绿盟科技刚实现PLC蠕虫,荷兰两个安全研究员就开发了PLC Rootkit,并将在即将到来的2016年欧洲黑帽大会上进行展示。据说PLC Rootkit目前还没有检测手段,Blackhat 2016欧洲展会将在11月1日开幕,让我们拭目以待。
荷兰特温特大学研究员将在BlackHat 2016欧洲展会上展示PLC RootKit
两名安全研究员开发了一个无法检测的PLC Rootkit。其中一个是荷兰特温特大学分布和嵌入式系统安全组的博士生Ali Abbasi,另一个是独立研究员Majid Hashemi。在11月份于伦敦举行的欧洲黑帽大会上,该二人小组将展示这个无法检测的PLC Rootkit。
该小组还将展示一版利用shellcode进行的PLC攻击。他们展示的标题是“PLC中的鬼魂:设计一个无法检测到的PLC Rootkit”。这两个研究员相信,他们开发的PLC Rootkit比Sduxnet更危险。因为PLC Rootkit隐藏得好,并且直接影响PLC,而不是像Sduxnet那样攻击运行在Windows架构上的SCADA系统。PLC Rootkit处于系统的更低层,因而更不可能被发现。
PLC Rootkit被用来攻击PLC系统的低层组件。由于能感染几乎所有厂商的PLC系统,它可被视为跨平台PLC威胁。
Abbasi对DarkReading说:“这是一个竞次比赛。每个人都能进行高层[SCADA操作]。未来的黑客会转向更低层的攻击,以避免被检测。”
对Vxers来说,直接攻击PLC系统会更简单。因为这些设备不具备什么检测机制,这意味着运行实时操作系统的PLC可能会更多地暴露在网络攻击面前。
PLC蠕虫与PLC RootKit的对比
8月份,一组研究员在美国黑帽大会上展示了一个能在PLC之间传播的PLC蠕虫。这个蠕虫被发明者称为PLC-Blaster。绿盟科技的工控安全研究员随即实现了这个PLC蠕虫病毒,并给出了防护方案 BlackHat上的工控蠕虫病毒 绿盟科技工控研究员用SCL语言编写实现 录像让你亲眼看看
Abbasi和Hashemi解释说,他们的PLC Rootkit并不像其他类似威胁一样直接攻击PLC逻辑代码,令其难以被探测到。即使是监控PLC电量消耗的系统,也无法注意到PLC Rootkit的活动。“我们在内核外的攻击消耗不到1%的电量。也就是说,即使通过PLC耗电量,也检测不到我们的攻击。”
通过I/O外设,该恶意软件干涉PLC 运行时间(runtime)和逻辑(logic)之间的联系。当PLC与I/O模块(由对工序进行物理控制的输出Pin组成)通信时,该恶意软件驻留在工业部件的动态内存之中,操纵I/O模块和PLC工序。
PLC从输入Pin接收信号(例如某个管道中液体的高度),通过触动器(从PLC的输出Pin接收指令,比如对某个阀门的控制)对工序进行控制。
显然,通过操纵I/O信号,就可能悄无声息地干涉工业工序。这就是PLC rootkit干的事情。
Abbasi说:“我们的攻击通过PLC的I/O外设攻击PLC运行时间和逻辑之间的关系。在攻击中,PLC运行时间和逻辑在攻击中保持不变。在PLC中,I/O操作是最重要的任务之一。”
如果如这个二人组所解释的,因为不会造成PLC SoC的硬件中断,这个攻击是可行的。并且,因为Pin控制子系统无法检测硬件级别的Pin配置,攻击会愈演愈烈。
Abbasi和Hashemi正在研究针对这类PLC威胁的防御办法。
近期相关文章
工控网络与互联网对接需要纵深防御 美国国土安全部发布工控安全策略
工控系统生命周期中功能安全至关重要 用工控安全预警平台及时获取情报是关键