TRITON恶意软件简单分析与防护方案

一、攻击简介

2017年12月，安全研究人员发现了一款针对工控系统安全仪表系统（SIS）的恶意软件“TRITON”，该软件以施耐德电气Triconex安全仪表控制系统为目标展开攻击，目前已造成中东多家能源工厂停产，根据对恶意软件样本以及攻击流程、攻击方式的分析，其幕后黑手疑似为国家支持的专业黑客组织。

二、SIS系统概述

安全仪表系统（Safety instrumented System简称SIS），又称为安全联锁系统（Safety interlocking System）。主要为工厂控制系统中报警和联锁部分，对控制系统中检测的结果实施报警动作或调节或停机控制，是工业企业自动控制中的重要组成部分。为保证生产安全（功能安全、物理安全）SIS系统采用独立架构及控制设计，系统主要包括传感器、逻辑运算器和最终执行元件，即检测单元、控制单元和执行单元。SIS系统可以监测生产过程中出现的或者潜伏的危险，发出告警信息或直接执行预定程序，立即进入操作，防止事故的发生、降低事故带来的危害及其影响。

SIS系统主要实现以下功能：

• 保证生产的正常运转、事故安全联锁
• 安全联锁报警
• 联锁动作和投运显示

三、攻击场景

TRITON可实现以下三种场景下的网络攻击，从而对安全生产构成威胁。

1.SIS系统意外动作

SIS系统失陷后，TRIRON可对SIS系统逻辑进行重编辑，使SIS系统产生以外动作，对正常生产活动造成影响。

2.SIS系统失效

TRIRON可使SIS系统失效，在发生安全隐患或安全风险是无法及时实行和启动安全保护机制，从而对生产活动造成影响。

3.影响DCS系统安全运行

TRITON可在攻陷SIS系统后，对DCS系统实施攻击，并通过SIS系统与DCS系统的联合作用，对工业设备、生产活动以及人员健康造成破坏。

四、解决方案

针对TRITON的攻击方式以及攻击场景，可在工业终端安全以及工业网络安全维度进行安全防范。

1.终端安全

可通过部署主机白名单软件以及实施主机安全加固进行安全防护，增强线上主机以及终端系统健壮性，消除恶意软件滋生以及生存环境。

2.网络安全

网络通信病毒防治的核心为阻断恶意软件传播途径，及时发现恶意软件传播行为，并为安全响应赢取必要时间。网络通讯病毒检测以及阻断可结合现场工业业务以及工业网络建立通信数据模型，通过协议，数据包，流量，业务以及行为的综合分析实现病毒发现与预警（可通过专业的工控安全审计监测平台实现），并通过工业防火墙或工业网闸的深度检测功能，及时阻断病毒传播路径。

3.安全管理

在进行TRIRON此类恶意软件防护时，除部署必要的安全设备外还应制定相应的安全管理制度，在根源上阻止恶意软件传入工业网络。安全管理可包含以下方面：

移动存储介质的使用管理、主机外设接口的使用管理、第三方运维与远程运维管理、补丁管理等。

五、总结

在SecureList 2018年工控安全发展趋势报告中，以网络病毒、木马、勒索软件等恶意程序为代表的网络攻击将成为工业企业的主要威胁， 同时伴随着恶意工具的不断出现以及地下黑市、定向勒索攻击、工业间谍等技术的持续走热，工业企业将迎来更加严峻的挑战。