绿盟科技研究员刚实现PLC蠕虫 荷兰研究员就要发布PLC Rootkit 据说这种攻击难以检测

简介:

绿盟科技刚实现PLC蠕虫,荷兰两个安全研究员就开发了PLC Rootkit,并将在即将到来的2016年欧洲黑帽大会上进行展示。据说PLC Rootkit目前还没有检测手段,Blackhat 2016欧洲展会将在11月1日开幕,让我们拭目以待。

荷兰特温特大学研究员将在BlackHat 2016欧洲展会上展示PLC RootKit

两名安全研究员开发了一个无法检测的PLC Rootkit。其中一个是荷兰特温特大学分布和嵌入式系统安全组的博士生Ali Abbasi,另一个是独立研究员Majid Hashemi。在11月份于伦敦举行的欧洲黑帽大会上,该二人小组将展示这个无法检测的PLC Rootkit。

该小组还将展示一版利用shellcode进行的PLC攻击。他们展示的标题是“PLC中的鬼魂:设计一个无法检测到的PLC Rootkit”。这两个研究员相信,他们开发的PLC Rootkit比Sduxnet更危险。因为PLC Rootkit隐藏得好,并且直接影响PLC,而不是像Sduxnet那样攻击运行在Windows架构上的SCADA系统。PLC Rootkit处于系统的更低层,因而更不可能被发现。

PLC Rootkit被用来攻击PLC系统的低层组件。由于能感染几乎所有厂商的PLC系统,它可被视为跨平台PLC威胁。

Abbasi对DarkReading说:“这是一个竞次比赛。每个人都能进行高层[SCADA操作]。未来的黑客会转向更低层的攻击,以避免被检测。”

对Vxers来说,直接攻击PLC系统会更简单。因为这些设备不具备什么检测机制,这意味着运行实时操作系统的PLC可能会更多地暴露在网络攻击面前。

PLC蠕虫与PLC RootKit的对比

8月份,一组研究员在美国黑帽大会上展示了一个能在PLC之间传播的PLC蠕虫。这个蠕虫被发明者称为PLC-Blaster。绿盟科技的工控安全研究员随即实现了这个PLC蠕虫病毒,并给出了防护方案 BlackHat上的工控蠕虫病毒 绿盟科技工控研究员用SCL语言编写实现 录像让你亲眼看看

Abbasi和Hashemi解释说,他们的PLC Rootkit并不像其他类似威胁一样直接攻击PLC逻辑代码,令其难以被探测到。即使是监控PLC电量消耗的系统,也无法注意到PLC Rootkit的活动。“我们在内核外的攻击消耗不到1%的电量。也就是说,即使通过PLC耗电量,也检测不到我们的攻击。”

通过I/O外设,该恶意软件干涉PLC 运行时间(runtime)和逻辑(logic)之间的联系。当PLC与I/O模块(由对工序进行物理控制的输出Pin组成)通信时,该恶意软件驻留在工业部件的动态内存之中,操纵I/O模块和PLC工序。

PLC从输入Pin接收信号(例如某个管道中液体的高度),通过触动器(从PLC的输出Pin接收指令,比如对某个阀门的控制)对工序进行控制。

显然,通过操纵I/O信号,就可能悄无声息地干涉工业工序。这就是PLC rootkit干的事情。

Abbasi说:“我们的攻击通过PLC的I/O外设攻击PLC运行时间和逻辑之间的关系。在攻击中,PLC运行时间和逻辑在攻击中保持不变。在PLC中,I/O操作是最重要的任务之一。”

如果如这个二人组所解释的,因为不会造成PLC SoC的硬件中断,这个攻击是可行的。并且,因为Pin控制子系统无法检测硬件级别的Pin配置,攻击会愈演愈烈。

Abbasi和Hashemi正在研究针对这类PLC威胁的防御办法。

近期相关文章

工控网络与互联网对接需要纵深防御 美国国土安全部发布工控安全策略

工控系统生命周期中功能安全至关重要 用工控安全预警平台及时获取情报是关键

BlackHat上的工控蠕虫病毒 绿盟科技工控研究员用SCL语言编写实现 录像让你亲眼看看

腾讯科恩实验室吴石攻破特斯拉 不用接触车就可以打开车门刹车 难道越智能的东西越危险?




原文发布时间:2017年3月24日
本文由:安全加  发布,版权归属于原作者
原文链接:http://toutiao.secjia.com/netherlands-researcher-to-publish-plc-rootkit
本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站
相关文章
|
4月前
|
SQL 安全 网络安全
网络安全的盾牌与剑:漏洞、加密与意识的较量
【8月更文挑战第29天】在数字化时代的浪潮中,网络安全成为了保护信息资产的重要战线。本文将深入浅出地探讨网络安全的三大关键要素:安全漏洞、加密技术和用户安全意识。通过分析这些元素如何影响网络环境的安全状态,我们旨在为读者提供一套实用的知识框架,以增强个人和组织在网络空间的防御能力。
|
安全 测试技术 网络安全
|
安全
美政府:西门子工业控制系统漏洞仍然存在
北京时间6月13日,据国外媒体报道,日前,西门子公司宣布已经修复其工业控制系统中的若干漏洞,这些漏洞在一个月前被独立研究人员发现。但美国政府警告称,系统中仍然存在着问题。 西门子公司一直因其对漏洞迟钝的反应而饱受批评,NSS实验室的研究者曾在西门子S7-1200微可编程逻辑控制器中发现若干漏洞。
833 0
|
安全 数据安全/隐私保护
Petya勒索病毒爆发,腾讯安全反病毒实验室首发技术分析
本文讲的是Petya勒索病毒爆发,腾讯安全反病毒实验室首发技术分析,据twitter爆料,乌克兰政府机构遭大规模攻击,其中乌克兰副总理的电脑均遭受攻击,目前腾讯电脑管家已经确认该病毒为Petya勒索病毒。
1651 0
|
监控 安全 Android开发
|
安全 网络安全
工控危险 施耐德PLC产品现高危漏洞
本文讲的是工控危险 施耐德PLC产品现高危漏洞,施耐德电气公司开始发布固件补丁处理影响该公司莫迪康(Modicon)M340可编程逻辑控制器(PLC)产品线的高严重性漏洞。
1713 0