研究人员开发了一款无法被检测到的工控系统PLC Rootkit

两名安全研究人员开发出了一款无法被检测到的PLC Rootkit，并计划在即将到来的2016欧洲黑帽大会上公布其具体细节。

作为网络犯罪分子以及国家支持的黑客组织的重点攻击目标，能源行业面临的网络攻击威胁正逐渐加深。Stuxnet(震网病毒 )事件的爆发已经向世人证明了网络攻击的危险后果。威胁组织者完全能够将恶意代码传播到 关键基础设施中，干扰其内部运作流程。

这一新型攻击手段将在即将召开的2016欧洲黑帽大会上亮相 ，据悉，利用该手段能够悄无声息地侵入工业网络流程。

危险性可能超过 Stuxnet

荷兰特温特大学分布式与嵌入式系统安全博士Ali Abbasi和独立安全研究员Majid Hashemi，已经开发出一款无法检测的PLC Rootkit。据悉， 两位安全专家将于11月份在英国伦敦举办的欧洲黑帽大会 上，展示这款无法检测到的PLC Rootkit。

两名安全研究人员还将展示一款利用shellcode发起PLC攻击的版本。他们的演讲题目为《PLC中的幽灵：设计一款无法检测的可编程逻辑控制器Rootkit》 。

[[172453]]

两名研究人员认为他们开发的这款PLC Rootkit的危险性可能超过 Stuxnet，因为它能够悄然潜入并直接感染PLC，而Stuxnet的设计目标则指向运行于 Windows架构上的SCADA系统。这也是PLC Rootkit更难被发现的原因所在，因为 它立足于更低层的系统。

这款PLC Rootkit主要用于入侵PLC系统中的底层组件，可被 视为一种跨平台的PLC威胁，因为它能够 感染几乎任何供应商生产的PLC设备。

Abbasi告诉记者：

“这是一场来自底层的激烈角逐，每个人都想 去访问更高层的SCADA运营组件。但是未来，攻击者将把目标锁定在更底层的攻击对象上，以此逃避检测 。”

直接攻击PLC系统对攻击者而言更为轻松，因为这类设备一般不具备强大的检测机制，这也就 意味着，运行实时操作系统的PLC更易受到网络攻击。

游离内核之外的攻击形式

8月，一组研究人员出席2016美国黑帽大会 ，并公布了一款PLC蠕虫病毒，能够实现在PLC设备间的传播。该 病毒被开发者命名为“PLC-Blaster ”。

Abbasi和Hasemi解释称，他们的PLC Rootkit并不像其它类似的 威胁一样，将目标锁定在PLC逻辑代码上，因此 加大了其检测困难度。此外，研究人员解释称，PLC Rootkit的行为甚至不会被负责监控PLC功耗的系统发觉。

Abbasi解释道：

“我们游离内核之外的攻击形式，其运行负荷低于1%，这 就意味着，即使那些实时监控PLC功耗情况的系统也无计可施 ，无法检测出我们的攻击手段。”

该恶意软件会干扰PLC运行时刻和逻辑同I/O外设间的连接。该恶意软件会留在工业组件的动态内存中， 并操纵I/O及PLC流程，同时PLC与I/O数据块进行通信组成输出 管脚(output pins)，处理流程的物理控制。

PLC会从输入PIN的字段中接收信号(即管道中的液面高度)，同时通过从PLC输出PIN接收指令的执行器来 控制流程(即阀门控制)。很明显，篡改I/O信号意味着攻击者有能力悄无声息地对工业流程加以干涉，而这也正是此PLC Rootkit的目的所在。

Abbasi表示：

“我们的攻击指向PLC运行时刻和逻辑同I/O外设间的交互。在我们的攻击行为 中，PLC逻辑与PLC运行时刻并不会受到影响，在PLC中，I/O操作才是最为重要的任务之一。” ?

正如两位研究人员解释的一样，这种攻击对于缺乏硬件中断机制的PLC系统芯片确实是 可行的，此外，还无法被Pin控制子系统中的硬件层级Pin配置检测到。

目前，Abbasi与Hashemi正在研究防御对策，用于检测和保护PLC免受此类威胁的影响。