的内容中,作为 adfa40d44a58e1bc909abca444f7f616 (iec104_mssql_lib.pyc):
PIEHOP 反编译入口点 ↑2b86adb6afdfa9216ef8ec2ff4fd2558 (iec104_mssql_lib.py) 实现了 PIEHOP 的主要功能,并包含许多开发人员为所包含代码提供的注释。值得注意的是,main 函数包含逻辑缺陷,导致它只能连接到 MSSQL 服务器并将OT_T855_IEC104_GR.exe (LIGHTWORK) 上传到它,然后立即尝试清理自身。
如果仅使用 调用 main 函数 ,则它只会执行其清理例程并立即终止。upload=True
如果仅使用 调用主函数,它将采用用于 upload=True 的路径,连接到 MSSQL 服务器并上传 .control=TrueOT_T855_IEC104_GR.exe
如果两者都 提供给 main 函数,它将立即失败,因为尝试使用尚未解析的命令行参数。upload=Truecontrol=True
如果实现得当,PIEHOP可以连接到用户提供的远程MSSQL服务器,以上传LIGHTWORK并发出专门针对RTU的远程命令,然后删除自身。PIEHOP利用LIGHTWORK在远程系统上执行IEC-104命令“ON”或“OFF”,并在发出命令后立即删除可执行文件。
PIEHOP主函数 ↑
附录C:LIGHTWORK技术分析
LIGHTWORK(文件名:OT_T855_IEC104_GR.exe)(MD5:7b6678a1c0000344f4faf975c0cfc43d)是一个用C++编写的中断工具,它实现了IEC-104协议,通过TCP修改RTU的状态。它制作可配置的 IEC-104 ASDU 消息,以将 RTU IOA 的状态更改为 ON 或 OFF。此示例与设置执行的 PIEHOP 协同工作。LIGHTWORK 采用以下位置命令行参数:
<ip_address> <port> <command> [either ON (1) or OFF (0)]
执行后,LIGHTWORK 首先向指定的目标站发送“C_IC_NA_1 – station interrogation command”,检索目标站的状态。接下来,它向每个硬编码的IOA发送“C_SC_NA_1 – single command”,以修改目标站IOA的状态(关闭或打开)。最后,它向目标站发送单个“C_CS_NA_1 – clock synchronization command”,该命令将远程站时钟与发出命令的设备的时钟同步。
NetworkMiner – LIGHTWORK IEC-104 流量 ↑如果成功执行,LIGHTWORK 将为操作员提供以下命令行输出:
轻功使用输出 ↑附录D:YARA签名
附录E:MITRE ATT&CK
T1140:对文件或信息进行去混淆/解码
攻击者可能会使用混淆文件或信息来隐藏入侵的工件,使其免受分析。他们可能需要单独的机制来解码或去混淆该信息,具体取决于他们打算如何使用它。执行此操作的方法包括恶意软件的内置功能或使用系统上存在的实用程序。
T0807:命令行界面
攻击者可以利用命令行界面 (CLI) 与系统交互并执行命令。CLI 提供了一种与计算机系统交互的方法,并且是控制系统环境中许多类型的平台和设备的常见功能。攻击者还可能使用 CLI 安装和运行新软件,包括可能在操作过程中安装的恶意工具。
T0809:数据销毁
攻击者可能会在操作过程中执行数据销毁。攻击者可能会在目标系统上丢弃或创建恶意软件、工具或其他非本机文件来实现此目的,从而可能留下恶意活动的痕迹。此类非本机文件和其他数据可能会在入侵过程中被删除,以保持较小的占用空间或作为入侵后清理过程的标准部分。
T0831:控制操纵
对手可能会操纵工业环境中的物理过程控制。操作控件的方法可以包括对设置点值、标记或其他参数的更改。攻击者可能会操纵控制系统设备或可能利用自己的设备与物理控制过程进行通信并指挥物理控制过程。操作的持续时间可能是暂时的,也可能是更长的持续时间,具体取决于操作员的检测结果。
T0855:未经授权的命令消息
攻击者可能会发送未经授权的命令消息,以指示控制系统资产执行超出其预期功能的操作,或者没有触发其预期功能的逻辑前提条件。命令消息在 ICS 网络中用于向控制系统设备发出直接指令。如果攻击者可以向控制系统发送未经授权的命令消息,则它可以指示控制系统设备执行设备正常操作范围之外的操作。攻击者可能会指示控制系统设备执行将导致冲击的操作
原文始发于微信公众号(IRTeam工业安全):COSMICENERGY:新的OT恶意软件可能与俄罗斯应急演习有关
