研究人員開發(fā)了一款無法被檢測到的工控系統(tǒng)PLC Rootkit

責(zé)任編輯:editor005

作者:米雪兒

2016-09-26 15:11:29

摘自:黑客與極客

兩名安全研究人員開發(fā)出了一款無法被檢測到的PLC Rootkit,并計(jì)劃在即將到來的2016歐洲黑帽大會上公布其具體細(xì)節(jié)。這一新型攻擊手段將在即將召開的2016歐洲黑帽大會上亮相 ,據(jù)悉,利用該手段能夠悄無聲息地侵入工業(yè)網(wǎng)絡(luò)流程。

兩名安全研究人員開發(fā)出了一款無法被檢測到的PLC Rootkit,并計(jì)劃在即將到來的2016歐洲黑帽大會上公布其具體細(xì)節(jié)。

作為網(wǎng)絡(luò)犯罪分子以及國家支持的黑客組織的重點(diǎn)攻擊目標(biāo),能源行業(yè)面臨的網(wǎng)絡(luò)攻擊威脅正逐漸加深。Stuxnet(震網(wǎng)病毒 )事件的爆發(fā)已經(jīng)向世人證明了網(wǎng)絡(luò)攻擊的危險(xiǎn)后果。威脅組織者完全能夠?qū)阂獯a傳播到 關(guān)鍵基礎(chǔ)設(shè)施中,干擾其內(nèi)部運(yùn)作流程。

這一新型攻擊手段將在即將召開的2016歐洲黑帽大會上亮相 ,據(jù)悉,利用該手段能夠悄無聲息地侵入工業(yè)網(wǎng)絡(luò)流程。

危險(xiǎn)性可能超過 Stuxnet

荷蘭特溫特大學(xué)分布式與嵌入式系統(tǒng)安全博士Ali Abbasi和獨(dú)立安全研究員Majid Hashemi,已經(jīng)開發(fā)出一款無法檢測的PLC Rootkit。據(jù)悉, 兩位安全專家將于11月份在英國倫敦舉辦的歐洲黑帽大會上,展示這款無法檢測到的PLC Rootkit。

兩名安全研究人員還將展示一款利用shellcode發(fā)起PLC攻擊的版本。他們的演講題目為《PLC中的幽靈:設(shè)計(jì)一款無法檢測的可編程邏輯控制器Rootkit》。

兩名研究人員認(rèn)為他們開發(fā)的這款PLC Rootkit的危險(xiǎn)性可能超過 Stuxnet,因?yàn)樗軌蚯娜粷撊氩⒅苯痈腥綪LC,而Stuxnet的設(shè)計(jì)目標(biāo)則指向運(yùn)行于 Windows架構(gòu)上的SCADA系統(tǒng)。這也是PLC Rootkit更難被發(fā)現(xiàn)的原因所在,因?yàn)?它立足于更低層的系統(tǒng)。

這款PLC Rootkit主要用于入侵PLC系統(tǒng)中的底層組件,可被 視為一種跨平臺的PLC威脅,因?yàn)樗軌?感染幾乎任何供應(yīng)商生產(chǎn)的PLC設(shè)備。

Abbasi告訴記者:

“這是一場來自底層的激烈角逐,每個(gè)人都想 去訪問更高層的SCADA運(yùn)營組件。但是未來,攻擊者將把目標(biāo)鎖定在更底層的攻擊對象上,以此逃避檢測 。”

直接攻擊PLC系統(tǒng)對攻擊者而言更為輕松,因?yàn)檫@類設(shè)備一般不具備強(qiáng)大的檢測機(jī)制,這也就 意味著,運(yùn)行實(shí)時(shí)操作系統(tǒng)的PLC更易受到網(wǎng)絡(luò)攻擊。

游離內(nèi)核之外的攻擊形式

8月,一組研究人員出席2016美國黑帽大會 ,并公布了一款PLC蠕蟲病毒,能夠?qū)崿F(xiàn)在PLC設(shè)備間的傳播。該 病毒被開發(fā)者命名為“PLC-Blaster”。

Abbasi和Hasemi解釋稱,他們的PLC Rootkit并不像其它類似的 威脅一樣,將目標(biāo)鎖定在PLC邏輯代碼上,因此 加大了其檢測困難度。此外,研究人員解釋稱,PLC Rootkit的行為甚至不會被負(fù)責(zé)監(jiān)控PLC功耗的系統(tǒng)發(fā)覺。

Abbasi解釋道:

“我們游離內(nèi)核之外的攻擊形式,其運(yùn)行負(fù)荷低于1%,這 就意味著,即使那些實(shí)時(shí)監(jiān)控PLC功耗情況的系統(tǒng)也無計(jì)可施 ,無法檢測出我們的攻擊手段。”

該惡意軟件會干擾PLC運(yùn)行時(shí)刻和邏輯同I/O外設(shè)間的連接。該惡意軟件會留在工業(yè)組件的動態(tài)內(nèi)存中, 并操縱I/O及PLC流程,同時(shí)PLC與I/O數(shù)據(jù)塊進(jìn)行通信組成輸出 管腳(output pins),處理流程的物理控制。

PLC會從輸入PIN的字段中接收信號(即管道中的液面高度),同時(shí)通過從PLC輸出PIN接收指令的執(zhí)行器來 控制流程(即閥門控制)。很明顯,篡改I/O信號意味著攻擊者有能力悄無聲息地對工業(yè)流程加以干涉,而這也正是此PLC Rootkit的目的所在。

Abbasi表示:

“我們的攻擊指向PLC運(yùn)行時(shí)刻和邏輯同I/O外設(shè)間的交互。在我們的攻擊行為 中,PLC邏輯與PLC運(yùn)行時(shí)刻并不會受到影響,在PLC中,I/O操作才是最為重要的任務(wù)之一。” ?

正如兩位研究人員解釋的一樣,這種攻擊對于缺乏硬件中斷機(jī)制的PLC系統(tǒng)芯片確實(shí)是 可行的,此外,還無法被Pin控制子系統(tǒng)中的硬件層級Pin配置檢測到。

目前,Abbasi與Hashemi正在研究防御對策,用于檢測和保護(hù)PLC免受此類威脅的影響。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號