Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský

620 views

Published on

Industroyerは電力系統に対する攻撃に特化した史上初のマルウェアである。このユニークで非常に危険なマルウェアフレームワークは、2016年12月にウクライナで停電を引き起こした。
BlackEnergy (a.k.a. SandWorm) などの重要インフラを攻撃対象にした他のマルウェアとIndustroyerの違いは、4種類の産業用通信プロトコルを使用して直接コントロールスイッチやブレーカーを操作する能力にある。

本講演では、Industroyerが悪名高いStuxnetワーム以来産業制御システムに対する最大の脅威であると考えられる理由の解説に加え、2016年の停電を近年のウクライナの重要インフラに対する他の多くのサイバー攻撃と比較して解説する。

Industroyerが攻撃するプロトコルやハードウェアはウクライナに限らず世界的に電力系統や交通網、そして水道やガスといった重要なインフラにおいて使われているため、このマルウェアは他国の重要なサービスへの攻撃にも転用することができる。この発見は、このような重要なシステムのセキュリティを担う者達に警鐘を鳴らすはずだ。


アントン・チェレパノフ- Anton Cherepanov -
アントン・チェレパノフはESETのシニアマルウェアリサーチャーであり、複雑な脅威の分析などを担当している。彼はウクライナにおけるサイバー攻撃を広く研究しており、その内容はVirus Bulletin、CARO Workshop、PHDays、ZeroNightsなど数多くのカンファレンスにおいて発表されている。彼はリバースエンジニアリングとマルウェア分析の自動化に特に興味を持っている。

ロバート・リポヴスキー - Róbert Lipovský -
ロバート・リポヴスキーは、10年間のマルウェア研究経験を有するESET Security Research Laboratoryのシニアマルウェアリサーチャーである。彼はマルウェアの調査と分析を担当しており、ブラチスラヴァのESET本部にてマルウェア研究のチームを率いている。彼はBlack Hat、Virus Bulletin、CAROといったセキュリティカンファレンスにて定期的に登壇する人物である。彼はコメンスキー大学および母校のスロバキア工科大学においてリバースエンジニアリングの課程を開設している。キーボードに触れていない間、彼はスポーツやギター、飛行機を飛ばすことを楽しんでいる。

