查看原文
其他

研究人员创造自我繁殖型蠕虫病毒,目标直指SCADA设备

2016-05-10 E安全 E安全


来自OpenSource Security简称OSS)的德国研究人员们创造出一种概念验证型蠕虫病毒,目标直指可编程逻辑控制器(简称PLC)——ICS/SCADA设备中的核心所在。

他们的研究成果是基于其他德国安全技术从业人员:在去年的美国黑帽大会上,德国研究人员公布了一款端口扫描工具,能够识别出可经由互联网加以访问的PLC。

由Ralf Spenneberg领导的OSS团队已经开发出一款蠕虫病毒,这种拥有自我繁殖能力的计算机病毒能够驻留在PLC设备的有限内存空间中,扫描本地网络并面向其它同类设备进行传播。

PLC-Blaster概念验证蠕虫目前只适用于西门子PLC产品

在这一概念验证项目当中,研究人员们创造出的蠕虫能够感染西门子SIMATIC S7-1200 PLC。这款代号为PLC-Blaster的蠕虫病毒随后通过端口102扫描由西门子设备共享的本地网络以及内部控制中心通信协议(简称ICCP),从而寻找新的感染目标进行自我复制。

在识别到新目标后,该蠕虫会关闭目标设备、向其中复制代码而后进行重启。研究人员指出,整个感染过程之所以能够起效,是因为该蠕虫能够模仿西门子的TIA-Portal并利用一项已经被西门子方面所修复的漏洞。

研究人员们同时表示,这类攻击活动需要恶意人士直接接触存在漏洞的设备网络,或者在PLC产品被出售给客户之前对其加以篡改。

企业用户可以检测到PLC-Blaster病毒感染情况

一旦被安装在工业网络当中,PLC-Blaster代码将逐步执行、传播至其它设备而后执行其它能够破坏SCADA设备或者导致关键性设备发生DoS(即拒绝服务)问题的恶意代码攻击。

研究人员同时指出,他们的蠕虫病毒可针对其它类型的PLC进行轻松修改,但同样易被发现——这主要是因为该蠕虫每十秒即会进行一次自我复制。

重置存在受感染PLC的SCADA设备并不能解决问题,因为该蠕虫病毒被保存在控制器当中。应对威胁的惟一办法就是将其恢复出厂设置。

关于PLC-Blaster起效模式的更多细节信息可通过研究论文以及2016亚洲黑帽大会上的相关主题演讲了解,也可以在E安全微信公众内回复“OSSPLC”获取相关资料。

E安全/文 转载请注明E安全

E安全——全球网络安全新传媒

E安全微信公众号: EAQapp

E安全新浪微博:weibo.com/EAQapp

E安全PC站点

E安全客服&投稿邮箱:eapp@easyaq.com

点击下方”阅读原文“即可下载安装E安全app

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存