来自OpenSource Security（简称OSS）的德国研究人员们创造出一种概念验证型蠕虫病毒，目标直指可编程逻辑控制器（简称PLC）——ICS/SCADA设备中的核心所在。

他们的研究成果是基于其他德国安全技术从业人员：在去年的美国黑帽大会上，德国研究人员公布了一款端口扫描工具，能够识别出可经由互联网加以访问的PLC。

由Ralf Spenneberg领导的OSS团队已经开发出一款蠕虫病毒，这种拥有自我繁殖能力的计算机病毒能够驻留在PLC设备的有限内存空间中，扫描本地网络并面向其它同类设备进行传播。

PLC-Blaster概念验证蠕虫目前只适用于西门子PLC产品

在这一概念验证项目当中，研究人员们创造出的蠕虫能够感染西门子SIMATIC S7-1200 PLC。这款代号为PLC-Blaster的蠕虫病毒随后通过端口102扫描由西门子设备共享的本地网络以及内部控制中心通信协议（简称ICCP），从而寻找新的感染目标进行自我复制。

在识别到新目标后，该蠕虫会关闭目标设备、向其中复制代码而后进行重启。研究人员指出，整个感染过程之所以能够起效，是因为该蠕虫能够模仿西门子的TIA-Portal并利用一项已经被西门子方面所修复的漏洞。

研究人员们同时表示，这类攻击活动需要恶意人士直接接触存在漏洞的设备网络，或者在PLC产品被出售给客户之前对其加以篡改。

企业用户可以检测到PLC-Blaster病毒感染情况

一旦被安装在工业网络当中，PLC-Blaster代码将逐步执行、传播至其它设备而后执行其它能够破坏SCADA设备或者导致关键性设备发生DoS（即拒绝服务）问题的恶意代码攻击。

研究人员同时指出，他们的蠕虫病毒可针对其它类型的PLC进行轻松修改，但同样易被发现——这主要是因为该蠕虫每十秒即会进行一次自我复制。

重置存在受感染PLC的SCADA设备并不能解决问题，因为该蠕虫病毒被保存在控制器当中。应对威胁的惟一办法就是将其恢复出厂设置。

关于PLC-Blaster起效模式的更多细节信息可通过研究论文以及2016亚洲黑帽大会上的相关主题演讲了解，也可以在E安全微信公众内回复“OSSPLC”获取相关资料。

E安全/文 转载请注明E安全

E安全——全球网络安全新传媒