研究人员开发了一款无法被检测到的工控系统PLC Rootkit

  两名安全研究人员开发出了一款无法被检测到的PLC Rootkit,并计划在即将到来的2016欧洲黑帽大会上公布其具体细节。

  作为网络犯罪分子以及国家支持的黑客组织的重点攻击目标,能源行业面临的网络攻击威胁正逐渐加深。Stuxnet(震网病毒 )事件的爆发已经向世人证明了网络攻击的危险后果。威胁组织者完全能够将恶意代码传播到 关键基础设施中,干扰其内部运作流程。

  这一新型攻击手段将在即将召开的2016欧洲黑帽大会上亮相 ,据悉,利用该手段能够悄无声息地侵入工业网络流程。

  危险性可能超过 Stuxnet

  荷兰特温特大学分布式与嵌入式系统安全博士Ali Abbasi和独立安全研究员Majid Hashemi,已经开发出一款无法检测的PLC Rootkit。据悉, 两位安全专家将于11月份在英国伦敦举办的欧洲黑帽大会 上,展示这款无法检测到的PLC Rootkit。

  两名安全研究人员还将展示一款利用shellcode发起PLC攻击的版本。他们的演讲题目为《PLC中的幽灵:设计一款无法检测的可编程逻辑控制器Rootkit》 。
 


 

  两名研究人员认为他们开发的这款PLC Rootkit的危险性可能超过 Stuxnet,因为它能够悄然潜入并直接感染PLC,而Stuxnet的设计目标则指向运行于 Windows架构上的SCADA系统。这也是PLC Rootkit更难被发现的原因所在,因为 它立足于更低层的系统。

  这款PLC Rootkit主要用于入侵PLC系统中的底层组件,可被 视为一种跨平台的PLC威胁,因为它能够 感染几乎任何供应商生产的PLC设备。

  Abbasi告诉记者:

  “这是一场来自底层的激烈角逐,每个人都想 去访问更高层的SCADA运营组件。但是未来,攻击者将把目标锁定在更底层的攻击对象上,以此逃避检测 。”

  直接攻击PLC系统对攻击者而言更为轻松,因为这类设备一般不具备强大的检测机制,这也就 意味着,运行实时操作系统的PLC更易受到网络攻击。

  游离内核之外的攻击形式

  8月,一组研究人员出席2016美国黑帽大会 ,并公布了一款PLC蠕虫病毒,能够实现在PLC设备间的传播。该 病毒被开发者命名为“PLC-Blaster ”。

  Abbasi和Hasemi解释称,他们的PLC Rootkit并不像其它类似的 威胁一样,将目标锁定在PLC逻辑代码上,因此 加大了其检测困难度。此外,研究人员解释称,PLC Rootkit的行为甚至不会被负责监控PLC功耗的系统发觉。

  Abbasi解释道:

  “我们游离内核之外的攻击形式,其运行负荷低于1%,这 就意味着,即使那些实时监控PLC功耗情况的系统也无计可施 ,无法检测出我们的攻击手段。”

  该恶意软件会干扰PLC运行时刻和逻辑同I/O外设间的连接。该恶意软件会留在工业组件的动态内存中, 并操纵I/O及PLC流程,同时PLC与I/O数据块进行通信组成输出 管脚(output pins),处理流程的物理控制。

  PLC会从输入PIN的字段中接收信号(即管道中的液面高度),同时通过从PLC输出PIN接收指令的执行器来 控制流程(即阀门控制)。很明显,篡改I/O信号意味着攻击者有能力悄无声息地对工业流程加以干涉,而这也正是此PLC Rootkit的目的所在。

  Abbasi表示:

  “我们的攻击指向PLC运行时刻和逻辑同I/O外设间的交互。在我们的攻击行为 中,PLC逻辑与PLC运行时刻并不会受到影响,在PLC中,I/O操作才是最为重要的任务之一。” ?

  正如两位研究人员解释的一样,这种攻击对于缺乏硬件中断机制的PLC系统芯片确实是 可行的,此外,还无法被Pin控制子系统中的硬件层级Pin配置检测到。

  目前,Abbasi与Hashemi正在研究防御对策,用于检测和保护PLC免受此类威胁的影响。

(责任编辑:宋编辑)

分享到:

更多
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
  • 微笑/wx
  • 撇嘴/pz
  • 抓狂/zk
  • 流汗/lh
  • 大兵/db
  • 奋斗/fd
  • 疑问/yw
  • 晕/y
  • 偷笑/wx
  • 可爱/ka
  • 傲慢/am
  • 惊恐/jk
用户名: 验证码:点击我更换图片
资料下载专区
图文资讯

怎样为企业挑选正确的EDR解决方案

怎样为企业挑选正确的EDR解决方案

尽管黑客的动机一如既往钱、信息、更多的钱,他们的攻击方法却变得愈加复杂、具侵略性...[详细]

研究人员开发了一款无法被检测到的工控系统

研究人员开发了一款无法被检测到的工控系统PLC Rootkit

两名安全研究人员开发出了一款无法被检测到的PLC Rootkit,并计划在即将到来的2016欧...[详细]

黑客眼中的像素追踪技术(Pixel tracking)

黑客眼中的像素追踪技术(Pixel tracking)

通常情况下,像素追踪技术(Pixel tracking)是一种只有电子邮件营销平台才会使用的技术...[详细]

实施渗透测试的重要HTTP方法

实施渗透测试的重要HTTP方法

如果你没有积极地参与Web应用程序开发,几乎就不可能了解HTTP协议的内部工作机理,也...[详细]

老牌破解神器L0phtCrack强势回归 口令破解

老牌破解神器L0phtCrack强势回归 口令破解速度提升500倍

7年了,随着完全改版的第7版发布,Windows系统下老牌著名破解器L0phtCrack终于强势回...[详细]

返回首页 返回顶部