兩名安全研究人員開發(fā)出了一款無法被檢測到的PLC Rootkit，并計(jì)劃在即將到來的2016歐洲黑帽大會上公布其具體細(xì)節(jié)。

作為網(wǎng)絡(luò)犯罪分子以及國家支持的黑客組織的重點(diǎn)攻擊目標(biāo)，能源行業(yè)面臨的網(wǎng)絡(luò)攻擊威脅正逐漸加深。Stuxnet（震網(wǎng)病毒 ）事件的爆發(fā)已經(jīng)向世人證明了網(wǎng)絡(luò)攻擊的危險(xiǎn)后果。威脅組織者完全能夠?qū)阂獯a傳播到 關(guān)鍵基礎(chǔ)設(shè)施中，干擾其內(nèi)部運(yùn)作流程。

這一新型攻擊手段將在即將召開的2016歐洲黑帽大會上亮相 ，據(jù)悉，利用該手段能夠悄無聲息地侵入工業(yè)網(wǎng)絡(luò)流程。

危險(xiǎn)性可能超過 Stuxnet

荷蘭特溫特大學(xué)分布式與嵌入式系統(tǒng)安全博士Ali Abbasi和獨(dú)立安全研究員Majid Hashemi，已經(jīng)開發(fā)出一款無法檢測的PLC Rootkit。據(jù)悉， 兩位安全專家將于11月份在英國倫敦舉辦的歐洲黑帽大會上，展示這款無法檢測到的PLC Rootkit。

兩名安全研究人員還將展示一款利用shellcode發(fā)起PLC攻擊的版本。他們的演講題目為《PLC中的幽靈：設(shè)計(jì)一款無法檢測的可編程邏輯控制器Rootkit》。

兩名研究人員認(rèn)為他們開發(fā)的這款PLC Rootkit的危險(xiǎn)性可能超過 Stuxnet，因?yàn)樗軌蚯娜粷撊氩⒅苯痈腥綪LC，而Stuxnet的設(shè)計(jì)目標(biāo)則指向運(yùn)行于 Windows架構(gòu)上的SCADA系統(tǒng)。這也是PLC Rootkit更難被發(fā)現(xiàn)的原因所在，因?yàn)?它立足于更低層的系統(tǒng)。

這款PLC Rootkit主要用于入侵PLC系統(tǒng)中的底層組件，可被 視為一種跨平臺的PLC威脅，因?yàn)樗軌?感染幾乎任何供應(yīng)商生產(chǎn)的PLC設(shè)備。

Abbasi告訴記者：

“這是一場來自底層的激烈角逐，每個(gè)人都想 去訪問更高層的SCADA運(yùn)營組件。但是未來，攻擊者將把目標(biāo)鎖定在更底層的攻擊對象上，以此逃避檢測 。”

直接攻擊PLC系統(tǒng)對攻擊者而言更為輕松，因?yàn)檫@類設(shè)備一般不具備強(qiáng)大的檢測機(jī)制，這也就 意味著，運(yùn)行實(shí)時(shí)操作系統(tǒng)的PLC更易受到網(wǎng)絡(luò)攻擊。

游離內(nèi)核之外的攻擊形式

8月，一組研究人員出席2016美國黑帽大會 ，并公布了一款PLC蠕蟲病毒，能夠?qū)崿F(xiàn)在PLC設(shè)備間的傳播。該 病毒被開發(fā)者命名為“PLC-Blaster”。

Abbasi和Hasemi解釋稱，他們的PLC Rootkit并不像其它類似的 威脅一樣，將目標(biāo)鎖定在PLC邏輯代碼上，因此 加大了其檢測困難度。此外，研究人員解釋稱，PLC Rootkit的行為甚至不會被負(fù)責(zé)監(jiān)控PLC功耗的系統(tǒng)發(fā)覺。

Abbasi解釋道：

“我們游離內(nèi)核之外的攻擊形式，其運(yùn)行負(fù)荷低于1%，這 就意味著，即使那些實(shí)時(shí)監(jiān)控PLC功耗情況的系統(tǒng)也無計(jì)可施 ，無法檢測出我們的攻擊手段。”

該惡意軟件會干擾PLC運(yùn)行時(shí)刻和邏輯同I/O外設(shè)間的連接。該惡意軟件會留在工業(yè)組件的動態(tài)內(nèi)存中， 并操縱I/O及PLC流程，同時(shí)PLC與I/O數(shù)據(jù)塊進(jìn)行通信組成輸出 管腳（output pins），處理流程的物理控制。

PLC會從輸入PIN的字段中接收信號（即管道中的液面高度），同時(shí)通過從PLC輸出PIN接收指令的執(zhí)行器來 控制流程（即閥門控制）。很明顯，篡改I/O信號意味著攻擊者有能力悄無聲息地對工業(yè)流程加以干涉，而這也正是此PLC Rootkit的目的所在。

Abbasi表示：

“我們的攻擊指向PLC運(yùn)行時(shí)刻和邏輯同I/O外設(shè)間的交互。在我們的攻擊行為 中，PLC邏輯與PLC運(yùn)行時(shí)刻并不會受到影響，在PLC中，I/O操作才是最為重要的任務(wù)之一。” ?

正如兩位研究人員解釋的一樣，這種攻擊對于缺乏硬件中斷機(jī)制的PLC系統(tǒng)芯片確實(shí)是 可行的，此外，還無法被Pin控制子系統(tǒng)中的硬件層級Pin配置檢測到。

目前，Abbasi與Hashemi正在研究防御對策，用于檢測和保護(hù)PLC免受此類威脅的影響。