工控入侵又有新进展 2016欧洲黑帽大会将公布无法被检测到的PLC Rootkit

摘要

E安全9月19日讯 两位安全研究人员已经开发出一套无法被检测到的PLC Rootkit,且计划在即将召开的2016欧洲黑帽大会上公布。

作为持续性攻击、网络罪犯以及国家支持型入侵活动的重要指向目标,能源行业长久以来一直成为网络安全领域的软肋所在。

当年出现的Stuxnet——即震网病毒,就已经让IT行业意识到网络攻击的危险后果。事实上,威胁组织者们完全有能力将恶意代码传播至关键性基础设施的内部运作流程当中。

而在即将召开的欧洲黑帽大会之上,又一种新型攻击手段将闪亮登场,其能够悄无声息地侵入工业网络流程。

荷兰特温特大学分布式与嵌入式系统安全博士生Ali Abbasi与独立安全研究员Majid Hashemi已经开发出一款无法被检测到的PLC Rootkit。两位安全专家将出席计划于11月于英国伦敦召开的欧洲黑帽大会本文源自E安全,并在其间展示这款惊人的PLC Rootkit。

两名安全研究人员还将展示一款可利用shellcode发起PLC攻击的可用版本。他们的演讲题目为 《PLC中的幽灵:设计一款无法被检测到的可编程逻辑控制器Rootkit》

工控入侵又有新进展 2016欧洲黑帽大会将公布无法被检测到的PLC Rootkit

两名研究人员指出,其PLC Rootkit可能比Stuxnet更加危险,因为其能够悄然潜入并直接感染PLC——相比之下,Stuxnet的设计目标则在于指向运行在Windows架构之上的SCADA系统。之所以更难被发现,是因为此次公布的PLC Rootkit立足于更低系统层级。

这套PLC Rootkit旨在入侵PLC系统中的底层组件,大家可以将其视为一种跨平台PLC威胁——因为其能够对来自任意供应商的PLC设备实施入侵。

“这是一场激烈的竞逐,”Abbasi在接受采访时指出。“每个人都希望访问更高层级的SCADA运营组件。未来,攻击者将把目标指向更为底层的攻击对象”从而逃避检测,他解释称。

直接对PLC系统进行入侵对于攻击者而言更为轻松,因为此类设备一般不具备强大的检测机制,这意味着运行有实时操作系统的PLC更易受到网络攻击的影响。

今年8月,另一研究团队在美国黑帽大会上公布了一款PLC蠕虫病毒,其能够在各PLC设备之间往来传播。这一病毒被定名为PLC-Blaster。

Abbasi与Hasemi解释称,他们的PLC Rootkit并不像其它同类威胁那样将目标指向PLC逻辑代码,因此更难被检测及发现。

此外,两名研究人员解释称,该PLC Rootkit的活动将不会被负责监控PLC能耗水平的方案所发觉。

“我们的攻击游离于内核之外,且运行负荷低于1%本文源自E安全,这意味着即使相关方案能够监控PLC的功耗情况,仍然无法借此发现我们的攻击手段,”Abbasi解释道。

该恶意软件会干扰PLC运行时与逻辑同I/O外设间的连接。该恶意软件驻留在工业组件的动态内存当中,且操纵相关I/O及PLC流程,同时影响PLC进行通信交互用以处理流程物理控制的输出I/O数据块。

PLC会从输入PIN的字段当中接收信号(即管道中的液面高度),同时利用PLC输出PIN依据接收到的指令进行执行器控制(即阀门控制)。

很明显,篡改I/O信号意味着攻击者有能力悄无声息地对工业流程加以干涉,而这也正是此PLC Rootkit的目的所在。

“我们的攻击指向I/O外设与PLC运行时及逻辑间的交互。在我们的攻击方案当中,PLC逻辑与PLC运行时并不会受到影响,”Abbasi表示。“在PLC当中,I/O操作正是最为重要的任务之一。”

正如两位研究人员所言,此类攻击对于缺乏硬件中断机制的PLC系统芯片确实具备可行性,且无法被Pin控制子系统中的硬件层级Pin配置所检测到。

Abbasi与Hashemi目前正在研究相关防御对策,旨在检测并保护PLC免受此类威胁的影响。

E安全注:本文系E安全编辑报道, 转载请联系授权 ,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com

