産業制御システムに対するstuxnet以来最大の脅威 by anton cherepanov, róbert...
TRANSCRIPT
INDUSTROYERAnton Cherepanov / @cherepanov74
Robert Lipovsky / @Robert_Lipovsky
Robert Lipovsky
上級マルウェア研究者
@Robert_Lipovsky
Anton Cherepanov
上級マルウェア研究者
@cherepanov74
ICSを狙うマルウェア
INDUSTROYERについて: ウクライナでの被害
INDUSTROYER解析
潜在的な影響
概要
ICS
マルウェア操作者 工業用地インターネット
ICSを狙うマルウェア
ICS
INDUSTROYER
マルウェア操作者 工業用地インターネット 電力供給会社
Industroyer
STUXNET HAVEX BLACKENERGY INDUSTROYER2010 2014 2015 2016
STUXNET HAVEX BLACKENERGY INDUSTROYER2010 2014 2015 2016
STUXNET HAVEX BLACKENERGY INDUSTROYER2010 2014 2015 2016
STUXNET HAVEX BLACKENERGY INDUSTROYER2010 2014 2015 2016
STUXNET HAVEX BLACKENERGY INDUSTROYER2010 2014 2015 2016
23 Dec 2015
STUXNET HAVEX BLACKENERGY INDUSTROYER2010 2014 2015 2016
C&C
ネットワークスキャナ
ファイル窃取
パスワード窃取
キーロガー
スクリーンショット
ネットワーク探索
BlackEnergyCORE
STUXNET HAVEX BLACKENERGY INDUSTROYER2010 2014 2015 2016
STUXNET HAVEX BLACKENERGY INDUSTROYER2010 2014 2015 2016
ウクライナでの被害
ESETが解析を開始
最初の報告が完了
追加調査
Industroyerに関する報告が公開
17 Dec 2016
A few days later
12 Jun 201718 Jan 2017
STUXNET HAVEX BLACKENERGY INDUSTROYER2010 2014 2015 2016
INDUSTROYER
メインのバックドア
ICS
INDUSTROYER
マルウェア操作者 INDUSTRIAL SITEインターネット 電力供給会社
Industroyer
Main Backdoor
Main Backdoor
メインのバックドア –コマンド集
プロセスの実行
特定のユーザーアカウントを用いたプロセスの実行
C&Cサーバーからのダウンロード
ファイルの複製とアップロード
シェルコマンドの実行
特定のユーザーアカウントを用いたシェルコマンドの実行
停止
サービスの停止
特定のユーザーアカウントを用いたサービスの停止
特定のユーザーアカウントを用いたサービスの開始
特定のサービスに対する“Image path”レジストリ値の書き換え
Main Backdoor
Main Backdoor
メインのバックドア –コマンド集
プロセスの実行
特定のユーザーアカウントを用いたプロセスの実行
C&Cサーバーからのダウンロード
ファイルの複製とアップロード
シェルコマンドの実行
特定のユーザーアカウントを用いたシェルコマンドの実行
停止
サービスの停止
特定のユーザーアカウントを用いたサービスの停止
特定のユーザーアカウントを用いたサービスの開始
特定のサービスに対する“Image path”レジストリ値の書き換え
ファイルの複製とアップロード
メインのバックドア -> VBS -> MS SQL -> CSCRIPT -> VBS
Set cmd = CreateObject("ADODB.Command")
cmd.ActiveConnection = mConnection
cmd.CommandText = "BEGIN EXEC sp_configure 'show advanced options', 1;RECONFIGURE;
EXEC sp_configure 'Ole Automation Procedures', 1;RECONFIGURE; END;"
cmd.Execute
cmd.CommandText = "BEGIN EXEC sp_configure 'show advanced options', 1;RECONFIGURE;
EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE; END;"
cmd.Execute
メインのバックドア
メインのバックドア
メインのバックドア –コマンド集
プロセスの実行
特定のユーザーアカウントを用いたプロセスの実行
C&Cサーバーからのダウンロード
ファイルの複製とアップロード
シェルコマンドの実行
