TRITON惡意軟件框架是專用於破壞工業設備的少數威脅之一，研究人員近期發現其背後的黑客組織又對其他工業目標下手了。TRITON最初是安全公司火眼於2017年(nian)在(zai)沙(sha)特(te)阿(e)拉(la)伯(bo)一(yi)家(jia)石(shi)油(you)化(hua)工(gong)廠(chang)的(de)係(xi)統(tong)裏(li)發(fa)現(xian)的(de)

，當(dang)時(shi)該(gai)惡(e)意(yi)軟(ruan)件(jian)的(de)目(mu)的(de)是(shi)引(yin)發(fa)一(yi)場(chang)爆(bao)炸(zha)。因(yin)為(wei)攻(gong)擊(ji)者(zhe)的(de)一(yi)個(ge)小(xiao)失(shi)誤(wu)觸(chu)發(fa)了(le)關(guan)鍵(jian)係(xi)統(tong)緊(jin)急(ji)關(guan)停(ting)，該(gai)攻(gong)擊(ji)沒(mei)能(neng)得(de)逞(cheng)。

火眼不願透露TRITON所用關鍵基礎設施。但4月10日，該公司在其網站上發布了TRITON最新的戰術、技術和流程(TTP)，並將其殺傷鏈發布到了 MITRE ATT&CK 框架——一個有關對手技術的公開知識庫
，披露了更多關於TRITON定製工具的信息。

隨時準備開展網絡攻擊的民族國家

火眼將TRITON描述為與Triconex安全儀表係統(SIS)控製器互動的攻擊框架，稱其行為與正在準備開展網絡攻擊的民族國家相一致。

火眼隨後將這些工具以“高置信度”溯源到了俄羅斯中央化學與力學科學研究院身上。

TRITON惡意軟件能夠重編程施耐德電氣公司製造的Triconex安an全quan儀yi表biao係xi統tong控kong製zhi器qi。這zhe些xie控kong製zhi器qi是shi避bi免mian工gong業ye設she施shi關guan鍵jian故gu障zhang和he潛qian在zai災zai難nan的de最zui後hou一yi道dao防fang線xian
，隻zhi要yao超chao出chu安an全quan運yun營ying參can數shu便bian可ke自zi動dong關guan停ting設she備bei和he過guo程cheng。

截至目前，對運營有關鍵基礎設施的公司企業的絕大部分攻擊都針對的是IT資產，而非工業控製係統(ICS)；其目標也主要是網絡間諜情報獲取。少數公開記錄在案的破壞性ICS惡意軟件攻擊包括毀了伊朗納坦茲核設施鈾濃縮離心機的震網蠕蟲，引發烏克蘭大斷電的 “黑色能量” 攻擊，以及功虧一簣的TRITON攻擊。

在10號發布的博客帖子中，火眼披露稱
，黑客在神秘的CNI企業網絡上建立了初始據點
，然後跳轉到OT網絡中，采用多種技術在1年時間裏隱藏自身行為並挫敗對自身工具的取證檢查，最終獲取到某安全係統的訪問權
，得以調整並投送足以破壞該工廠的後門載荷。

我們強烈建議ICS資產擁有者利用我們公布的指標、TTP和檢測手法來改善自身防禦
，追捕自身網絡中的相關行為。

駐留一年：可能潛伏在其他關鍵基礎設施中

火眼稱：攻擊者在目標網絡中潛藏了一年之久才接觸到安全儀表係統(SIS)工程工作站。縱觀整個過程

，他們似乎以運營安全為優先考慮。

在企業網絡上建立初始立足點後，TRITON攻擊者的主要工作放在獲得OT網絡訪問權上。他們不展現出通常與間諜相關的行為，比如使用鍵盤記錄器和截屏工具、瀏覽文件、滲漏大量信息等。他們使用的大多數攻擊工具都落腳在網絡偵察
、橫向移動和在目標環境中駐留上。

該組織利用公開和定製後門
、Web shell及憑證獲取工具，規避殺軟檢測
，保持隱秘駐留。用於控製和監視工業過程的可編程邏輯控製器(PLC)通常在專用工程工作站上通過其製造商提供的特殊軟件來編程。編程Triconex安全控製器的軟件名為TriStation
，采用未公開私有協議編程PLC
，但該私有協議被攻擊者逆向工程後用來創建了TRITON惡意軟件。

