恶意软件不断涌现，我们应该怎么办？？？

2022-07-08

2022年12月，安全研究人员发现了一款专门针对工控安全系统的恶意软件变体该恶意软件以施耐德电气生产的Triconex安全仪表控制系统(SIS)为攻击目标，所谓安全仪表系统(SIS)，又称为安全联锁系统(Safety interlocking System)，可以监测生产过程中出现的或者潜伏的危险，发出告警信息或直接执行预定程序，立即进入操作，防止事故的发生、降低事故带来的危害及其影响，是工业企业自动控制中的重要组成部分。

据悉，该恶意软件可以在攻陷SIS系统后，对SIS系统逻辑进行重编辑，使SIS系统产生意外动作，对正常生产活动造成影响;或是造成SIS系统失效，在发生安全隐患或安全风险时无法及时实行和启动安全保护机制;亦或在攻陷SIS系统后，对DCS系统实施攻击，并通过SIS系统与DCS系统的联合作用，对工业设备、生产活动以及人员健康造成破坏。因此，该恶意软件被研究人员命名为“TRISIS”(或TRITON)恶意软件。

虽然TRITON并不是第一个以工业控制系统(ICS)为攻击目标的恶意软件，但它确实用事实证明，曾经在很大程度上对网络威胁免疫的运营网络，现在正深受攻击者的青睐。

以下是迄今为止有关ICS恶意软件变体的简要历史记录：

2010-震网病毒(Stuxnet)是第一款专门针对SCADA系统(数据采集与监视控制系统)和可编程逻辑控制器(PLC)的恶意软件，曾对伊朗的核设施造成了难以估量的损害，最终导致伊朗拥有核武器的时间延迟了好几年。
2013- Havex是一款远程访问木马(RAT)，被编写来感染SCADA系统(数据采集与监视控制系统)和工控系统(ICS)中使用的工业控制软件，其有能力禁用水电大坝、使核电站过载、甚至可以做到一键关闭一个国家的电网。此外，它还可以通过扫描受感染的系统来定位网络上的SCADA或ICS设备，并将数据发送回攻击者处。概括而言，Havex是一款用于间谍活动的情报收集工具，而并非用于破坏或摧毁工业系统。
2014- BlackEnergy 2(黑暗力量2.0)是BlackEnergy(出现于2007年)的变种，该恶意软件的攻击目标为GE Cimplicity、Advantech/Broadwin WebAccess以及西门子WinCC等少数供应商提供的HMI(人机接口)软件。据悉，该恶意软件被用于2015年12月攻陷乌克兰电网的网络攻击活动中。
2022- Crash Override/Industroyer，这是第一款用于攻击电网系统的已知恶意软件，并成功实践于2022年12月针对乌克兰基辅地区变电站的攻击活动中。ESET将该恶意软件命名为“Industroyer”，Dragos将该恶意软件命名为“Crash override”。研究人员表示，这是一款全新的恶意软件，比2015年用于攻击乌克兰电网的工具要先进得多。而造成Crash override如此高复杂性的原因在于，它所利用的协议与单个电网系统间进行相互通信所使用的协议相同。除Crash Override 外，Stuxnet和Triton也可以访问这些本地协议。

2022- Triton/Trisys，详细内容上文已讨论。

由于大多数ICS环境缺乏可见性，因此，一旦攻击者获得对运营网络的访问权限，组织就很难识别恶意活动。

恶意软件攻击步骤

以下是对目标ICS恶意软件攻击的详细步骤分析：

步骤1：

攻击者成功在目标网络中立足并开始侦察活动，其中可能包含以下部分或全部内容：