産業制御システムに対するstuxnet以来最大の脅威 by anton cherepanov, róbert...
TRANSCRIPT
![Page 1: 産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský](https://reader036.vdocuments.site/reader036/viewer/2022062504/5a64eb037f8b9af5298b45c5/html5/thumbnails/1.jpg)
INDUSTROYERAnton Cherepanov / @cherepanov74
Robert Lipovsky / @Robert_Lipovsky
![Page 2: 産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský](https://reader036.vdocuments.site/reader036/viewer/2022062504/5a64eb037f8b9af5298b45c5/html5/thumbnails/2.jpg)
Robert Lipovsky
上級マルウェア研究者
@Robert_Lipovsky
Anton Cherepanov
上級マルウェア研究者
@cherepanov74
![Page 3: 産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský](https://reader036.vdocuments.site/reader036/viewer/2022062504/5a64eb037f8b9af5298b45c5/html5/thumbnails/3.jpg)
![Page 4: 産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský](https://reader036.vdocuments.site/reader036/viewer/2022062504/5a64eb037f8b9af5298b45c5/html5/thumbnails/4.jpg)
ICSを狙うマルウェア
INDUSTROYERについて: ウクライナでの被害
INDUSTROYER解析
潜在的な影響
概要
![Page 5: 産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský](https://reader036.vdocuments.site/reader036/viewer/2022062504/5a64eb037f8b9af5298b45c5/html5/thumbnails/5.jpg)
ICS
マルウェア操作者 工業用地インターネット
ICSを狙うマルウェア
![Page 6: 産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský](https://reader036.vdocuments.site/reader036/viewer/2022062504/5a64eb037f8b9af5298b45c5/html5/thumbnails/6.jpg)
ICS
INDUSTROYER
マルウェア操作者 工業用地インターネット 電力供給会社
Industroyer
![Page 7: 産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský](https://reader036.vdocuments.site/reader036/viewer/2022062504/5a64eb037f8b9af5298b45c5/html5/thumbnails/7.jpg)
STUXNET HAVEX BLACKENERGY INDUSTROYER2010 2014 2015 2016
![Page 8: 産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský](https://reader036.vdocuments.site/reader036/viewer/2022062504/5a64eb037f8b9af5298b45c5/html5/thumbnails/8.jpg)
STUXNET HAVEX BLACKENERGY INDUSTROYER2010 2014 2015 2016
![Page 9: 産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský](https://reader036.vdocuments.site/reader036/viewer/2022062504/5a64eb037f8b9af5298b45c5/html5/thumbnails/9.jpg)
STUXNET HAVEX BLACKENERGY INDUSTROYER2010 2014 2015 2016
![Page 10: 産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský](https://reader036.vdocuments.site/reader036/viewer/2022062504/5a64eb037f8b9af5298b45c5/html5/thumbnails/10.jpg)
STUXNET HAVEX BLACKENERGY INDUSTROYER2010 2014 2015 2016
![Page 11: 産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský](https://reader036.vdocuments.site/reader036/viewer/2022062504/5a64eb037f8b9af5298b45c5/html5/thumbnails/11.jpg)
STUXNET HAVEX BLACKENERGY INDUSTROYER2010 2014 2015 2016
23 Dec 2015
![Page 12: 産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský](https://reader036.vdocuments.site/reader036/viewer/2022062504/5a64eb037f8b9af5298b45c5/html5/thumbnails/12.jpg)
STUXNET HAVEX BLACKENERGY INDUSTROYER2010 2014 2015 2016
C&C
ネットワークスキャナ
ファイル窃取
パスワード窃取
キーロガー
スクリーンショット
ネットワーク探索
BlackEnergyCORE
![Page 13: 産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský](https://reader036.vdocuments.site/reader036/viewer/2022062504/5a64eb037f8b9af5298b45c5/html5/thumbnails/13.jpg)
STUXNET HAVEX BLACKENERGY INDUSTROYER2010 2014 2015 2016
![Page 14: 産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský](https://reader036.vdocuments.site/reader036/viewer/2022062504/5a64eb037f8b9af5298b45c5/html5/thumbnails/14.jpg)
