神秘恶意软件瞄准工控系统 震网魅影再现

IRONGATE或许仅仅是概念验证，但预示着一大波类似攻击正在涌来。

研究人员发现一款操纵监控和数据采集系统(SCADA)以隐藏对工业过程读取行为的恶意软件。同款技术曾在美国和以色列研发来破坏大量伊朗铀浓缩离心机的震网病毒中使用过。

这款新恶意软件是火眼公司在去年下半年发现的，但不是在活跃攻击中检测到，而是从VirusTotal数据中找到。VirusTotal是谷歌旗下网站，用户可以提交可疑文件供杀毒引擎扫描。

这个被火眼命名为“铁门(IRONGATE)”的神秘程序，是在2014年被多名用户提交的，当时该网站使用的全部杀毒产品都未检测出异常。

直到2015年末都没有任何一家公司检测出此款恶意软件的事实十分令人震惊。因为，VirusTotal上的样本是自动共享给全部参与此项目的杀软厂商的。

火眼能发现它，是因为该公司在搜索利用PyInstaller进行编译的潜在可疑样本。PyInstaller是各种攻击者都会使用的将pyhon程序打包成exe文件的工具。两个IRONGATE载荷由于涉及SCADA和相关功能而特别引人注意。

好消息是，这些样本似乎只是概念验证，或者某些研究工作的一部分。它们的功能只是找到并替换掉与西门子 SIMATIC S7-PLCSIM 进行通信的特定动态链接库(DLL)文件。SIMATIC S7-PLCSIM 是一款可以让用户在模拟 S7-300 和 S7-400 可编程逻辑控制器(PLC)上运行程序的软件产品。

PLC是一种特殊的硬件设备，用于监控工业过程——启动马达、打开或关闭阀门之类的。它们将读数和其他数据传送给监视软件，以及工程师们工作站上运行的人机界面。

就像震网病毒在伊朗纳坦茨核电站所做的一样，IRONGATE的目标，就是将自己注入到SCADA监视过程，操纵来自PLC的数据，隐藏正在进行的破坏。

震网通过挂起PLC操作，来使离心机转子速率始终显示为正常范围之内的一个静态值，让工作人员无法发现实际上已经偏离正常范围很多的转速。IRONGATE则录下一段来自PLC的数据，然后循环播放——与抢劫犯向监控摄像头循环播放同一段视频异曲同工。

IRONGATE与PLC模拟器交互，并替换掉西门子标准产品集中不存在的DLL的事实，让火眼研究人员认定，此款恶意软件很有可能只是个测试。

西门子产品计算机应急响应小组(ProductCERT)已经证实，该恶意软件在标准西门子控制系统环境中无效。

然而，如果IRONGATE只是2014年就进行的概念验证，目的是测试针对PLC的类震网中间人攻击，那么，很有可能其创建者已经打造了另一款恶意软件，能危害到真实的工控系统(ICS)部署。

ICS安全咨询公司 Digital Bond 首席执行官戴尔·皮特森说：“攻击者已经掌握实现了震网技术，但防御者却还没真正提高检测ICS恶意软件的能力。我们需要大幅改善针对ICS完整性攻击的检测能力了。”

－－－

微信最新版，长按公众号，可“置顶”