天创培训:您身边的信息安全培训专家!
技术中心
研究人员开发了一款无法被检测到的工控系统PLC Rootkit

两名安全研究人员开发出了一款无法被检测到的PLC Rootkit,并计划在即将到来的2016欧洲黑帽大会上公布其具体细节。
作为网络犯罪分子以及国家支持的黑客组织的重点攻击目标,能源行业面临的网络攻击威胁正逐渐加深。Stuxnet(震网病毒 )事件的爆发已经向世人证明了网络攻击的危险后果。威胁组织者完全能够将恶意代码传播到 关键基础设施中,干扰其内部运作流程。
这一新型攻击手段将在即将召开的2016欧洲黑帽大会上亮相 ,据悉,利用该手段能够悄无声息地侵入工业网络流程。
危险性可能超过 Stuxnet
荷兰特温特大学分布式与嵌入式系统安全博士Ali Abbasi和独立安全研究员Majid Hashemi,已经开发出一款无法检测的PLC Rootkit。据悉, 两位安全专家将于11月份在英国伦敦举办的欧洲黑帽大会 上,展示这款无法检测到的PLC Rootkit。
两名安全研究人员还将展示一款利用shellcode发起PLC攻击的版本。他们的演讲题目为《PLC中的幽灵:设计一款无法检测的可编程逻辑控制器Rootkit》 。

两名研究人员认为他们开发的这款PLC Rootkit的危险性可能超过 Stuxnet,因为它能够悄然潜入并直接感染PLC,而Stuxnet的设计目标则指向运行于 Windows架构上的SCADA系统。这也是PLC Rootkit更难被发现的原因所在,因为 它立足于更低层的系统。
这款PLC Rootkit主要用于入侵PLC系统中的底层组件,可被 视为一种跨平台的PLC威胁,因为它能够 感染几乎任何供应商生产的PLC设备。
Abbasi告诉记者:
“这是一场来自底层的激烈角逐,每个人都想 去访问更高层的SCADA运营组件。但是未来,攻击者将把目标锁定在更底层的攻击对象上,以此逃避检测 。”
直接攻击PLC系统对攻击者而言更为轻松,因为这类设备一般不具备强大的检测机制,这也就 意味着,运行实时操作系统的PLC更易受到网络攻击。
游离内核之外的攻击形式
8月,一组研究人员出席2016美国黑帽大会 ,并公布了一款PLC蠕虫病毒,能够实现在PLC设备间的传播。该 病毒被开发者命名为“PLC-Blaster ”。
Abbasi和Hasemi解释称,他们的PLC Rootkit并不像其它类似的 威胁一样,将目标锁定在PLC逻辑代码上,因此 加大了其检测困难度。此外,研究人员解释称,PLC Rootkit的行为甚至不会被负责监控PLC功耗的系统发觉。
Abbasi解释道:
“我们游离内核之外的攻击形式,其运行负荷低于1%,这 就意味着,即使那些实时监控PLC功耗情况的系统也无计可施 ,无法检测出我们的攻击手段。”
该恶意软件会干扰PLC运行时刻和逻辑同I/O外设间的连接。该恶意软件会留在工业组件的动态内存中, 并操纵I/O及PLC流程,同时PLC与I/O数据块进行通信组成输出 管脚(output pins),处理流程的物理控制。
PLC会从输入PIN的字段中接收信号(即管道中的液面高度),同时通过从PLC输出PIN接收指令的执行器来 控制流程(即阀门控制)。很明显,篡改I/O信号意味着攻击者有能力悄无声息地对工业流程加以干涉,而这也正是此PLC Rootkit的目的所在。
Abbasi表示:
“我们的攻击指向PLC运行时刻和逻辑同I/O外设间的交互。在我们的攻击行为 中,PLC逻辑与PLC运行时刻并不会受到影响,在PLC中,I/O操作才是最为重要的任务之一。” ?
正如两位研究人员解释的一样,这种攻击对于缺乏硬件中断机制的PLC系统芯片确实是 可行的,此外,还无法被Pin控制子系统中的硬件层级Pin配置检测到。
目前,Abbasi与Hashemi正在研究防御对策,用于检测和保护PLC免受此类威胁的影响。