STUXNET HAVEX BLACKENERGY INDUSTROYER2010 2014 2015 2016
![Page 15: 産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský](https://reader036.vdocuments.site/reader036/viewer/2022062504/5a64eb037f8b9af5298b45c5/html5/thumbnails/15.jpg)
ウクライナでの被害
ESETが解析を開始
最初の報告が完了
追加調査
Industroyerに関する報告が公開
17 Dec 2016
A few days later
12 Jun 201718 Jan 2017
STUXNET HAVEX BLACKENERGY INDUSTROYER2010 2014 2015 2016
INDUSTROYER
![Page 16: 産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský](https://reader036.vdocuments.site/reader036/viewer/2022062504/5a64eb037f8b9af5298b45c5/html5/thumbnails/16.jpg)
メインのバックドア
ICS
INDUSTROYER
マルウェア操作者 INDUSTRIAL SITEインターネット 電力供給会社
Industroyer
![Page 17: 産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský](https://reader036.vdocuments.site/reader036/viewer/2022062504/5a64eb037f8b9af5298b45c5/html5/thumbnails/17.jpg)
Main Backdoor
Main Backdoor
メインのバックドア –コマンド集
プロセスの実行
特定のユーザーアカウントを用いたプロセスの実行
C&Cサーバーからのダウンロード
ファイルの複製とアップロード
シェルコマンドの実行
特定のユーザーアカウントを用いたシェルコマンドの実行
停止
サービスの停止
特定のユーザーアカウントを用いたサービスの停止
特定のユーザーアカウントを用いたサービスの開始
特定のサービスに対する“Image path”レジストリ値の書き換え
![Page 18: 産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský](https://reader036.vdocuments.site/reader036/viewer/2022062504/5a64eb037f8b9af5298b45c5/html5/thumbnails/18.jpg)
Main Backdoor
Main Backdoor
メインのバックドア –コマンド集
プロセスの実行
特定のユーザーアカウントを用いたプロセスの実行
C&Cサーバーからのダウンロード
ファイルの複製とアップロード
シェルコマンドの実行
特定のユーザーアカウントを用いたシェルコマンドの実行
停止
サービスの停止
特定のユーザーアカウントを用いたサービスの停止
特定のユーザーアカウントを用いたサービスの開始
特定のサービスに対する“Image path”レジストリ値の書き換え
ファイルの複製とアップロード
![Page 19: 産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský](https://reader036.vdocuments.site/reader036/viewer/2022062504/5a64eb037f8b9af5298b45c5/html5/thumbnails/19.jpg)
メインのバックドア -> VBS -> MS SQL -> CSCRIPT -> VBS
![Page 20: 産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský](https://reader036.vdocuments.site/reader036/viewer/2022062504/5a64eb037f8b9af5298b45c5/html5/thumbnails/20.jpg)
![Page 21: 産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský](https://reader036.vdocuments.site/reader036/viewer/2022062504/5a64eb037f8b9af5298b45c5/html5/thumbnails/21.jpg)
Set cmd = CreateObject("ADODB.Command")
cmd.ActiveConnection = mConnection
cmd.CommandText = "BEGIN EXEC sp_configure 'show advanced options', 1;RECONFIGURE;
EXEC sp_configure 'Ole Automation Procedures', 1;RECONFIGURE; END;"
cmd.Execute
cmd.CommandText = "BEGIN EXEC sp_configure 'show advanced options', 1;RECONFIGURE;
EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE; END;"
cmd.Execute
![Page 22: 産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský](https://reader036.vdocuments.site/reader036/viewer/2022062504/5a64eb037f8b9af5298b45c5/html5/thumbnails/22.jpg)
メインのバックドア
メインのバックドア
メインのバックドア –コマンド集
プロセスの実行
特定のユーザーアカウントを用いたプロセスの実行
C&Cサーバーからのダウンロード
ファイルの複製とアップロード
シェルコマンドの実行
特定のユーザーアカウントを用いたシェルコマンドの実行
停止
サービスの停止
特定のユーザーアカウントを用いたサービスの停止
特定のユーザーアカウントを用いたサービスの開始
特定のサービスに対する“Image path”レジストリ値の書き換え
特定のサービスに対する“Image path”レジストリ値の書き換え
![Page 23: 産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský](https://reader036.vdocuments.site/reader036/viewer/2022062504/5a64eb037f8b9af5298b45c5/html5/thumbnails/23.jpg)
メインのバックドア
メインのバックドア
DOSツール
Port Scannerポート
スキャナー
追加のバックドア
EXEC xp_cmdshell 'C:\intel\port.exe -ip=%IP_ADDRESS%
-ports= 2404, 21845, 445, 135';
135 - RPC Locator service
445 – SMB
2404 - IEC 60870-5-104
21845 - webphone