Published in: Devices & Hardware
  • Be the first to comment

産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský

  1. 1. INDUSTROYER Anton Cherepanov / @cherepanov74 Robert Lipovsky / @Robert_Lipovsky
  2. 2. Robert Lipovsky 上級マルウェア研究者 @Robert_Lipovsky Anton Cherepanov 上級マルウェア研究者 @cherepanov74
  3. 3. ICSを狙うマルウェア INDUSTROYERについて: ウクライナでの被害 INDUSTROYER解析 潜在的な影響 概要
  4. 4. ICS マルウェア 操作者 工業用地インターネット ICSを狙うマルウェア
  5. 5. ICS INDUSTROYER マルウェア 操作者 工業用地インターネット 電力供給会社 Industroyer
  6. 6. STUXNET HAVEX BLACKENERGY INDUSTROYER 2010 2014 2015 2016
  7. 7. STUXNET HAVEX BLACKENERGY INDUSTROYER 2010 2014 2015 2016
  8. 8. STUXNET HAVEX BLACKENERGY INDUSTROYER 2010 2014 2015 2016
  9. 9. STUXNET HAVEX BLACKENERGY INDUSTROYER 2010 2014 2015 2016
  10. 10. STUXNET HAVEX BLACKENERGY INDUSTROYER 2010 2014 2015 2016 23 Dec 2015
  11. 11. STUXNET HAVEX BLACKENERGY INDUSTROYER 2010 2014 2015 2016 C&C ネットワークスキャナ ファイル窃取 パスワード窃取 キーロガー スクリーンショット ネットワーク探索 BlackEnergy CORE
  12. 12. STUXNET HAVEX BLACKENERGY INDUSTROYER 2010 2014 2015 2016
  13. 13. STUXNET HAVEX BLACKENERGY INDUSTROYER 2010 2014 2015 2016
  14. 14. ウクライナ での被害 ESETが解析を開始 最初の報告が 完了 追加調査 Industroyerに関する 報告が公開 17 Dec 2016 A few days later 12 Jun 201718 Jan 2017 STUXNET HAVEX BLACKENERGY INDUSTROYER 2010 2014 2015 2016 INDUSTROYER
  15. 15. メインの バックドア ICS INDUSTROYER マルウェア 操作者 INDUSTRIAL SITEインターネット 電力供給会社 Industroyer
  16. 16. Main Backdoor Main Backdoor メインのバックドア – コマンド集 プロセスの実行 特定のユーザーアカウントを用いたプロセスの実行 C&Cサーバーからのダウンロード ファイルの複製とアップロード シェルコマンドの実行 特定のユーザーアカウントを用いたシェルコマンドの実行 停止 サービスの停止 特定のユーザーアカウントを用いたサービスの停止 特定のユーザーアカウントを用いたサービスの開始 特定のサービスに対する“Image path”レジストリ値の書き換え
  17. 17. Main Backdoor Main Backdoor メインのバックドア – コマンド集 プロセスの実行 特定のユーザーアカウントを用いたプロセスの実行 C&Cサーバーからのダウンロード ファイルの複製とアップロード シェルコマンドの実行 特定のユーザーアカウントを用いたシェルコマンドの実行 停止 サービスの停止 特定のユーザーアカウントを用いたサービスの停止 特定のユーザーアカウントを用いたサービスの開始 特定のサービスに対する“Image path”レジストリ値の書き換え ファイルの複製とアップロード
  18. 18. メインのバックドア -> VBS -> MS SQL -> CSCRIPT -> VBS
  19. 19. Set cmd = CreateObject("ADODB.Command") cmd.ActiveConnection = mConnection cmd.CommandText = "BEGIN EXEC sp_configure 'show advanced options', 1;RECONFIGURE; EXEC sp_configure 'Ole Automation Procedures', 1;RECONFIGURE; END;" cmd.Execute cmd.CommandText = "BEGIN EXEC sp_configure 'show advanced options', 1;RECONFIGURE; EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE; END;" cmd.Execute
  20. 20. メインの バックドア メインの バックドア メインのバックドア – コマンド集 プロセスの実行 特定のユーザーアカウントを用いたプロセスの実行 C&Cサーバーからのダウンロード ファイルの複製とアップロード シェルコマンドの実行 特定のユーザーアカウントを用いたシェルコマンドの実行 停止 サービスの停止 特定のユーザーアカウントを用いたサービスの停止 特定のユーザーアカウントを用いたサービスの開始 特定のサービスに対する“Image path”レジストリ値の書き換え 特定のサービスに対する“Image path”レジストリ値の書き換え
  21. 21. メインの バックドア メインの バックドア DOSツール Port Scanner ポート スキャナー 追加の バックドア EXEC xp_cmdshell 'C:intelport.exe -ip=%IP_ADDRESS% -ports= 2404, 21845, 445, 135'; 135 - RPC Locator service 445 – SMB 2404 - IEC 60870-5-104 21845 - webphone 700 – Extensible Provisioning Protocol over TCP 701 – Link Management Protocol 1433 – MS SQL Server default port 1521 – nCube License Manager / Oracle dB
  22. 22. DOSツール メインの バックドア メインの バックドア Port Scannerポートスキャナー 追加の バックドア ランチャー
  23. 23. マルウェアによる影響: ペイロード
  24. 24. マルウェアによる影響: ペイロード
  25. 25. マルウェアによる影響: ペイロード
  26. 26. DOSツール 101 ペイロード 104ペイロード 61850 ペイロード OPC DA ペイロード メインの バックドア メインの バックドア ポート スキャナー 17 Dec 2016 - 22:27 (UTC) ランチャー 追加の バックドア
  27. 27. 101ペイロード 104 ペイロード 61850 ペイロード • シリアル番号 • IOA (Information Object Address) の範囲 • 単発コマンド (C_SC_NA_1) • 二発コマンド (C_DC_NA_1) • OFF -> ON -> OFF OPC DA ペイロード
  28. 28. • TCP/IP • モード: • 範囲 • 遷移 • シーケンス 101ペイロード 104ペイロード 61850 ペイロード OPC DA ペイロード
  29. 29. 101ペイロード 104ペイロード 61850 ペイロード OPC DA ペイロード
  30. 30. 101ペイロード 104ペイロード 61850 ペイロード OPC DA ペイロード
  31. 31. 101ペイロード 104ペイロード 61850 ペイロード OPC DA ペイロード
  32. 32. 101ペイロード 104ペイロード 61850 ペイロード OPC DA ペイロード • Auto-discovery • CSW, CF, Pos, and Model • CSW, ST, Pos, and stVal • CSW, CO, Pos, Oper, but not $T • CSW, CO, Pos, SBO, but not $T
  33. 33. 101ペイロード 104ペイロード 61850 ペイロード OPC DA ペイロード • OPCサーバーを発見 • COMインターフェース: • IOPCServer • IOPCBrowseServerAddressSpace • IOPCSyncIO • ctlSelOn (オンコマンドを選択) • ctlSelOff (オフコマンドを選択) • ctlOperOn (オンコマンドを実行) • ctlOperOff (オフコマンドを実行) • Pos and stVal (位置、状態の切り替え)
  34. 34. 101ペイロード 104ペイロード 61850 ペイロード OPC DA ペイロード
  35. 35. Github: https://github.com/eset/malware-research/tree/master/industroyer • バイナリ中のOPC Data Access LIBIDs, CLSIDs, IIDsを特定 • IDA ProでOPC DA構造を作成し列挙 • 一般的なリバースエンジニアリングの用途で使用可能 101ペイロード 104ペイロード 61850 ペイロード OPC DA ペイロード
  36. 36. 実行前 101ペイロード 104ペイロード 61850 ペイロード OPC DA ペイロード
  37. 37. 実行後 101ペイロード 104ペイロード 61850 ペイロード OPC DA ペイロード
  38. 38. マルウェアによる影響: サービス不能攻撃
  39. 39. マルウェアによる影響: データの消去
  40. 40. DOSツール 101ペイロード 104ペイロード 61850 ペイロード OPC DA ペイロード メインの バックドア メインの バックドア ポート スキャナー ランチャー 追加の バックドア データ 消去
  41. 41. ABB PCM600 ABB MicroScada Signal Cross References Substation Configuration Language Substation Configuration Description Configured IED Description
  42. 42. ! 世界的な脅威 ! 危険な攻撃者 ! まだ見ぬ潜在能力 見えないもの
  43. 43. Thank you! Questions? @cherepanov74 @Robert_Lipovsky

×