Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
INDUSTROYER
Anton Cherepanov / @cherepanov74
Robert Lipovsky / @Robert_Lipovsky
Robert Lipovsky
上級マルウェア研究者
@Robert_Lipovsky
Anton Cherepanov
上級マルウェア研究者
@cherepanov74
ICSを狙うマルウェア
INDUSTROYERについて:
ウクライナでの被害
INDUSTROYER解析
潜在的な影響
概要
ICS
マルウェア
操作者 工業用地インターネット
ICSを狙うマルウェア
ICS
INDUSTROYER
マルウェア
操作者 工業用地インターネット 電力供給会社
Industroyer
STUXNET HAVEX BLACKENERGY INDUSTROYER
2010 2014 2015 2016
STUXNET HAVEX BLACKENERGY INDUSTROYER
2010 2014 2015 2016
STUXNET HAVEX BLACKENERGY INDUSTROYER
2010 2014 2015 2016
STUXNET HAVEX BLACKENERGY INDUSTROYER
2010 2014 2015 2016
STUXNET HAVEX BLACKENERGY INDUSTROYER
2010 2014 2015 2016
23 Dec 2015
STUXNET HAVEX BLACKENERGY INDUSTROYER
2010 2014 2015 2016
C&C
ネットワークスキャナ
ファイル窃取
パスワード窃取
キーロガー
スクリーンショット
ネットワーク探索
BlackEner...
STUXNET HAVEX BLACKENERGY INDUSTROYER
2010 2014 2015 2016
STUXNET HAVEX BLACKENERGY INDUSTROYER
2010 2014 2015 2016
ウクライナ
での被害
ESETが解析を開始
最初の報告が
完了
追加調査
Industroyerに関する
報告が公開
17 Dec 2016
A few days later
12 Jun 201718 Jan 2017
STUXNET HAV...
メインの
バックドア
ICS
INDUSTROYER
マルウェア
操作者 INDUSTRIAL SITEインターネット 電力供給会社
Industroyer
Main Backdoor
Main Backdoor
メインのバックドア – コマンド集
プロセスの実行
特定のユーザーアカウントを用いたプロセスの実行
C&Cサーバーからのダウンロード
ファイルの複製とアップロード
シェルコマンドの実行
特...
Main Backdoor
Main Backdoor
メインのバックドア – コマンド集
プロセスの実行
特定のユーザーアカウントを用いたプロセスの実行
C&Cサーバーからのダウンロード
ファイルの複製とアップロード
シェルコマンドの実行
特...
メインのバックドア -> VBS -> MS SQL -> CSCRIPT -> VBS
Set cmd = CreateObject("ADODB.Command")
cmd.ActiveConnection = mConnection
cmd.CommandText = "BEGIN EXEC sp_configure 'sho...
メインの
バックドア
メインの
バックドア
メインのバックドア – コマンド集
プロセスの実行
特定のユーザーアカウントを用いたプロセスの実行
C&Cサーバーからのダウンロード
ファイルの複製とアップロード
シェルコマンドの実行
特定のユーザー...
メインの
バックドア
メインの
バックドア
DOSツール
Port Scanner
ポート
スキャナー
追加の
バックドア
EXEC xp_cmdshell 'C:intelport.exe -ip=%IP_ADDRESS%
-ports= 2...
DOSツール
メインの
バックドア
メインの
バックドア
Port Scannerポートスキャナー
追加の
バックドア
ランチャー
マルウェアによる影響: ペイロード
マルウェアによる影響: ペイロード
マルウェアによる影響: ペイロード
DOSツール
101 ペイロード 104ペイロード
61850
ペイロード
OPC DA
ペイロード
メインの
バックドア
メインの
バックドア
ポート
スキャナー
17 Dec 2016 - 22:27 (UTC)
ランチャー
追加の
バック...
101ペイロード 104 ペイロード
61850
ペイロード
• シリアル番号
• IOA (Information Object Address) の範囲
• 単発コマンド (C_SC_NA_1)
• 二発コマンド (C_DC_NA_1)
•...
• TCP/IP
• モード:
• 範囲
• 遷移
• シーケンス
101ペイロード 104ペイロード
61850
ペイロード
OPC DA
ペイロード
101ペイロード 104ペイロード
61850
ペイロード
OPC DA
ペイロード
101ペイロード 104ペイロード
61850
ペイロード
OPC DA
ペイロード
101ペイロード 104ペイロード
61850
ペイロード
OPC DA
ペイロード
101ペイロード 104ペイロード
61850
ペイロード
OPC DA
ペイロード
• Auto-discovery
• CSW, CF, Pos, and Model
• CSW, ST, Pos, and stVal
• CSW, CO,...
101ペイロード 104ペイロード
61850
ペイロード
OPC DA
ペイロード
• OPCサーバーを発見
• COMインターフェース:
• IOPCServer
• IOPCBrowseServerAddressSpace
• IOPCS...
101ペイロード 104ペイロード
61850
ペイロード
OPC DA
ペイロード
Github: https://github.com/eset/malware-research/tree/master/industroyer
• バイナリ中のOPC Data Access LIBIDs, CLSIDs, IIDsを特定
•...
実行前
101ペイロード 104ペイロード
61850
ペイロード
OPC DA
ペイロード
実行後
101ペイロード 104ペイロード
61850
ペイロード
OPC DA
ペイロード
マルウェアによる影響: サービス不能攻撃
マルウェアによる影響: データの消去
DOSツール
101ペイロード 104ペイロード
61850
ペイロード
OPC DA
ペイロード
メインの
バックドア
メインの
バックドア
ポート
スキャナー
ランチャー
追加の
バックドア
データ
消去
ABB PCM600
ABB MicroScada
Signal Cross References
Substation Configuration Language
Substation Configuration Description
C...
! 世界的な脅威
! 危険な攻撃者
! まだ見ぬ潜在能力
見えないもの
Thank you! Questions?
@cherepanov74
@Robert_Lipovsky
産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský
産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský
産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský
産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský
産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský
産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský
産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský
Upcoming SlideShare
Loading in …5
×