700 – Extensible Provisioning Protocol over TCP
701 – Link Management Protocol
1433 – MS SQL Server default port
1521 – nCube License Manager / Oracle dB
![Page 24: 産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský](https://reader036.vdocuments.site/reader036/viewer/2022062504/5a64eb037f8b9af5298b45c5/html5/thumbnails/24.jpg)
DOSツール
メインのバックドア
メインのバックドア
Port Scannerポートスキャナー
追加のバックドア
ランチャー
![Page 25: 産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský](https://reader036.vdocuments.site/reader036/viewer/2022062504/5a64eb037f8b9af5298b45c5/html5/thumbnails/25.jpg)
マルウェアによる影響: ペイロード
![Page 26: 産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský](https://reader036.vdocuments.site/reader036/viewer/2022062504/5a64eb037f8b9af5298b45c5/html5/thumbnails/26.jpg)
マルウェアによる影響: ペイロード
![Page 27: 産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský](https://reader036.vdocuments.site/reader036/viewer/2022062504/5a64eb037f8b9af5298b45c5/html5/thumbnails/27.jpg)
マルウェアによる影響: ペイロード
![Page 28: 産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský](https://reader036.vdocuments.site/reader036/viewer/2022062504/5a64eb037f8b9af5298b45c5/html5/thumbnails/28.jpg)
![Page 29: 産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský](https://reader036.vdocuments.site/reader036/viewer/2022062504/5a64eb037f8b9af5298b45c5/html5/thumbnails/29.jpg)
DOSツール
101 ペイロード 104ペイロード61850
ペイロードOPC DA ペイロード
メインのバックドア
メインのバックドア
ポートスキャナー
17 Dec 2016 - 22:27 (UTC)
ランチャー
追加のバックドア
![Page 30: 産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský](https://reader036.vdocuments.site/reader036/viewer/2022062504/5a64eb037f8b9af5298b45c5/html5/thumbnails/30.jpg)
101ペイロード 104 ペイロード61850
ペイロード
• シリアル番号
• IOA (Information Object Address) の範囲
• 単発コマンド (C_SC_NA_1)
• 二発コマンド (C_DC_NA_1)
• OFF -> ON -> OFF
OPC DA ペイロード
![Page 31: 産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský](https://reader036.vdocuments.site/reader036/viewer/2022062504/5a64eb037f8b9af5298b45c5/html5/thumbnails/31.jpg)
• TCP/IP
• モード:
• 範囲
• 遷移
• シーケンス
101ペイロード 104ペイロード61850
ペイロードOPC DA ペイロード
![Page 32: 産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský](https://reader036.vdocuments.site/reader036/viewer/2022062504/5a64eb037f8b9af5298b45c5/html5/thumbnails/32.jpg)
101ペイロード 104ペイロード61850
ペイロードOPC DAペイロード
![Page 33: 産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský](https://reader036.vdocuments.site/reader036/viewer/2022062504/5a64eb037f8b9af5298b45c5/html5/thumbnails/33.jpg)
101ペイロード 104ペイロード61850
ペイロードOPC DAペイロード
![Page 34: 産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský](https://reader036.vdocuments.site/reader036/viewer/2022062504/5a64eb037f8b9af5298b45c5/html5/thumbnails/34.jpg)
101ペイロード 104ペイロード61850
ペイロードOPC DAペイロード
![Page 35: 産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský](https://reader036.vdocuments.site/reader036/viewer/2022062504/5a64eb037f8b9af5298b45c5/html5/thumbnails/35.jpg)
101ペイロード 104ペイロード61850
ペイロードOPC DA ペイロード
• Auto-discovery
• CSW, CF, Pos, and Model
• CSW, ST, Pos, and stVal
• CSW, CO, Pos, Oper, but not $T
• CSW, CO, Pos, SBO, but not $T
![Page 36: 産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský](https://reader036.vdocuments.site/reader036/viewer/2022062504/5a64eb037f8b9af5298b45c5/html5/thumbnails/36.jpg)
101ペイロード 104ペイロード61850
ペイロードOPC DAペイロード
• OPCサーバーを発見
• COMインターフェース:
• IOPCServer
• IOPCBrowseServerAddressSpace
• IOPCSyncIO
