BiznetBiznet

Triton/TrISIS/HatMan Zararlı Yazılımı ve Çıkarılması Gereken Dersler

Yazar: Murat Aydemir

14 Aralık 2017 itibari Endüstriyel Kontrol Sistemlerine (EKS) yönelik saldırılar Triton/TriSIS/HatMan zararlı yazılımı ile tekrar gündeme geldi.

Triton en sade hali ile Schneider Electric Triconex Safety Instrumented Systems (SIS) controller’larını hedef alan EKS zararlı yazılımıdır.

Zararlı yazılıma ilişkin detaylı raporlar incelendiğinde Triton’un Ortadoğu’daki bir işletmeyi doğrudan hedef aldığı görülmektedir. Bu saldırının odaklı olarak tekil bir işletme için özel hazırlandığı anlaşılmaktadır. Bu bağlamda aynı SIS sistemine sahip diğer işletmelerin doğrudan saldırılardan etkileneceği söylemek hatalı olacaktır.

Triton SIS sistemlerini hedef alan ilk bilinen zararlı yazılım olması bakımından EKS güvenliği için önemli bir kilometre taşı olarak sınıflandırılabilir.

Safety Instrumented Systems (SIS) nedir?

Saldırı’ya ilişkin detaylara geçmeden önce SIS sistemlerinin ve bu sistemlere yönelik saldırı vektörlerinin anlaşılması önem arz etmektedir. SIS sistemi kritik operasyonların güvenli şekilde sürdürülmesinin sürekliliğini sağlamaktadır. SIS’ların temel görevi yürütülen operasyon kapsamında istenmeyen bir senaryo yaşanması durumunda altyapının zarar görmeden devreden çıkmasını sağlamaktır. Bunu gerçekleştirmek adına operasyonların yönetildiği Distributed Control System (DCS) controller’larından farklı olarak kendi controller’ları üzerinden saha ekipmanlarını yönetme yeteneğine sahiptir. İstenmeyen bir senaryo oluştuğunda SIS, enstrümanların DCS tarafından yönetilmesinin önüne geçmektedir. Unutulmamalıdır ki işletmelerin önceliği operasyonların sürekliliğinin sağlanmasıdır. Bunun sağlanamadığı durumlarda ise geri ekipmanların döndürülebilir şekilde durdurulması ve devreden çıkarılmasıdır. SIS tam anlamıyla  bu işlevi yerine getirmek için konumlandırılır. Bu anlamda SIS, işletmenin güvenli şekilde operasyona devam etmesinin kritik bir bileşeni ve son halkasıdır.

Her bir işletmenin ve operasyonun gereksinimi kendine özel olarak tasarlanmaktadır. Bu tasarım HAZOP analizi ile belirlenmekte ve SIS bileşenleri üzerinden uygulanmaktadır.

SIS ve DCS’lerin birlikte kullanıldığı farklı topolojiler olmakla birlikte, en güvenilir mimari DCS ve SIS sitemlerinin birbirinden tamamen izole olduğu, ek olarak SIS sistemlerinin hiçbir harici bağlantısının olmadığı topolojidir.

16 Kasım 2017 tarihinde düzenlediğimiz Endüstriyel Kontrol Sistemlerinde Bilgi Güvenli Semineri’nde “Kritik Altyapılarda Zafiyet Avı, Kırmızı Takım: Tehlikeler Ve Mücadele Yöntemleri” sunumunda, SIS sistemlerine yönelik saldırıları üst seviye olarak adreslemiştik. Bu saldırıları kategorize edecek olursak;

  1. Senaryo 1
    SIS’in tetiklenerek işletmenin “güvenli” şekilde devre dışı bırakılması
  1. Senaryo 2
    SIS lojiklerinin değiştirilip fiziksel zarar oluşturarak işletmenin devre dışı bırakılması
  1. Senaryo 3
    SIS lojiklerinin değiştirilmesi ve bununla birlikte DCS üzerinden tehlikeli operasyonların tetiklenmesi

Triton Saldırının Kapsamı ve Saldırı Ağacı

Triton vakasını incelediğimizde, SIS sistemine erişim sağlanması ile birlikte çok hızlı bir şekilde malware’in devreye alındığı görülmektedir. Bu durum, saldırganların hedef altyapı hakkında bilgi sahibi olduğunu ve ilgili SIS teknolojisi üzerinde saldırı öncesi çalışma yaptığını göstermektedir. Ek olarak Triconex’in TriStation protokolünü kullandığını ve protokolün üreticiye özel olduğunu hatırlatmakta fayda var. Bu durum, ilgili protokol üzerinde saldırı öncesi tersine mühendislik çalışmasının gerçekleştirildiğini göstermektedir.

