産業制御システムに対するstuxnet以来最大の脅威 by anton cherepanov, róbert...

INDUSTROYERAnton Cherepanov / @cherepanov74

Robert Lipovsky / @Robert_Lipovsky

Robert Lipovsky

上級マルウェア研究者

@Robert_Lipovsky

Anton Cherepanov

上級マルウェア研究者

@cherepanov74

ICSを狙うマルウェア

INDUSTROYERについて: ウクライナでの被害

INDUSTROYER解析

潜在的な影響

概要

マルウェア操作者工業用地インターネット

ICSを狙うマルウェア

INDUSTROYER

マルウェア操作者工業用地インターネット電力供給会社

Industroyer

STUXNET HAVEX BLACKENERGY INDUSTROYER2010 2014 2015 2016

23 Dec 2015

ネットワークスキャナ

ファイル窃取

パスワード窃取

キーロガー

スクリーンショット

ネットワーク探索

BlackEnergyCORE

ウクライナでの被害

ESETが解析を開始

最初の報告が完了

追加調査

Industroyerに関する報告が公開

17 Dec 2016

A few days later

12 Jun 201718 Jan 2017

INDUSTROYER

メインのバックドア

INDUSTROYER

マルウェア操作者 INDUSTRIAL SITEインターネット電力供給会社

Industroyer

Main Backdoor

メインのバックドア –コマンド集

プロセスの実行

特定のユーザーアカウントを用いたプロセスの実行

C&Cサーバーからのダウンロード

ファイルの複製とアップロード

シェルコマンドの実行

特定のユーザーアカウントを用いたシェルコマンドの実行

停止

サービスの停止

特定のユーザーアカウントを用いたサービスの停止

特定のユーザーアカウントを用いたサービスの開始

特定のサービスに対する“Image path”レジストリ値の書き換え

Main Backdoor

停止

メインのバックドア -> VBS -> MS SQL -> CSCRIPT -> VBS

Set cmd = CreateObject("ADODB.Command")

cmd.ActiveConnection = mConnection

cmd.CommandText = "BEGIN EXEC sp_configure 'show advanced options', 1;RECONFIGURE;

EXEC sp_configure 'Ole Automation Procedures', 1;RECONFIGURE; END;"

cmd.Execute

cmd.CommandText = "BEGIN EXEC sp_configure 'show advanced options', 1;RECONFIGURE;

EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE; END;"

cmd.Execute

停止

DOSツール

Port Scannerポート

スキャナー

追加のバックドア

EXEC xp_cmdshell 'C:\intel\port.exe -ip=%IP_ADDRESS%

-ports= 2404, 21845, 445, 135';

135 - RPC Locator service

445 – SMB

2404 - IEC 60870-5-104

21845 - webphone

700 – Extensible Provisioning Protocol over TCP

701 – Link Management Protocol

1433 – MS SQL Server default port

1521 – nCube License Manager / Oracle dB

DOSツール

Port Scannerポートスキャナー

ランチャー

マルウェアによる影響: ペイロード

DOSツール

101 ペイロード 104ペイロード61850

ペイロードOPC DA ペイロード

ポートスキャナー

17 Dec 2016 - 22:27 (UTC)

ランチャー

101ペイロード 104 ペイロード61850

ペイロード

• シリアル番号

• IOA (Information Object Address) の範囲

• 単発コマンド (C_SC_NA_1)

• 二発コマンド (C_DC_NA_1)

• OFF -> ON -> OFF

OPC DA ペイロード

• TCP/IP

• モード:

• 範囲

• 遷移

• シーケンス

101ペイロード 104ペイロード61850

ペイロードOPC DAペイロード

• Auto-discovery

• CSW, CF, Pos, and Model

• CSW, ST, Pos, and stVal

• CSW, CO, Pos, Oper, but not $T

• CSW, CO, Pos, SBO, but not $T

• OPCサーバーを発見

• COMインターフェース:

• IOPCServer

• IOPCBrowseServerAddressSpace

• IOPCSyncIO

• ctlSelOn (オンコマンドを選択)

• ctlSelOff (オフコマンドを選択)

• ctlOperOn (オンコマンドを実行)

• ctlOperOff (オフコマンドを実行)

• \Pos and stVal (位置、状態の切り替え)

Github: https://github.com/eset/malware-research/tree/master/industroyer

• バイナリ中のOPC Data Access LIBIDs, CLSIDs, IIDsを特定

• IDA ProでOPC DA構造を作成し列挙

• 一般的なリバースエンジニアリングの用途で使用可能

実行前

実行後

マルウェアによる影響: サービス不能攻撃

マルウェアによる影響: データの消去

DOSツール

ポートスキャナー

ランチャー

データ消去

ABB PCM600

ABB MicroScada

Signal Cross References

Substation Configuration Language

Substation Configuration Description

Configured IED Description

! 世界的な脅威

! 危険な攻撃者

! まだ見ぬ潜在能力

見えないもの

Thank you! Questions?

@cherepanov74

@Robert_Lipovsky

産業制御システムに対するstuxnet以来最大の脅威 by anton cherepanov, róbert...

Devices & Hardware

sugárkémiai áttekintés s chiller róbert

pinter róbert: mobil trendek

تجزیه و تحلیل بدافزار استاکس نت...

csott róbert: tetőszerkezetek akusztikai kérdései

a károly róbert

róbert péter: társadalmi mobilitás

antiy · 2020. 7. 16. · 2014 10 n 14 a, cve-2014-4114...

stuxnet - eit.lth.se · magazine hakin9 (ms10-061)...

készítette: márkus róbert zsolt ...

tardos róbert

stuxnet under the microscope - Официальный...

stuxnet msu

dpg 2013 stuxnet frŸ hjahrstagung dresden march 2013 cyber...

rÓbert brtko filozofickoprÁvne vÝchodiskÁ …

thúróczy róbert - sísuli kezdőknek

stuxnet : un exemple d’attaque ciblée

dr. róbert péter, egyetemi tanár

fidrich róbert - zÖldrefestÉs

mgr. róbert truchan zŠ sačurov

geotechnika-szepesházi róbert-2008