• ctlSelOn (オンコマンドを選択)
• ctlSelOff (オフコマンドを選択)
• ctlOperOn (オンコマンドを実行)
• ctlOperOff (オフコマンドを実行)
• \Pos and stVal (位置、状態の切り替え)
![Page 37: 産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský](https://reader036.vdocuments.site/reader036/viewer/2022062504/5a64eb037f8b9af5298b45c5/html5/thumbnails/37.jpg)
101ペイロード 104ペイロード61850
ペイロードOPC DAペイロード
![Page 38: 産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský](https://reader036.vdocuments.site/reader036/viewer/2022062504/5a64eb037f8b9af5298b45c5/html5/thumbnails/38.jpg)
Github: https://github.com/eset/malware-research/tree/master/industroyer
• バイナリ中のOPC Data Access LIBIDs, CLSIDs, IIDsを特定
• IDA ProでOPC DA構造を作成し列挙
• 一般的なリバースエンジニアリングの用途で使用可能
101ペイロード 104ペイロード61850
ペイロードOPC DAペイロード
![Page 39: 産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský](https://reader036.vdocuments.site/reader036/viewer/2022062504/5a64eb037f8b9af5298b45c5/html5/thumbnails/39.jpg)
実行前
101ペイロード 104ペイロード61850
ペイロードOPC DAペイロード
![Page 40: 産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský](https://reader036.vdocuments.site/reader036/viewer/2022062504/5a64eb037f8b9af5298b45c5/html5/thumbnails/40.jpg)
実行後
101ペイロード 104ペイロード61850
ペイロードOPC DAペイロード
![Page 41: 産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský](https://reader036.vdocuments.site/reader036/viewer/2022062504/5a64eb037f8b9af5298b45c5/html5/thumbnails/41.jpg)
マルウェアによる影響: サービス不能攻撃
![Page 42: 産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský](https://reader036.vdocuments.site/reader036/viewer/2022062504/5a64eb037f8b9af5298b45c5/html5/thumbnails/42.jpg)
![Page 43: 産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský](https://reader036.vdocuments.site/reader036/viewer/2022062504/5a64eb037f8b9af5298b45c5/html5/thumbnails/43.jpg)
![Page 44: 産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský](https://reader036.vdocuments.site/reader036/viewer/2022062504/5a64eb037f8b9af5298b45c5/html5/thumbnails/44.jpg)
マルウェアによる影響: データの消去
![Page 45: 産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský](https://reader036.vdocuments.site/reader036/viewer/2022062504/5a64eb037f8b9af5298b45c5/html5/thumbnails/45.jpg)
DOSツール
101ペイロード 104ペイロード61850
ペイロードOPC DAペイロード
メインのバックドア
メインのバックドア
ポートスキャナー
ランチャー
追加のバックドア
データ消去
![Page 46: 産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský](https://reader036.vdocuments.site/reader036/viewer/2022062504/5a64eb037f8b9af5298b45c5/html5/thumbnails/46.jpg)
ABB PCM600
ABB MicroScada
Signal Cross References
Substation Configuration Language
Substation Configuration Description
Configured IED Description
![Page 47: 産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský](https://reader036.vdocuments.site/reader036/viewer/2022062504/5a64eb037f8b9af5298b45c5/html5/thumbnails/47.jpg)
![Page 48: 産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský](https://reader036.vdocuments.site/reader036/viewer/2022062504/5a64eb037f8b9af5298b45c5/html5/thumbnails/48.jpg)
! 世界的な脅威
! 危険な攻撃者
! まだ見ぬ潜在能力
見えないもの
![Page 49: 産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský](https://reader036.vdocuments.site/reader036/viewer/2022062504/5a64eb037f8b9af5298b45c5/html5/thumbnails/49.jpg)
Thank you! Questions?
@cherepanov74
@Robert_Lipovsky
![Page 50: 産業制御システムに対するStuxnet以来最大の脅威 by Anton Cherepanov, Róbert Lipovský](https://reader036.vdocuments.site/reader036/viewer/2022062504/5a64eb037f8b9af5298b45c5/html5/thumbnails/50.jpg)