新型工控系统恶意软件TRITON：修改SIS增加物理破坏机率(2)

　　安全仪表系统（Safety Instrumented Systems，SIS）是一个独立的控制系统，可独立监控受控过程状态。如果过程超过定义危险状态的参数，则SIS会尝试将过程恢复到安全状态或自动执行过程的安全关闭。如果SIS和DCS控制都失效，那么只有看工业设施的安全设计了，如对设备（e.g防爆片）的机械保护、物理警报、应急程序和其他危险状况的缓解机制。

　　资产设备管理者会采用不同方法将工厂的DCS与SIS系统连接起来，传统方法是依赖通信基础设施和控制策略的隔离原则。至少在过去十年间，基于低成本、易用性和信息交流目的，出现了集成DCS和SIS设计的趋势。此次TRITON攻击反映出了DCS与SIS集成设计双向通信的安全风险。

　　安全仪表系统（SIS）威胁建模和攻击场景

　　针对工控系统（ICS）破坏性攻击的生命周期与其他类型网络攻击类似，但有几个关键的区别。 首先，攻击者的任务是破坏业务流程而不是窃取数据；其次，攻击者必须进行OT侦察，并有足够的专业工程知识来了解目标系统工业过程，以实现对其成功的控制利用。

　　上图表示过程控制环境中的网络安全和安全控制之间的关系，即使网络安全措施失效，安全控制措施也会防止物理破坏，为了最大化实现物理破坏，网络攻击者还需绕过一些安全控制手段。

　　以下安全仪表系统（SIS）威胁模型揭露了多种攻击者可用的攻击路径：

　　攻击路径 1: 使用SIS系统进行过程关闭。攻击者重编译SIS逻辑控制器导致其跳闸或关闭一个处于安全状态的控制过程，换句话说，也能触发误报。

　　目的：导致停机后造成经济损失，或引起停工后复杂的启动程序。

　　攻击路径 2: 重编译SIS以支持不安全状态。攻击者重编译SIS逻辑控制器，让其支持不安全状态的存在。

　　目的：由于SIS功能丧失，增加的危险状况会导致严重物理后果风险，如对设备、产品、环境和人员安全的影响。

　　攻击路径 3：重编译SIS控制器，当使用DCS时，让其支持不安全的危险状态。攻击者可以控制DCS进程形成危险状态，并阻止SIS系统正常运行。

　　目的：对人身安全、工厂环境或设备造成破坏，其影响程度取决于过程和设备设计的物理限制条件。

　　攻击意图分析

　　我们认为攻击者的长期目的是造成物理破坏，基于这样的事实，攻击者具备了操纵过程或关闭设备的能力后，首先会在DCS系统上形成驻留，以伺机入侵SIS系统。对DCS和SIS系统的入侵会导致物理和机械保障措施的最大程度破坏。

　　一旦渗透进入SIS网络后，攻击者会立即部署预先构建的TRITON攻击框架，利用TriStation协议与SIS控制器发起通信，攻击者可以发送停止命令形成进程关闭，或向SIS控制器上传恶意代码造成保护失效。与此不同的是，攻击者为了在SIS控制器中形成功能控制逻辑，会在一段时间内反复进行多次尝试，即使由于攻击脚本的条件检查提示出错，但攻击者还会继续尝试，这也表明攻击者的最终意图就是要造成控制进程的意外关闭。

　　值得注意的是，我们曾多次发现了一些长期入侵工控系统（ICS）但并未造成系统破坏或中断的攻击事件，如长年入侵西方ICS的俄罗斯沙虫团队（Sandworm）等组织，他们似乎只是入侵，还没表现出明显的指哪打哪的系统中断攻击能力。

　　TRITON恶意软件功能

　　TRITON攻击框架具备多种恶意功能，包括程序读写、各种功能读写以及查询SIS控制器状态，但trilog.exe样本只具备某些功能，不包括TRITON的全面侦察功能。

　　TRITON恶意软件具备与Triconex SIS控制器进行通信的能力（如发送特定指令，实现关停或内容读取），并可用攻击者定义的Payload对其进行远程重编译。Mandiant分析的TRITON样本中包含了攻击者制作的运行Triconex控制器执行表的程序，该样本包含了一个正常且监控控制器运行状态的合法程序，如果控制器发生失效故障，TRITON会尝试返回一个伪造的正常运行状态；如果控制器发生故障而在规定时间内未恢复到安全状态时，则该样本将会用无效数据覆盖SIS控制器中的恶意程序形成隐蔽。