兩名安全研究人員開發(fā)出了一款無法被檢測到的PLC Rootkit，并計劃在即將到來的2016歐洲黑帽大會上公布其具體細節(jié)。

作為網(wǎng)絡犯罪分子以及國家支持的黑客組織的重點攻擊目標，能源行業(yè)面臨的網(wǎng)絡攻擊威脅正逐漸加深。Stuxnet(震網(wǎng)病毒 )事件的爆發(fā)已經向世人證明了網(wǎng)絡攻擊的危險后果。威脅組織者完全能夠將惡意代碼傳播到 關鍵基礎設施中，干擾其內部運作流程。

這一新型攻擊手段將在即將召開的2016歐洲黑帽大會上亮相 ，據(jù)悉，利用該手段能夠悄無聲息地侵入工業(yè)網(wǎng)絡流程。

危險性可能超過 Stuxnet

荷蘭特溫特大學分布式與嵌入式系統(tǒng)安全博士Ali Abbasi和獨立安全研究員Majid Hashemi，已經開發(fā)出一款無法檢測的PLC Rootkit。據(jù)悉， 兩位安全專家將于11月份在英國倫敦舉辦的歐洲黑帽大會 上，展示這款無法檢測到的PLC Rootkit。

兩名安全研究人員還將展示一款利用shellcode發(fā)起PLC攻擊的版本。他們的演講題目為《PLC中的幽靈：設計一款無法檢測的可編程邏輯控制器Rootkit》 。

[[172453]]

兩名研究人員認為他們開發(fā)的這款PLC Rootkit的危險性可能超過 Stuxnet，因為它能夠悄然潛入并直接感染PLC，而Stuxnet的設計目標則指向運行于 Windows架構上的SCADA系統(tǒng)。這也是PLC Rootkit更難被發(fā)現(xiàn)的原因所在，因為 它立足于更低層的系統(tǒng)。

這款PLC Rootkit主要用于入侵PLC系統(tǒng)中的底層組件，可被 視為一種跨平臺的PLC威脅，因為它能夠 感染幾乎任何供應商生產的PLC設備。

Abbasi告訴記者：

“這是一場來自底層的激烈角逐，每個人都想 去訪問更高層的SCADA運營組件。但是未來，攻擊者將把目標鎖定在更底層的攻擊對象上，以此逃避檢測 。”

直接攻擊PLC系統(tǒng)對攻擊者而言更為輕松，因為這類設備一般不具備強大的檢測機制，這也就 意味著，運行實時操作系統(tǒng)的PLC更易受到網(wǎng)絡攻擊。

游離內核之外的攻擊形式

8月，一組研究人員出席2016美國黑帽大會 ，并公布了一款PLC蠕蟲病毒，能夠實現(xiàn)在PLC設備間的傳播。該 病毒被開發(fā)者命名為“PLC-Blaster ”。

Abbasi和Hasemi解釋稱，他們的PLC Rootkit并不像其它類似的 威脅一樣，將目標鎖定在PLC邏輯代碼上，因此 加大了其檢測困難度。此外，研究人員解釋稱，PLC Rootkit的行為甚至不會被負責監(jiān)控PLC功耗的系統(tǒng)發(fā)覺。

Abbasi解釋道：

“我們游離內核之外的攻擊形式，其運行負荷低于1%，這 就意味著，即使那些實時監(jiān)控PLC功耗情況的系統(tǒng)也無計可施 ，無法檢測出我們的攻擊手段。”

該惡意軟件會干擾PLC運行時刻和邏輯同I/O外設間的連接。該惡意軟件會留在工業(yè)組件的動態(tài)內存中， 并操縱I/O及PLC流程，同時PLC與I/O數(shù)據(jù)塊進行通信組成輸出 管腳(output pins)，處理流程的物理控制。

PLC會從輸入PIN的字段中接收信號(即管道中的液面高度)，同時通過從PLC輸出PIN接收指令的執(zhí)行器來 控制流程(即閥門控制)。很明顯，篡改I/O信號意味著攻擊者有能力悄無聲息地對工業(yè)流程加以干涉，而這也正是此PLC Rootkit的目的所在。

Abbasi表示：

“我們的攻擊指向PLC運行時刻和邏輯同I/O外設間的交互。在我們的攻擊行為 中，PLC邏輯與PLC運行時刻并不會受到影響，在PLC中，I/O操作才是最為重要的任務之一。” ?

正如兩位研究人員解釋的一樣，這種攻擊對于缺乏硬件中斷機制的PLC系統(tǒng)芯片確實是 可行的，此外，還無法被Pin控制子系統(tǒng)中的硬件層級Pin配置檢測到。

目前，Abbasi與Hashemi正在研究防御對策，用于檢測和保護PLC免受此類威脅的影響。