産業制御システムにとっての新たな脅威　ESET

ウイルス対策ソフトを提供するESET社が「WIN32/ INDUSTRYOYER  A new threat for industrial control systems(産業制御システムを標的とする新たな脅威)」を公開し、複数の不正ツールの概要を説明しています。

引用元:https://www.welivesecurity.com/wp-content/uploads/2017/06/Win32_Industroyer.pdf

概要

はじめに、Win32/Industroyerとは、電気変電所等で使用される工業用制御システムを対象にプロセスを混乱させるマルウェアで、平成28年12月に発生したウクライナの停電で用いられた可能性が高いと考えられています。

引用元:https://www.welivesecurity.com/wp-content/uploads/2017/06/Win32_Industroyer.pdf

当該マルウェアに含まれる要素は以下のように動作します。

主要バックドア
・サポートバックドアをインストール
・DoS攻撃ツールとポートスキャンツールを操作
・起動ソフトウェアをインストール

起動ソフトウェア
・データワイパー(破壊)を実行
・以下のペイロードを実行
IEC 60870-5-101 
IEC 60870-5-104 
IEC 61850
OLE for Process Control Data Access 

これら搭載された特徴を元に、同社は当該マルウェア作成者は工業分野について専門知識を有しているのではないかと見解を述べています。

主要バックドア

Win32/Industroyerは標的組織ごとに確実なダメージを与えるよう作成されています。
このバックドアはHTTPSを介したC&Cサーバへの通信において、Torを用いて不可視化を図ります。
攻撃者はバックドアの動作開始時刻を設定することができ、例えば、標的企業の勤務時間外にバックドアを作動させることでフォレンジック調査を混乱させ、攻撃の痕跡を消す事も可能です。
攻撃者は標的PCの管理者権限を取得するために、PC内にあるWindowsプログラムのバイナリにてバックドアのコードを埋め込みます。

サポートバックドア

サポートバックドアはトロイの木馬系のWindowsメモ帳アプリケーションで、主要バックドアが動作不可能になった場合において、代替として標的のネットワークへアクセスする役割を持ちます。
また、このアプリケーションは起動するたびに難読化された悪質なコードを実行し、コードが解読されると遠隔操作でC&Cサーバへ通信し、マルウェアをダウンロードします。
最後に正規のWindowsメモ帳アプリケーションを復号化し、適正に動作するよう操作します。

起動機能

起動機能は、ペイロードとデータワイパー(ハードドライブ上のすべてのデータを解読不可能にする機能)の起動を行う実行ファイルです。
当機能には特定の2つの異なる日時が指定されており、このうち1つへ達すると、当機能は1〜2時間程度待機しデータワイパーの読み込みを試行、同時にペイロードDLLの読み込みを実施します。
主なペイロードDLLの名前
「%LAUNCHER%.exe」
「%WORKING_DIRECTORY%」
「%PAYLOAD%.dll」
「%CONFIGURATION%.ini」

データワイパーの名前
「haslo.dat.」

追加機能「ポートスキャンツール」

引用元:https://www.welivesecurity.com/wp-content/uploads/2017/06/Win32_Industroyer.pdf

ポートスキャンツールは、ネットワーク上で攻撃に関連するコンピュータの探索を行う機能で、上の画像のように、IPアドレスとポートの検知の範囲を設定可能とします。

追加機能「DoSツール」

引用元:https://www.welivesecurity.com/wp-content/uploads/2017/06/Win32_Industroyer.pdf

このDoSツールはSiemens社製品の「SIPROTEC」に存在する脆弱性「CVE-2015-5374」を悪用し、DoS攻撃を仕掛け、端末の稼働を邪魔するツールです。
また、このDoS攻撃を受けると、標的の端末は手動で再起動されるまでコマンドに対し応答が不可能となります。
ツールが実行されると、UDPを使用し標的端末のIPアドレスのポート50,000へ細工された18Biteのパケットが送信されます。

関連リンク

マルウェアについての報告一覧

脆弱性についての報告一覧