研究人员开发了一款无法被检测到的工控系统PLCRootkit

两名安全研究人员开发出了一款无法被检测到的PLC Rootkit，并计划在即将到来的2016欧洲黑帽大会上公布其具体细节。

创新互联公司是一家专注于成都网站设计、成都网站建设与策划设计,清流网站建设哪家好?创新互联公司做网站,专注于网站建设十余年,网设计领域的专业建站公司;建站业务涵盖:清流等地区。清流做网站价格咨询:18982081108

作为网络犯罪分子以及国家支持的黑客组织的重点攻击目标，能源行业面临的网络攻击威胁正逐渐加深。Stuxnet(震网病毒 )事件的爆发已经向世人证明了网络攻击的危险后果。威胁组织者完全能够将恶意代码传播到关键基础设施中，干扰其内部运作流程。

这一新型攻击手段将在即将召开的2016欧洲黑帽大会上亮相，据悉，利用该手段能够悄无声息地侵入工业网络流程。

危险性可能超过 Stuxnet

荷兰特温特大学分布式与嵌入式系统安全博士Ali Abbasi和独立安全研究员Majid Hashemi，已经开发出一款无法检测的PLC Rootkit。据悉，两位安全专家将于11月份在英国伦敦举办的欧洲黑帽大会上，展示这款无法检测到的PLC Rootkit。

两名安全研究人员还将展示一款利用shellcode发起PLC攻击的版本。他们的演讲题目为《PLC中的幽灵：设计一款无法检测的可编程逻辑控制器Rootkit》。

两名研究人员认为他们开发的这款PLC Rootkit的危险性可能超过 Stuxnet，因为它能够悄然潜入并直接感染PLC，而Stuxnet的设计目标则指向运行于 Windows架构上的SCADA系统。这也是PLC Rootkit更难被发现的原因所在，因为它立足于更低层的系统。

这款PLC Rootkit主要用于入侵PLC系统中的底层组件，可被视为一种跨平台的PLC威胁，因为它能够感染几乎任何供应商生产的PLC设备。

Abbasi告诉记者：

“这是一场来自底层的激烈角逐，每个人都想去访问更高层的SCADA运营组件。但是未来，攻击者将把目标锁定在更底层的攻击对象上，以此逃避检测。”

直接攻击PLC系统对攻击者而言更为轻松，因为这类设备一般不具备强大的检测机制，这也就意味着，运行实时操作系统的PLC更易受到网络攻击。

游离内核之外的攻击形式

8月，一组研究人员出席2016美国黑帽大会，并公布了一款PLC蠕虫病毒，能够实现在PLC设备间的传播。该病毒被开发者命名为“PLC-Blaster ”。

Abbasi和Hasemi解释称，他们的PLC Rootkit并不像其它类似的威胁一样，将目标锁定在PLC逻辑代码上，因此加大了其检测困难度。此外，研究人员解释称，PLC Rootkit的行为甚至不会被负责监控PLC功耗的系统发觉。

Abbasi解释道：

“我们游离内核之外的攻击形式，其运行负荷低于1%，这就意味着，即使那些实时监控PLC功耗情况的系统也无计可施，无法检测出我们的攻击手段。”

该恶意软件会干扰PLC运行时刻和逻辑同I/O外设间的连接。该恶意软件会留在工业组件的动态内存中，并操纵I/O及PLC流程，同时PLC与I/O数据块进行通信组成输出管脚(output pins)，处理流程的物理控制。

PLC会从输入PIN的字段中接收信号(即管道中的液面高度)，同时通过从PLC输出PIN接收指令的执行器来控制流程(即阀门控制)。很明显，篡改I/O信号意味着攻击者有能力悄无声息地对工业流程加以干涉，而这也正是此PLC Rootkit的目的所在。

Abbasi表示：

“我们的攻击指向PLC运行时刻和逻辑同I/O外设间的交互。在我们的攻击行为中，PLC逻辑与PLC运行时刻并不会受到影响，在PLC中，I/O操作才是最为重要的任务之一。” ?

正如两位研究人员解释的一样，这种攻击对于缺乏硬件中断机制的PLC系统芯片确实是可行的，此外，还无法被Pin控制子系统中的硬件层级Pin配置检测到。

目前，Abbasi与Hashemi正在研究防御对策，用于检测和保护PLC免受此类威胁的影响。

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源：创新互联

猜你还喜欢下面的内容