特定のユーザーアカウントを用いたシェルコマンドの実行
停止
サービスの停止
特定のユーザーアカウントを用いたサービスの停止
特定のユーザーアカウントを用いたサービスの開始
特定のサービスに対する“Image path”レジストリ値の書き換え
特定のサービスに対する“Image path”レジストリ値の書き換え
メインのバックドア
メインのバックドア
DOSツール
Port Scannerポート
スキャナー
追加のバックドア
EXEC xp_cmdshell 'C:\intel\port.exe -ip=%IP_ADDRESS%
-ports= 2404, 21845, 445, 135';
135 - RPC Locator service
445 – SMB
2404 - IEC 60870-5-104
21845 - webphone
700 – Extensible Provisioning Protocol over TCP
701 – Link Management Protocol
1433 – MS SQL Server default port
1521 – nCube License Manager / Oracle dB
DOSツール
メインのバックドア
メインのバックドア
Port Scannerポートスキャナー
追加のバックドア
ランチャー
マルウェアによる影響: ペイロード
マルウェアによる影響: ペイロード
マルウェアによる影響: ペイロード
DOSツール
101 ペイロード 104ペイロード61850
ペイロードOPC DA ペイロード
メインのバックドア
メインのバックドア
ポートスキャナー
17 Dec 2016 - 22:27 (UTC)
ランチャー
追加のバックドア
101ペイロード 104 ペイロード61850
ペイロード
• シリアル番号
• IOA (Information Object Address) の範囲
• 単発コマンド (C_SC_NA_1)
• 二発コマンド (C_DC_NA_1)
• OFF -> ON -> OFF
OPC DA ペイロード
• TCP/IP
• モード:
• 範囲
• 遷移
• シーケンス
101ペイロード 104ペイロード61850
ペイロードOPC DA ペイロード
101ペイロード 104ペイロード61850
ペイロードOPC DAペイロード
101ペイロード 104ペイロード61850
ペイロードOPC DAペイロード
101ペイロード 104ペイロード61850
ペイロードOPC DAペイロード
101ペイロード 104ペイロード61850
ペイロードOPC DA ペイロード
• Auto-discovery
• CSW, CF, Pos, and Model
• CSW, ST, Pos, and stVal
• CSW, CO, Pos, Oper, but not $T
• CSW, CO, Pos, SBO, but not $T
101ペイロード 104ペイロード61850
ペイロードOPC DAペイロード
• OPCサーバーを発見
• COMインターフェース:
• IOPCServer
• IOPCBrowseServerAddressSpace
• IOPCSyncIO
• ctlSelOn (オンコマンドを選択)
• ctlSelOff (オフコマンドを選択)
• ctlOperOn (オンコマンドを実行)
• ctlOperOff (オフコマンドを実行)
• \Pos and stVal (位置、状態の切り替え)
101ペイロード 104ペイロード61850
ペイロードOPC DAペイロード
Github: https://github.com/eset/malware-research/tree/master/industroyer
• バイナリ中のOPC Data Access LIBIDs, CLSIDs, IIDsを特定
• IDA ProでOPC DA構造を作成し列挙
• 一般的なリバースエンジニアリングの用途で使用可能
101ペイロード 104ペイロード61850
ペイロードOPC DAペイロード
実行前
101ペイロード 104ペイロード61850
ペイロードOPC DAペイロード
実行後
101ペイロード 104ペイロード61850
ペイロードOPC DAペイロード
マルウェアによる影響: サービス不能攻撃
マルウェアによる影響: データの消去
DOSツール
101ペイロード 104ペイロード61850
ペイロードOPC DAペイロード
メインのバックドア
メインのバックドア
ポートスキャナー
ランチャー
追加のバックドア
データ消去
ABB PCM600
ABB MicroScada
Signal Cross References
Substation Configuration Language
Substation Configuration Description
Configured IED Description
! 世界的な脅威
! 危険な攻撃者
! まだ見ぬ潜在能力
見えないもの
Thank you! Questions?
@cherepanov74
@Robert_Lipovsky