神秘恶意软件瞄准工控系统 震网魅影再现

简介:

IRONGATE或许仅仅是概念验证,但预示着一大波类似攻击正在涌来。

研究人员发现一款操纵监控和数据采集系统(SCADA)以隐藏对工业过程读取行为的恶意软件。同款技术曾在美国和以色列研发来破坏大量伊朗铀浓缩离心机的震网病毒中使用过。

这款新恶意软件是火眼公司在去年下半年发现的,但不是在活跃攻击中检测到,而是从VirusTotal数据中找到。VirusTotal是谷歌旗下网站,用户可以提交可疑文件供杀毒引擎扫描。

这个被火眼命名为“铁门(IRONGATE)”的神秘程序,是在2014年被多名用户提交的,当时该网站使用的全部杀毒产品都未检测出异常。

直到2015年末都没有任何一家公司检测出此款恶意软件的事实十分令人震惊。因为,VirusTotal上的样本是自动共享给全部参与此项目的杀软厂商的。

火眼能发现它,是因为该公司在搜索利用PyInstaller进行编译的潜在可疑样本。PyInstaller是各种攻击者都会使用的将pyhon程序打包成exe文件的工具。两个IRONGATE载荷由于涉及SCADA和相关功能而特别引人注意。

好消息是,这些样本似乎只是概念验证,或者某些研究工作的一部分。它们的功能只是找到并替换掉与西门子 SIMATIC S7-PLCSIM 进行通信的特定动态链接库(DLL)文件。SIMATIC S7-PLCSIM 是一款可以让用户在模拟 S7-300 和 S7-400 可编程逻辑控制器(PLC)上运行程序的软件产品。

PLC是一种特殊的硬件设备,用于监控工业过程——启动马达、打开或关闭阀门之类的。它们将读数和其他数据传送给监视软件,以及工程师们工作站上运行的人机界面。

就像震网病毒在伊朗纳坦茨核电站所做的一样,IRONGATE的目标,就是将自己注入到SCADA监视过程,操纵来自PLC的数据,隐藏正在进行的破坏。

震网通过挂起PLC操作,来使离心机转子速率始终显示为正常范围之内的一个静态值,让工作人员无法发现实际上已经偏离正常范围很多的转速。IRONGATE则录下一段来自PLC的数据,然后循环播放——与抢劫犯向监控摄像头循环播放同一段视频异曲同工。

IRONGATE与PLC模拟器交互,并替换掉西门子标准产品集中不存在的DLL的事实,让火眼研究人员认定,此款恶意软件很有可能只是个测试。

西门子产品计算机应急响应小组(ProductCERT)已经证实,该恶意软件在标准西门子控制系统环境中无效。

然而,如果IRONGATE只是2014年就进行的概念验证,目的是测试针对PLC的类震网中间人攻击,那么,很有可能其创建者已经打造了另一款恶意软件,能危害到真实的工控系统(ICS)部署。

ICS安全咨询公司 Digital Bond 首席执行官戴尔·皮特森说:“攻击者已经掌握实现了震网技术,但防御者却还没真正提高检测ICS恶意软件的能力。我们需要大幅改善针对ICS完整性攻击的检测能力了。”
本文转自d1net(转载)

相关文章
|
12月前
|
安全 网络安全
揭秘黑盒渗透:无所遁形的扫描器之力!
揭秘黑盒渗透:无所遁形的扫描器之力!
115 0
|
机器学习/深度学习 Web App开发 人工智能
在模型中植入不可检测后门,「外包」AI更易中招
在模型中植入不可检测后门,「外包」AI更易中招
136 0
|
安全
关于网络谣言“杀毒软件厂商制造病毒”的严正声明
2010年12月1日,北京瑞星公司发现360公司员工王翌在其新浪微博发表了"瑞星、某山等传统杀毒软件自制病毒也不是新闻"文章及相关评论。北京瑞星公司认为,王翌博文及其博文评论中关于瑞星公司部分的文字,系作者捏造之事实,给瑞星公司的名誉以及商业信誉造成了严重的损害。
1022 0
|
安全 网络安全
梭子鱼智能安全透视平台揭穿精密伪装威胁
中国,北京(2018年3月1日)—  领先的云融合安全和数据保护解决方案供应商梭子鱼网络于美国加州时间2018年2月15日宣布梭子鱼智能安全透视平台正式上线。这一全新的咨询平台提供详细的实时威胁情报和安全风险信息,可帮助用户和专业IT人士及时了解当前的全球威胁态势。
1619 0
|
安全 Android开发 数据安全/隐私保护
2016年手机恶意软件演变分析报告(一)
本文讲的是2016年手机恶意软件演变分析报告(一),在2016年,卡巴斯基实验室检测到以下内容:
1891 0
|
安全 物联网 定位技术
2016年手机恶意软件演变分析报告(二)
本文讲的是2016年手机恶意软件演变分析报告(二),在2016年,手机恶意安装软件包数量大幅增长,达到8,526,221个——是上一年的三倍。作为比较,从2004年到2013年,我们检测到超过一千万个恶意安装软件包;而在2014年,这个数字是近250万个。
1782 0
|
安全 数据安全/隐私保护 芯片