• All Blogs
Triton ICS-Malware

4 Möglichkeiten zum Schutz vor Triton ICS-Malware

Ronen Rabinovich | Okt 8, 2018

Beim jüngsten Triton ICS-Malware-Angriff handelt es sich um eine speziell zugeschnittene ICS-Malware, die auch den Namen „TRISIS“ trägt, weil sie eine Schwachstelle in EcoStruxure™ Triconex-Sicherheitssystemen von Schneider Electric ausnutzt, die es der Malware ermöglicht, die Logik in speicherprogrammierbaren Steuerungen auszutauschen, welche Befehle direkt an physische Maschinen senden. Die Triton ICS-Malware ist die fünfte bekannte Malware, die speziell auf ICS/SCADA-Netzwerke abzielt und seit ihrer Veröffentlichung mindestens einen erfolgreichen Angriff auf eine Anlage im Nahen Osten durchgeführt hat.

Triton ICS-Malware-Vorfall im Überblick

Die Triton ICS-Malware fungiert als Nutzlast, nachdem Hacker bereits einen weitreichenden Zugriff auf das Netzwerk einer Einrichtung erhalten haben. Wenn Triton in einem industriellen Steuerungssystem installiert wird, sucht der Code per Scan-Vorgang nach Schneider Triconex-Geräten, bestätigt, dass er sich mit ihnen verbinden kann, und beginnt dann, neue Befehle in den Betriebsablauf einzufügen. Wenn die bösartigen Befehle der Malware von den Triconex-Komponenten nicht akzeptiert werden, kann dies zum Absturz des Triconex-Sicherheitssystems führen.

Die Hacker haben Triton auf einer Windows-basierten Engineering-Workstation eingesetzt. Die Malware lässt legitime Programme weiter auf den Controllern laufen, fügt aber eigene Programme in die Ausführungstabelle ein. Im Störfall versucht die Malware, den Controller wieder in einen Betriebszustand zu versetzen oder das schädliche Programm mit Junk-Daten zu überschreiben, vermutlich um seine Spuren zu verwischen.

Triton ICS-Malware gefährdet Menschen und Produktion

Sobald der SIS-Controller kompromittiert wurde, kann der Angreifer das Triconex-Gerät neu programmieren, um einen Sicherheitszustand auszulösen, der zu Ausfallzeiten und finanziellen Verlusten führen kann. Angreifer könnten das SIS auch so umprogrammieren, dass es gefährliche Parameter zulässt, ohne den Sicherheitszustand auszulösen, der neben der Produktion und den Geräten auch Personen im Betrieb betreffen kann.

Da Triconex-Systeme auf „Ausfallsicherheit“ ausgelegt sind, würde dies dazu führen, dass andere Systeme aus Sicherheitsgründen abschalten und den Betrieb einer Anlage stören. Fällt das Sicherheitssystem aus, kommen alle anderen Systeme zum Stillstand.

4 Möglichkeiten zum Schutz vor Triton (TRISIS) ICS-Malware

Netzwerkadministratoren sollten die bereitgestellten IP-Adressen, Domänennamen, Dateihashes, Netzwerksignaturen und YARA-Regeln überprüfen und die IPs zu ihrer Watchlist hinzufügen, um festzustellen, ob in ihrem Unternehmen bösartige Aktivitäten stattgefunden haben. Systembetreibern wird außerdem empfohlen, das YARA-Tool auf jedem System auszuführen, das im Verdacht steht, von diesen APT-Akteuren angegriffen worden zu sein.

Verfahren für Schlüsseländerungen – Implementieren Sie Change-Management-Verfahren für Änderungen an Schlüsselpositionen. Überprüfen Sie regelmäßig den aktuellen Schlüsselzustand.

Position der Schlüsseländerung – Nutzen Sie die Hardware-Funktionen, die eine physische Kontrolle der Programmierbarkeit von Sicherheitssteuerungen ermöglichen. In der Regel handelt es sich um Schalter, die über einen physischen Schlüssel gesteuert werden. Bei Triconex-Controllern sollten die Schlüssel nicht im PROGRAM-Modus belassen werden, außer bei geplanten Programmierereignissen.

ICS-Traffic – Überwachen Sie den ICS-Netzwerkverkehr auf unerwartete Kommunikationsflüsse und andere anomale Aktivitäten.

TCP/IP-Endpoints – Implementieren Sie eine strenge Zugriffskontrolle und Application Whitelisting für alle Server- oder Workstation-Endpoints, die das SIS-System über TCP/IP erreichen können.

* Triconex-Kunden sollten die Hersteller-Updates beachten: Schneider Electric Cybersecurity Support Portal

Darum sind Kunden von Cyberbit SCADAShield sicher

Cyberbit bietet die SCADAShield OT-Security-Lösung, die verschiedene Techniken zur Abwehr von ICS/SCADA-Malware-Angriffen wie Triton nutzt:

Kontinuierliche Überwachung und Richtliniendurchsetzung – Granulare DPI, kontinuierliche OT-Scans und Mechanismen zur Erstellung von Richtlinien stellen sicher, dass die OT-Umgebung des Kunden ständig überwacht wird, um eine maximale Erkennung und Richtliniendurchsetzung zu gewährleisten.

Kontinuierlicher Alarmaggregations- und -Reasoning-Mechanismus – Der kontinuierliche Scan- und Alarmaggregations- und -Reasoning-Mechanismus stellt sicher, dass die Sicherheitsvorschriften kontinuierlich eingehalten und durchgesetzt werden. Im Falle eines Verstoßes kann dieser sehr schnell bearbeitet und behoben werden, wodurch die Ausfallzeiten auf ein absolutes Minimum reduziert werden. Mit den SCADAShied-Dashboards für Alarmaggregation und -Reasoning erhalten die OT-Manager Transparenz durch:

  • Schnelles und direktes Auffinden von OT-Schwachstellen, wodurch eine zügige Reaktion ermöglicht wird.
  • Erläuterung der Gründe für den Alarm (Black Policy oder VCE-Verletzung, Erkennung von neuen Hosts, Verbindungen, Protokollen oder Befehlen)
Dashboard für Alarmaggregation und -Reasoning – Cyberbit SCADAShield

Triton ICS-Malware Dashboard für Alarmaggregation und -Reasoning


Klare Zuordnung von kritischen Zonen
 – Die NetMap-Gruppierungsfunktion von SCADAShield stellt sicher, dass die kritischsten und anfälligsten Zonen des Unternehmens dynamisch abgebildet werden, sodass es sehr einfach ist, die täglichen Aktivitäten genau zu überwachen und zu kontrollieren. Der OT-Manager kann sehen, wo genau ein Angriff stattgefunden hat, welche Assets angegriffen werden, welche Kommunikationsprotokolle und welche weiteren Assets ebenfalls gefährdet sein könnten.


SCADAShield NetMap

Triton ICS-Malware SCADAShield NetMap

 

Cyberbit SCADAShield erreicht bei der ersten ENCS umfassenden Bewertung von OT IDS-Lösungen eine perfekte 100% -Score.

Laden Sie die Zusammenfassung des ENCS-Berichts herunter.

Ronen Rabinovich ist ICS / SCADA Security Product Manager bei Cyberbit.