産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský

836 views

Published on

Industroyerは電力系統に対する攻撃に特化した史上初のマルウェアである。このユニークで非常に危険なマルウェアフレームワークは、2016年12月にウクライナで停電を引き起こした。
BlackEnergy (a.k.a. SandWorm) などの重要インフラを攻撃対象にした他のマルウェアとIndustroyerの違いは、4種類の産業用通信プロトコルを使用して直接コントロールスイッチやブレーカーを操作する能力にある。

本講演では、Industroyerが悪名高いStuxnetワーム以来産業制御システムに対する最大の脅威であると考えられる理由の解説に加え、2016年の停電を近年のウクライナの重要インフラに対する他の多くのサイバー攻撃と比較して解説する。

Industroyerが攻撃するプロトコルやハードウェアはウクライナに限らず世界的に電力系統や交通網、そして水道やガスといった重要なインフラにおいて使われているため、このマルウェアは他国の重要なサービスへの攻撃にも転用することができる。この発見は、このような重要なシステムのセキュリティを担う者達に警鐘を鳴らすはずだ。


アントン・チェレパノフ- Anton Cherepanov -
アントン・チェレパノフはESETのシニアマルウェアリサーチャーであり、複雑な脅威の分析などを担当している。彼はウクライナにおけるサイバー攻撃を広く研究しており、その内容はVirus Bulletin、CARO Workshop、PHDays、ZeroNightsなど数多くのカンファレンスにおいて発表されている。彼はリバースエンジニアリングとマルウェア分析の自動化に特に興味を持っている。

ロバート・リポヴスキー - Róbert Lipovský -
ロバート・リポヴスキーは、10年間のマルウェア研究経験を有するESET Security Research Laboratoryのシニアマルウェアリサーチャーである。彼はマルウェアの調査と分析を担当しており、ブラチスラヴァのESET本部にてマルウェア研究のチームを率いている。彼はBlack Hat、Virus Bulletin、CAROといったセキュリティカンファレンスにて定期的に登壇する人物である。彼はコメンスキー大学および母校のスロバキア工科大学においてリバースエンジニアリングの課程を開設している。キーボードに触れていない間、彼はスポーツやギター、飛行機を飛ばすことを楽しんでいる。

