绿盟科技研究员刚实现PLC蠕虫 荷兰研究员就要发布PLC Rootkit 据说这种攻击难以检测-阿里云开发者社区

开发者社区> 安全> 正文

绿盟科技研究员刚实现PLC蠕虫 荷兰研究员就要发布PLC Rootkit 据说这种攻击难以检测

简介:

绿盟科技刚实现PLC蠕虫,荷兰两个安全研究员就开发了PLC Rootkit,并将在即将到来的2016年欧洲黑帽大会上进行展示。据说PLC Rootkit目前还没有检测手段,Blackhat 2016欧洲展会将在11月1日开幕,让我们拭目以待。

Blackhat%202016%20Europe.png

荷兰特温特大学研究员将在BlackHat 2016欧洲展会上展示PLC RootKit

两名安全研究员开发了一个无法检测的PLC Rootkit。其中一个是荷兰特温特大学分布和嵌入式系统安全组的博士生Ali Abbasi,另一个是独立研究员Majid Hashemi。在11月份于伦敦举行的欧洲黑帽大会上,该二人小组将展示这个无法检测的PLC Rootkit。

该小组还将展示一版利用shellcode进行的PLC攻击。他们展示的标题是“PLC中的鬼魂:设计一个无法检测到的PLC Rootkit”。这两个研究员相信,他们开发的PLC Rootkit比Sduxnet更危险。因为PLC Rootkit隐藏得好,并且直接影响PLC,而不是像Sduxnet那样攻击运行在Windows架构上的SCADA系统。PLC Rootkit处于系统的更低层,因而更不可能被发现。

PLC Rootkit被用来攻击PLC系统的低层组件。由于能感染几乎所有厂商的PLC系统,它可被视为跨平台PLC威胁。

Abbasi对DarkReading说:“这是一个竞次比赛。每个人都能进行高层[SCADA操作]。未来的黑客会转向更低层的攻击,以避免被检测。”

对Vxers来说,直接攻击PLC系统会更简单。因为这些设备不具备什么检测机制,这意味着运行实时操作系统的PLC可能会更多地暴露在网络攻击面前。

PLC蠕虫与PLC RootKit的对比

8月份,一组研究员在美国黑帽大会上展示了一个能在PLC之间传播的PLC蠕虫。这个蠕虫被发明者称为PLC-Blaster。绿盟科技的工控安全研究员随即实现了这个PLC蠕虫病毒,并给出了防护方案 BlackHat上的工控蠕虫病毒 绿盟科技工控研究员用SCL语言编写实现 录像让你亲眼看看

Abbasi和Hashemi解释说,他们的PLC Rootkit并不像其他类似威胁一样直接攻击PLC逻辑代码,令其难以被探测到。即使是监控PLC电量消耗的系统,也无法注意到PLC Rootkit的活动。“我们在内核外的攻击消耗不到1%的电量。也就是说,即使通过PLC耗电量,也检测不到我们的攻击。”

通过I/O外设,该恶意软件干涉PLC 运行时间(runtime)和逻辑(logic)之间的联系。当PLC与I/O模块(由对工序进行物理控制的输出Pin组成)通信时,该恶意软件驻留在工业部件的动态内存之中,操纵I/O模块和PLC工序。

PLC从输入Pin接收信号(例如某个管道中液体的高度),通过触动器(从PLC的输出Pin接收指令,比如对某个阀门的控制)对工序进行控制。

显然,通过操纵I/O信号,就可能悄无声息地干涉工业工序。这就是PLC rootkit干的事情。

Abbasi说:“我们的攻击通过PLC的I/O外设攻击PLC运行时间和逻辑之间的关系。在攻击中,PLC运行时间和逻辑在攻击中保持不变。在PLC中,I/O操作是最重要的任务之一。”

如果如这个二人组所解释的,因为不会造成PLC SoC的硬件中断,这个攻击是可行的。并且,因为Pin控制子系统无法检测硬件级别的Pin配置,攻击会愈演愈烈。

Abbasi和Hashemi正在研究针对这类PLC威胁的防御办法。

近期相关文章

工控网络与互联网对接需要纵深防御 美国国土安全部发布工控安全策略

工控系统生命周期中功能安全至关重要 用工控安全预警平台及时获取情报是关键

BlackHat上的工控蠕虫病毒 绿盟科技工控研究员用SCL语言编写实现 录像让你亲眼看看

腾讯科恩实验室吴石攻破特斯拉 不用接触车就可以打开车门刹车 难道越智能的东西越危险?




原文发布时间:2017年3月24日
本文由:安全加  发布,版权归属于原作者
原文链接:http://toutiao.secjia.com/netherlands-researcher-to-publish-plc-rootkit
本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:
+ 订阅

云安全开发者的大本营

其他文章