Analiz kapsamında saldırı sırasında saldırganın öncelikli olarak Triconex iş istasyonlarına uzak erişim sağladığı, sonrasında Triton zararlı yazılımının devreye alındığı belirtilmektedir. Triconex lojiklerinin ısrarla değiştirilmeye çalışıldığı bu işlem esnasında da bazı controller’ın fail-safe moduna geçtiği raporlanmıştır. Lojiklerin ısrarla değiştirilmeye çalışılması saldırganların basit bir trip/devre dışı bırakma saldırısından çok fiziksel etkileri olabilecek bir saldırı tasarlandığı ihtimalini arttırmaktadır.

Triton zararlı yazılımının, Triconex controller’ları ile doğrudan iletişim kurabilecek yetenekte olduğu, lojiklerin uzaktan değiştirilmesi ve controller tarafından desteklenen özel komutların uzaktan gönderilmesine olanak tanıdığı anlaşılmaktadır. Bu bağlamda bu saldırı sırasında SIS teknolojilerine ilişkin herhangi bir zafiyetin sömürülmediği de anlaşılmaktadır.

Bu saldırının başarılı olabilmesi için saldırganın SIS contoller’ları ile iletişim kuran bileşenlere erişim sağlamasının gerekli olduğu unutulmamalıdır.

Korunma yöntemleri ve çıkarılacak dersler

  1. SIS’lerin (bu örnekte Triconex) izole bir network’de bulunması ve bu network’e erişebilecek uygulama/cihazların uygulama veya network katmanında kısıtlanması
  2. SIS ağına bağlanan iş istasyonlarının ve taşınabilir cihazların güvenlik denetimine tabi tutularak ağa sokulması, mümkünse harici bileşenlerin bu ağ içerisine hiç alınmaması
  3. Olağandışı bir ağ trafiği olduğunda, anında belirlenebilmesi için EKS ağının sürekli olarak izlenmesi
  4. TCP / IP üzerinden SIS sistemine erişebilecek herhangi bir sunucu veya iş istasyonu için erişim kontrolü uygulanması, mümkün olan noktalarda tek yönlü güvenlik duvarlarının kullanılması (data diode)
  5. Tüm controllerlar’ın, kilitli dolaplarda tutulması ve gerekmedikçe “Program” modunda bırakılmaması
  6. SIS controller’ları “program modu”na geçirildiği zaman, alarm üretilip, bu alarmların operatör makinalarında gösterilmesi.
  7. DCS ve SIS bileşen ve ekipmanları için fiziksel güvenlik önlemlerinin alınması

Özet Bilgiler

Üretici/Ürün: Triconex Safety Insturmented System
Model: Triconex 3008
Saldırı sırasında bir zafiyet istismar edildi mi?: Evet. PLC Firmware seviyesi bir zafiyet sömürülmüştür.
Başarı faktörü: Saldırgan SIS ağına sızabilmelidir
Zararlı yazılım dili: Python
Triconex Tespiti/TriStation İletişim:  UDP Port 1502

Referanslar

  1. https://dragos.com/blog/trisis/TRISIS-01.pdf
  2. https://www.fireeye.com/blog/threat-research/2017/12/attackers-deploy-new-ics-attack-framework-triton.html
  3. https://www.secmatters.com/blog/ics-malware-conceived-to-disrupt-operations
  4. https://ics-cert.us-cert.gov/sites/default/files/documents/MAR-17-352-01%20HatMan—Safety%20System%20Targeted%20Malware_S508C.pdf
  5. https://www.isa.org/intech/20160401
  6. https://www.controlglobal.com/articles/2017/secure-the-sis/

EKS sistemlerinde yönelik siber güvenlik duyurularından haberdar olmak için:
https://groups.google.com/forum/#!forum/eks-siber

Siber güvenlik dünyasında öne çıkan haberler, etkinlikler ve daha çok blog yazısı için Biznet Bilişim’i sosyal medyada takip edin. LinkedIn, Facebook, Google+ ve Twitter’da sizleri bekliyoruz.

murat.aydemir
Yazar: murat.aydemir