Published in: Devices & Hardware
  • Be the first to comment

産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský

  1. 1. INDUSTROYER Anton Cherepanov / @cherepanov74 Robert Lipovsky / @Robert_Lipovsky
  2. 2. Robert Lipovsky 上級マルウェア研究者 @Robert_Lipovsky Anton Cherepanov 上級マルウェア研究者 @cherepanov74
  3. 3. ICSを狙うマルウェア INDUSTROYERについて: ウクライナでの被害 INDUSTROYER解析 潜在的な影響 概要
  4. 4. ICS マルウェア 操作者 工業用地インターネット ICSを狙うマルウェア
  5. 5. ICS INDUSTROYER マルウェア 操作者 工業用地インターネット 電力供給会社 Industroyer
  6. 6. STUXNET HAVEX BLACKENERGY INDUSTROYER 2010 2014 2015 2016
  7. 7. STUXNET HAVEX BLACKENERGY INDUSTROYER 2010 2014 2015 2016
  8. 8. STUXNET HAVEX BLACKENERGY INDUSTROYER 2010 2014 2015 2016
  9. 9. STUXNET HAVEX BLACKENERGY INDUSTROYER 2010 2014 2015 2016
  10. 10. STUXNET HAVEX BLACKENERGY INDUSTROYER 2010 2014 2015 2016 23 Dec 2015
  11. 11. STUXNET HAVEX BLACKENERGY INDUSTROYER 2010 2014 2015 2016 C&C ネットワークスキャナ ファイル窃取 パスワード窃取 キーロガー スクリーンショット ネットワーク探索 BlackEnergy CORE
  12. 12. STUXNET HAVEX BLACKENERGY INDUSTROYER 2010 2014 2015 2016
  13. 13. STUXNET HAVEX BLACKENERGY INDUSTROYER 2010 2014 2015 2016
  14. 14. ウクライナ での被害 ESETが解析を開始 最初の報告が 完了 追加調査 Industroyerに関する 報告が公開 17 Dec 2016 A few days later 12 Jun 201718 Jan 2017 STUXNET HAVEX BLACKENERGY INDUSTROYER 2010 2014 2015 2016 INDUSTROYER
  15. 15. メインの バックドア ICS INDUSTROYER マルウェア 操作者 INDUSTRIAL SITEインターネット 電力供給会社 Industroyer
  16. 16. Main Backdoor Main Backdoor メインのバックドア – コマンド集 プロセスの実行 特定のユーザーアカウントを用いたプロセスの実行 C&Cサーバーからのダウンロード ファイルの複製とアップロード シェルコマンドの実行 特定のユーザーアカウントを用いたシェルコマンドの実行 停止 サービスの停止 特定のユーザーアカウントを用いたサービスの停止 特定のユーザーアカウントを用いたサービスの開始 特定のサービスに対する“Image path”レジストリ値の書き換え
  17. 17. Main Backdoor Main Backdoor メインのバックドア – コマンド集 プロセスの実行 特定のユーザーアカウントを用いたプロセスの実行 C&Cサーバーからのダウンロード ファイルの複製とアップロード シェルコマンドの実行 特定のユーザーアカウントを用いたシェルコマンドの実行 停止 サービスの停止 特定のユーザーアカウントを用いたサービスの停止 特定のユーザーアカウントを用いたサービスの開始 特定のサービスに対する“Image path”レジストリ値の書き換え ファイルの複製とアップロード
  18. 18. メインのバックドア -> VBS -> MS SQL -> CSCRIPT -> VBS
  19. 19. Set cmd = CreateObject("ADODB.Command") cmd.ActiveConnection = mConnection cmd.CommandText = "BEGIN EXEC sp_configure 'show advanced options', 1;RECONFIGURE; EXEC sp_configure 'Ole Automation Procedures', 1;RECONFIGURE; END;" cmd.Execute cmd.CommandText = "BEGIN EXEC sp_configure 'show advanced options', 1;RECONFIGURE; EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE; END;" cmd.Execute
  20. 20. メインの バックドア メインの バックドア メインのバックドア – コマンド集 プロセスの実行 特定のユーザーアカウントを用いたプロセスの実行 C&Cサーバーからのダウンロード ファイルの複製とアップロード シェルコマンドの実行 特定のユーザーアカウントを用いたシェルコマンドの実行 停止 サービスの停止 特定のユーザーアカウントを用いたサービスの停止 特定のユーザーアカウントを用いたサービスの開始 特定のサービスに対する“Image path”レジストリ値の書き換え 特定のサービスに対する“Image path”レジストリ値の書き換え
