求轉發，求關注，給我點陽光我燦爛

一、

Triton惡意軟件針對工業系統進行了最新一代的攻擊

此前火眼已經公佈了俄羅斯研究所正在支持這項活動，詳情如下：

針對工控系統的TRITON入侵活動由俄羅斯研究所支持

開篇主要是回憶過去針對工業系統的攻擊活動

正文

經過分析發現，Triton針對的是由施耐德電氣分銷的Triconex安全控制器。

據該公司稱，Triconex安全控制器用於18000家工廠（核能，石油和瓦斯煉油廠，化工廠等）。對SIS的攻擊需要專業的理解過程（通過分析獲取的檔案，圖表，設備配置和網路流量）。

SIS是針對物理事件的最後一種保護措施。

最常用於過程（例如，煉油廠，化學，核）設施，以提供保護。

例如：

高燃料氣體壓力啟動關閉主燃料氣閥的動作。

高反應器溫度啟動打開冷卻介質閥的動作。

高蒸餾塔壓力啟動打開壓力排氣閥的動作。

根據一項調查，攻擊者可能通過魚叉式網路釣魚獲得了訪問網絡的許可權。在最初感染之後，攻擊者移動到主網絡以到達ICS網絡並以SIS控制器為目標。

為了與SIS控制器通信，攻擊者在埠UDP / 1502上重新編碼了專有的TriStation通信協議。這一步表明他們投入時間對Triconex產品進行逆向分析。

Nozomi Networks創建了一個Wireshark解剖器，

（https://github.com/NozomiNetworks/tricotools）

非常便於分析TriStation協定和檢測Triton攻擊。以下螢幕截圖顯示了Triconex SIS返回的資訊示例。Triton要求控制器的“運行狀態”執行攻擊的下一階段。

上圖中，Triconex回復了由Triton發送的請求“Get Control Program Status”（獲取控制程式狀態）。

樣本方面，

Triton（dc81f383624955e0c0441734f9f1dabfe03f373c）生成可執行文件trilog.exe，用於收集日誌。

可執行文件是在exe中編譯的python腳本。

該框架還包含library.zip（1dd89871c4f8eca7a42642bf4c5ec2aa7688fd5c），其中包含Triton所需的所有python腳本。

最後，兩個PowerPC shellcode（根據目標架構變更）用於控制失陷主機。

第一個PowerPC shellcode是一個注入器（inject.bin，f403292f6cb315c84f84f6c51490e2e8cd8c686），用於注入第二個階段（imain.bin，b47ad4840089247b058121e95732beb82e6311d0）

該後門允許對Triconex產品進行讀，寫和執行訪問操作。

Triton的主要模塊如下

檢測手段

研究院使用Raspberry Pi修改了類比Triconex安全控制器的腳本，以創建一個廉價的檢測器工具。

https://github.com/NozomiNetworks/tricotools

這種廉價的工具可以很容易地安裝在ICS網絡上。如果發生非法連接，設備會發出閃爍的LED警報警報。它還顯示連接的IP地址以供進一步調查。

下圖顯示了如何連接LED和蜂鳴器。

視頻演示截圖

報告中涉及樣本ioc：

dc81f383624955e0c0441734f9f1dabfe03f373c:trilog.exe

b47ad4840089247b058121e95732beb82e6311d0:imain.bin

f403292f6cb315c84f84f6c51490e2e8cd03c686:inject.bin

91bad86388c68f34d9a2db644f7a1e6ffd58a449:script_test.py

1dd89871c4f8eca7a42642bf4c5ec2aa7688fd5c:library.zip

97e785e92b416638c3a584ffbfce9f8f0434a5fd:TS_cnames.pyc

d6e997a4b6a54d1aeedb646731f3b0893aee4b82:TsBase.pyc

66d39af5d61507cf7ea29e4b213f8d7dc9598bed:TsHi.pyc

a6357a8792e68b05690a9736bc3051cba4b43227:TsLow.pyc

2262362200aa28b0eead1348cb6fda3b6c83ae01:crc.pyc

9059bba0d640e7eeeb34099711ff960e8fbae655:repr.pyc

6c09fec42e77054ee558ec352a7cd7bd5c5ba1b0:select.pyc

25dd6785b941ffe6085dd5b4dbded37e1077e222:sh.pyc

相關連結（方便整理資料）：

a. https://blog.schneider-electric.com/cyber-security/2018/08/07/one-year-after-triton-building-ongoing-industry-wide-cyber-resilience/

b. https://www.youtube.com/watch？v=f09E75bWvkk

c. https://ics-cert.us-cert.gov/sites/default/files/ICSJWG-Archive/QNL_DEC_17/Waterfall_top-20-attacks-article-d2%20-%20Article_S508NC.pdf

d. https://www.fireeye.com/blog/threat-research/2017/12/attackers-deploy-new-ics-attack-framework-triton.html

e. https://www.midnightbluelabs.com/blog/2018/1/16/analyzing-the-triton-industrial-malware

f. https://www.nozominetworks.com/2018/07/18/blog/new-triton-analysis-tool-wireshark-dissector-for-tristation-protocol/

g. https://github.com/NozomiNetworks/tricotools

h. https://cyberx-labs.com/en/blog/triton-post-mortem-analysis-latest-ot-attack-framework/

i. https://vimeo.com/275906105

j. https://vimeo.com/248057640

k. https://blog.talosintelligence.com/2017/07/template-injection.html

m. https://github.com/MDudek-ICS/TRISIS-TRITON-HATMAN

本文連結：

https://securingtomorrow.mcafee.com/mcafee-labs/triton-malware-spearheads-latest-generation-of-attacks-on-industrial-systems/

二、

攻擊使用惡意的InPage檔案和過時的VLC媒體播放機在目標系統安裝後門

https://cloudblogs.microsoft.com/microsoftsecure/2018/11/08/attack-uses-malicious-inpage-document-and-outdated-vlc-media-player-to-give-attackers-backdoor-access-to-targets/

三、

Metamorfo銀行木馬繼續對巴西進行投放，火眼之前發過類似攻擊

https://blog.talosintelligence.com/2018/11/metamorfo-brazilian-campaigns.html

四、

Active Exploitation of Newly Patched ColdFusion Vulnerability（CVE-2018-15961）

一名疑似某APT小組通過直接上傳China Chopper webshell來入侵ColdFusion服務器

https://www.volexity.com/blog/2018/11/08/active-exploitation-of-newly-patched-coldfusion-vulnerability-cve-2018-15961/

五

#僵屍網路#  

僵屍網路Linux.Haikai源碼分析

https://www.securityartwork.es/2018/11/08/analysis-of-linux-haikai-inside-the-source-code/

僵屍網路Linux.Omni分析

https://www.securityartwork.es/2018/11/08/analysis-of-linux-omni/

歡迎加入知識星球，第一手處理情報