@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。

广告也精彩

E安全9月19日讯 两位安全研究人员已经开发出一套无法被检测到的PLC Rootkit,且计划在即将召开的2016欧洲黑帽大会上公布。

作为持续性攻击、网络罪犯以及国家支持型入侵活动的重要指向目标,能源行业长久以来一直成为网络安全领域的软肋所在。

当年出现的Stuxnet——即震网病毒,就已经让IT行业意识到网络攻击的危险后果。事实上,威胁组织者们完全有能力将恶意代码传播至关键性基础设施的内部运作流程当中。

而在即将召开的欧洲黑帽大会之上,又一种新型攻击手段将闪亮登场,其能够悄无声息地侵入工业网络流程。

荷兰特温特大学分布式与嵌入式系统安全博士生Ali Abbasi与独立安全研究员Majid Hashemi已经开发出一款无法被检测到的PLC Rootkit。两位安全专家将出席计划于11月于英国伦敦召开的欧洲黑帽大会本文源自E安全,并在其间展示这款惊人的PLC Rootkit。

两名安全研究人员还将展示一款可利用shellcode发起PLC攻击的可用版本。他们的演讲题目为 《PLC中的幽灵:设计一款无法被检测到的可编程逻辑控制器Rootkit》

工控入侵又有新进展 2016欧洲黑帽大会将公布无法被检测到的PLC Rootkit

两名研究人员指出,其PLC Rootkit可能比Stuxnet更加危险,因为其能够悄然潜入并直接感染PLC——相比之下,Stuxnet的设计目标则在于指向运行在Windows架构之上的SCADA系统。之所以更难被发现,是因为此次公布的PLC Rootkit立足于更低系统层级。

这套PLC Rootkit旨在入侵PLC系统中的底层组件,大家可以将其视为一种跨平台PLC威胁——因为其能够对来自任意供应商的PLC设备实施入侵。

“这是一场激烈的竞逐,”Abbasi在接受采访时指出。“每个人都希望访问更高层级的SCADA运营组件。未来,攻击者将把目标指向更为底层的攻击对象”从而逃避检测,他解释称。

直接对PLC系统进行入侵对于攻击者而言更为轻松,因为此类设备一般不具备强大的检测机制,这意味着运行有实时操作系统的PLC更易受到网络攻击的影响。

今年8月,另一研究团队在美国黑帽大会上公布了一款PLC蠕虫病毒,其能够在各PLC设备之间往来传播。这一病毒被定名为PLC-Blaster。

Abbasi与Hasemi解释称,他们的PLC Rootkit并不像其它同类威胁那样将目标指向PLC逻辑代码,因此更难被检测及发现。

此外,两名研究人员解释称,该PLC Rootkit的活动将不会被负责监控PLC能耗水平的方案所发觉。

“我们的攻击游离于内核之外,且运行负荷低于1%本文源自E安全,这意味着即使相关方案能够监控PLC的功耗情况,仍然无法借此发现我们的攻击手段,”Abbasi解释道。

该恶意软件会干扰PLC运行时与逻辑同I/O外设间的连接。该恶意软件驻留在工业组件的动态内存当中,且操纵相关I/O及PLC流程,同时影响PLC进行通信交互用以处理流程物理控制的输出I/O数据块。

PLC会从输入PIN的字段当中接收信号(即管道中的液面高度),同时利用PLC输出PIN依据接收到的指令进行执行器控制(即阀门控制)。

很明显,篡改I/O信号意味着攻击者有能力悄无声息地对工业流程加以干涉,而这也正是此PLC Rootkit的目的所在。

“我们的攻击指向I/O外设与PLC运行时及逻辑间的交互。在我们的攻击方案当中,PLC逻辑与PLC运行时并不会受到影响,”Abbasi表示。“在PLC当中,I/O操作正是最为重要的任务之一。”

正如两位研究人员所言,此类攻击对于缺乏硬件中断机制的PLC系统芯片确实具备可行性,且无法被Pin控制子系统中的硬件层级Pin配置所检测到。

Abbasi与Hashemi目前正在研究相关防御对策,旨在检测并保护PLC免受此类威胁的影响。

E安全注:本文系E安全编辑报道, 转载请联系授权 ,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com

@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: