研究人员为可编程逻辑控制器搭建未检测的rootkit

发布时间：2022-03-07 12:19:21 所属栏目：要闻来源：互联网

导读：研究人员对工业可编程逻辑控制器（PLC）设计了一种新的恶意软件攻击，该攻击利用微处理器中的建筑缺点并绕过电流检测机制。该攻击更改了构成PLC使用的接口的输入/输出引脚的配置，以与传感器，阀门和电机等其他设备通信。PLC是专门的嵌入式计算机，用于控制

研究人员对工业可编程逻辑控制器（PLC）设计了一种新的恶意软件攻击，该攻击利用微处理器中的建筑缺点并绕过电流检测机制。

该攻击更改了构成PLC使用的接口的输入/输出引脚的配置，以与传感器，阀门和电机等其他设备通信。PLC是专门的嵌入式计算机，用于控制和监控工厂，电站，煤气炼油厂，公用事业和其他工业设备的物理过程。

袭击事件将于周四在伦敦的黑帽欧洲安全会议上展示，由Ali Abbasi是Twente大学的分布式和嵌入式系统安全集团的博士候选人，位于荷兰大学，A和Majid Hashemi，A Quarkslab的研发工程师，基于巴黎的网络安全公司。

ABBASI和HASHEMI在rootkit中实现了攻击技术，该技术用作可加载的内核模块（LKM）。这允许它们绕过现有的基于主机的入侵检测和控制流程完整性，如Doppelganger和AutoScopy Jr所以嵌入式系统。

“我们攻击的新颖性在于操纵物理过程的事实，我们没有修改PLC逻辑指令或固件，”研究人员在纸质中说。“可以在不利用传统功能挂钩技术的情况下实现这一点，并通过将整个恶意代码放在动态内存中。”

实现rootkit作为LKM的缺点 - 基本上是一个驱动程序 - 部署它需要root权限。因此，研究人员还开发了一种使用PLC运行时的现有功能来重新调用PIN的攻击的版本，并且可以通过利用任何内存损坏漏洞来实现此变体，该漏洞允许将恶意代码直接加载到动态内存中。

另一种攻击技术针对引脚多路复用的特征，除了GPIO（通用输入/输出）之外还允许使用不同的接口模式的相同引脚。PIN的功能可以在运行时再次重新分配，并且没有反馈告诉操作系统发生了一些反馈。

“让”让你说“使用PIN连接到电机并通过CPU内的脉冲宽度调制（PWM）控制器进行管理，”Abbasi表示。“在攻击中，我们所做的是多路复用引脚并将其功能更改为其他东西，但CPU不会告诉内存管理单元（MMU），将虚拟地址转换为物理地址，该物理地址对应于物理地址该引脚不再可用。MMU将继续写信给它，CPU将忽略请求，但赢得了“T回报任何错误，这是”疯狂的，因为PLC仍将认为电机可访问。“

（编辑：应用网_丽江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!