其他目標環境中可能還有攻擊者留存

基於對其定製入侵工具的分析，攻擊者可能早在2014年(nian)就(jiu)展(zhan)開(kai)活(huo)動(dong)了(le)。雖(sui)然(ran)很(hen)多(duo)工(gong)具(ju)都(dou)可(ke)追(zhui)溯(su)到(dao)初(chu)始(shi)入(ru)侵(qin)前(qian)幾(ji)年(nian)
，但(dan)火(huo)眼(yan)之(zhi)前(qian)從(cong)未(wei)遇(yu)到(dao)過(guo)該(gai)攻(gong)擊(ji)者(zhe)的(de)任(ren)何(he)定(ding)製(zhi)工(gong)具(ju)。這(zhe)一(yi)事(shi)實(shi)和(he)攻(gong)擊(ji)者(zhe)表(biao)現(xian)出(chu)的(de)對(dui)運(yun)營(ying)安(an)全(quan)的(de)關(guan)注(zhu)，意(yi)味(wei)著(zhe)可(ke)能(neng)還(hai)有(you)其(qi)他(ta)的(de)目(mu)標(biao)環(huan)境(jing)——除了10號披露的第二起入侵之外

，這些攻擊者可能曾經存在或現在仍然駐留在其他未被發現的目標環境中。

火眼敦促CNI提供商查找警示指征
，包括：

通往非標準IP範圍的出入站連接，尤其是來自OVH和UK-2 Limited 之類國際虛擬專用服務器(VPS)提供商
；

公司常用公共目錄中的未簽名微軟程序；

指向未簽名.exe文件的新建或異常計劃任務XML觸發器；

PowerShell腳本或PowerShell命令行項中諸如“.CreationTime=” 的時間戳命令字符串。

火眼團隊還表示：大多數複雜ICS攻擊利用Windows
、Linux和其他傳統 “IT” 係統(位於IT或OT網絡中)作為通往最終目標的通道
，防禦者最好多關注這些通道。

例如利用計算機獲取目標PLC訪問權（例子：震網)，與聯網人機接口(HMI)直接交互（例子：黑色能量)
，遠程訪問工程工作站以操作遠程終端單元(RTU)（例子：INDUSTROYER)，或者感染SIS可編程邏輯控製器(PLC)（例子：TRITON)。

想要阻止這些“通道”係統中的攻擊者，防禦者可以利用隨IT和OT係統覆蓋麵持續增長而上升的一些關鍵有利因素，包括成熟安全工具的廣泛可用性

，以此防禦和追捕在Windows、Linux和其他傳統“IT”中的威脅。

ICS攻擊可持續數年

複雜ICSgongjidezhenduixinggongjishengmingzhouqiwangwangyinianji。gongjizhexuyaojiaochangshijianlaizhunbeicileigongjiyilejiemubiaodegongyeguochenghedazaodingzhigongju。zhexiegongjihaiwangwangshiyoushuyidaijituxierfeijishijingongdeminzuguojiafaqide(例如：安裝TRITON之類惡意軟件再等待何時的時機使用之)。在此期間
，攻擊者必須確保能夠持續訪問目標環境，否則就有數年努力和高昂定製ICS惡意軟件毀於一旦的風險。本次披露的TRITON新案例也不例外。

TRITON組織在入侵時用到的一些技術包括重命名文件以模仿Windows更新包，使用RDP和PsExec等標準工具以藏身於典型管理行為中，通過混入合法文件在 Outlook Exchange 服務器上植入 Web shell
，使用加密SSH隧道，在使用後刪除工具和日誌以避免留下蹤跡

，修改文件時間戳

，以及在非正常工作時間段操作以避免被發現等等。

TRITON所用工具的創建時間可追溯至2014年(nian)前(qian)，但(dan)該(gai)組(zu)織(zhi)數(shu)年(nian)間(jian)成(cheng)功(gong)規(gui)避(bi)了(le)檢(jian)測(ce)，充(chong)分(fen)說(shuo)明(ming)了(le)其(qi)複(fu)雜(za)程(cheng)度(du)和(he)對(dui)運(yun)營(ying)安(an)全(quan)的(de)重(zhong)視(shi)。研(yan)究(jiu)人(ren)員(yuan)認(ren)為(wei)，除(chu)了(le)已(yi)證(zheng)實(shi)的(de)兩(liang)個(ge)受(shou)害(hai)者(zhe)
，可(ke)能(neng)還(hai)有(you)其(qi)他(ta)企(qi)業(ye)或(huo)ICS環境中仍留存有TRITON。

由於截至目前觀測到的所有複雜ICS攻擊都始於對傳統Windows、Linux和其他IT係統的入侵，擁有和運營工業控製設備的公司企業應改善其可作為關鍵資產跳板的 “通道” 係統的攻擊檢測能力。