  21. 21. メインの バックドア メインの バックドア DOSツール Port Scanner ポート スキャナー 追加の バックドア EXEC xp_cmdshell 'C:intelport.exe -ip=%IP_ADDRESS% -ports= 2404, 21845, 445, 135'; 135 - RPC Locator service 445 – SMB 2404 - IEC 60870-5-104 21845 - webphone 700 – Extensible Provisioning Protocol over TCP 701 – Link Management Protocol 1433 – MS SQL Server default port 1521 – nCube License Manager / Oracle dB
  22. 22. DOSツール メインの バックドア メインの バックドア Port Scannerポートスキャナー 追加の バックドア ランチャー
  23. 23. マルウェアによる影響: ペイロード
  24. 24. マルウェアによる影響: ペイロード
  25. 25. マルウェアによる影響: ペイロード
  26. 26. DOSツール 101 ペイロード 104ペイロード 61850 ペイロード OPC DA ペイロード メインの バックドア メインの バックドア ポート スキャナー 17 Dec 2016 - 22:27 (UTC) ランチャー 追加の バックドア
  27. 27. 101ペイロード 104 ペイロード 61850 ペイロード • シリアル番号 • IOA (Information Object Address) の範囲 • 単発コマンド (C_SC_NA_1) • 二発コマンド (C_DC_NA_1) • OFF -> ON -> OFF OPC DA ペイロード
  28. 28. • TCP/IP • モード: • 範囲 • 遷移 • シーケンス 101ペイロード 104ペイロード 61850 ペイロード OPC DA ペイロード
  29. 29. 101ペイロード 104ペイロード 61850 ペイロード OPC DA ペイロード
  30. 30. 101ペイロード 104ペイロード 61850 ペイロード OPC DA ペイロード
  31. 31. 101ペイロード 104ペイロード 61850 ペイロード OPC DA ペイロード
  32. 32. 101ペイロード 104ペイロード 61850 ペイロード OPC DA ペイロード • Auto-discovery • CSW, CF, Pos, and Model • CSW, ST, Pos, and stVal • CSW, CO, Pos, Oper, but not $T • CSW, CO, Pos, SBO, but not $T
  33. 33. 101ペイロード 104ペイロード 61850 ペイロード OPC DA ペイロード • OPCサーバーを発見 • COMインターフェース: • IOPCServer • IOPCBrowseServerAddressSpace • IOPCSyncIO • ctlSelOn (オンコマンドを選択) • ctlSelOff (オフコマンドを選択) • ctlOperOn (オンコマンドを実行) • ctlOperOff (オフコマンドを実行) • Pos and stVal (位置、状態の切り替え)
  34. 34. 101ペイロード 104ペイロード 61850 ペイロード OPC DA ペイロード
  35. 35. Github: https://github.com/eset/malware-research/tree/master/industroyer • バイナリ中のOPC Data Access LIBIDs, CLSIDs, IIDsを特定 • IDA ProでOPC DA構造を作成し列挙 • 一般的なリバースエンジニアリングの用途で使用可能 101ペイロード 104ペイロード 61850 ペイロード OPC DA ペイロード
  36. 36. 実行前 101ペイロード 104ペイロード 61850 ペイロード OPC DA ペイロード
  37. 37. 実行後 101ペイロード 104ペイロード 61850 ペイロード OPC DA ペイロード
  38. 38. マルウェアによる影響: サービス不能攻撃
  39. 39. マルウェアによる影響: データの消去
  40. 40. DOSツール 101ペイロード 104ペイロード 61850 ペイロード OPC DA ペイロード メインの バックドア メインの バックドア ポート スキャナー ランチャー 追加の バックドア データ 消去
  41. 41. ABB PCM600 ABB MicroScada Signal Cross References Substation Configuration Language Substation Configuration Description Configured IED Description
  42. 42. ! 世界的な脅威 ! 危険な攻撃者 ! まだ見ぬ潜在能力 見えないもの
  43. 43. Thank you! Questions? @cherepanov74 @Robert_Lipovsky

×