産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský

INDUSTROYERAnton Cherepanov / @cherepanov74

Robert Lipovsky / @Robert_Lipovsky

Robert Lipovsky

上級マルウェア研究者

@Robert_Lipovsky

Anton Cherepanov

上級マルウェア研究者

@cherepanov74

ICSを狙うマルウェア

INDUSTROYERについて: ウクライナでの被害

INDUSTROYER解析

潜在的な影響

概要

ICS

マルウェア操作者工業用地インターネット

ICSを狙うマルウェア

ICS

INDUSTROYER

マルウェア操作者工業用地インターネット電力供給会社

Industroyer

STUXNET HAVEX BLACKENERGY INDUSTROYER2010 2014 2015 2016





23 Dec 2015


C&C

ネットワークスキャナ

ファイル窃取

パスワード窃取

キーロガー

スクリーンショット

ネットワーク探索

BlackEnergyCORE



ウクライナでの被害

ESETが解析を開始

最初の報告が完了

追加調査

Industroyerに関する報告が公開

17 Dec 2016

A few days later

12 Jun 201718 Jan 2017


INDUSTROYER

メインのバックドア

ICS

INDUSTROYER

マルウェア操作者 INDUSTRIAL SITEインターネット電力供給会社

Industroyer

Main Backdoor

Main Backdoor

メインのバックドア –コマンド集

プロセスの実行

特定のユーザーアカウントを用いたプロセスの実行

C&Cサーバーからのダウンロード

ファイルの複製とアップロード

シェルコマンドの実行

特定のユーザーアカウントを用いたシェルコマンドの実行

停止

サービスの停止

特定のユーザーアカウントを用いたサービスの停止

特定のユーザーアカウントを用いたサービスの開始

特定のサービスに対する“Image path”レジストリ値の書き換え

Main Backdoor

Main Backdoor








停止






メインのバックドア -> VBS -> MS SQL -> CSCRIPT -> VBS

Set cmd = CreateObject("ADODB.Command")

cmd.ActiveConnection = mConnection

cmd.CommandText = "BEGIN EXEC sp_configure 'show advanced options', 1;RECONFIGURE;

EXEC sp_configure 'Ole Automation Procedures', 1;RECONFIGURE; END;"

cmd.Execute

cmd.CommandText = "BEGIN EXEC sp_configure 'show advanced options', 1;RECONFIGURE;

EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE; END;"

cmd.Execute










停止








DOSツール

Port Scannerポート

スキャナー

追加のバックドア

EXEC xp_cmdshell 'C:\intel\port.exe -ip=%IP_ADDRESS%

-ports= 2404, 21845, 445, 135';

135 - RPC Locator service

445 – SMB

2404 - IEC 60870-5-104

21845 - webphone

700 – Extensible Provisioning Protocol over TCP

701 – Link Management Protocol

1433 – MS SQL Server default port

1521 – nCube License Manager / Oracle dB

DOSツール



Port Scannerポートスキャナー


ランチャー

マルウェアによる影響: ペイロード



DOSツール

101 ペイロード 104ペイロード61850

ペイロードOPC DA ペイロード



ポートスキャナー

17 Dec 2016 - 22:27 (UTC)

ランチャー


101ペイロード 104 ペイロード61850

ペイロード

• シリアル番号

• IOA (Information Object Address) の範囲

• 単発コマンド (C_SC_NA_1)

• 二発コマンド (C_DC_NA_1)

• OFF -> ON -> OFF

OPC DA ペイロード

• TCP/IP

• モード:

• 範囲

• 遷移

• シーケンス

101ペイロード 104ペイロード61850



ペイロードOPC DAペイロード







• Auto-discovery

• CSW, CF, Pos, and Model

• CSW, ST, Pos, and stVal

• CSW, CO, Pos, Oper, but not $T

• CSW, CO, Pos, SBO, but not $T



• OPCサーバーを発見

• COMインターフェース:

• IOPCServer

• IOPCBrowseServerAddressSpace

• IOPCSyncIO

• ctlSelOn (オンコマンドを選択)

• ctlSelOff (オフコマンドを選択)

• ctlOperOn (オンコマンドを実行)

• ctlOperOff (オフコマンドを実行)

• \Pos and stVal (位置、状態の切り替え)



Github: https://github.com/eset/malware-research/tree/master/industroyer

• バイナリ中のOPC Data Access LIBIDs, CLSIDs, IIDsを特定

• IDA ProでOPC DA構造を作成し列挙

• 一般的なリバースエンジニアリングの用途で使用可能



https://github.com/eset/malware-research/tree/master/industroyer

実行前



実行後



マルウェアによる影響: サービス不能攻撃

マルウェアによる影響: データの消去

DOSツール





ポートスキャナー

ランチャー


データ消去

ABB PCM600

ABB MicroScada

Signal Cross References

Substation Configuration Language

Substation Configuration Description

Configured IED Description

! 世界的な脅威

! 危険な攻撃者

! まだ見ぬ潜在能力

見えないもの

Thank you! Questions?

@cherepanov74

@Robert_Lipovsky

Devices & Hardware

産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský