研究人员为可编程逻辑控制器构建未检测的rootkit
Microsoft修复了Google泄露的Windows漏洞
第三方网络违规风险设定为上升
Talktalk的York FTTP宽带推出全国范围内
研究生资格需要45%的数据科学家角色
普遍信贷项目在2015年警告到GOV.uk核实表现
英特尔的版本 - 从划痕的无人机套件下一个月起飞
ICO表示,新数据保护时代的公共教育很重要
这款海军资助的无人机在海和天空的家里
这是Zenefits如何试图重新发明自己
微软块Belichick的反曲面闪电声
SAP成功的机会只有50-50
英国移动运营商在数据泄露后失去电话
卫生部门数字化对于打击心理健康危机至关重要
消费者浪费数百万千兆字节的包容性移动数据
sisense为聊天机器人带来了它的分析平台
MWC 2018:iPhone X选择游客的游客
Microsoft将缩小并加快Windows 10更新
DMA集团致力于减少GDPR周围的恐惧
NRF 2018:前GE EXEC表示,公司应该以“实验室方法”为创新。
金融储蓄只是了解代码质量的CIO开始
Google Taps进入您的生活,以个性化其流媒体音乐
NHS Wannacry综述需要对问责制和技能的需求
解锁手机,联邦政府要求所有乘员投降指纹
朝鲜黑客绑在韩国的加密货币袭击
英国在亮度间谍软件上引导国际镇压
六名投标人设置为参加5G移动频谱拍卖
Apple Bolsters A.I.聘请首先是A.I的首次导演。研究
阿拉巴马州建造其最大的太阳能农场,有足够的电力为15k家
白宫经济学家说,AI和机器人并没有为您的工作而努力
英国批准将英国黑客引渡到美国
NHS Digital和Techuk为2018年举行了合作优先事项
Capriza UPS移动企业赌注(再次)
大多数英国企业手机没有修补融合和幽灵
FBI探讨与克林顿的私人服务器相关的新电子邮件
布里斯托尔委员会匆忙,涨幅为25万英镑云移民项目
McAfee说,间谍软件通过社交链接定位朝鲜持不同政见者
大多数英国组织不知道新的数据保护法
银行家计划将Corda区别为Hyperlowger项目
比特币盗窃:冰岛警察计算加密电脑套件的费用来自Datentres
美国国税局希望从2013年到2015年为每个美国斗士用户身份证
HMRC的转型程序陷入额外的Brexit工作量
Dialpad任命Marc Andreessen到其董事会
BMW为创新实验室2018加速器选择新的启动
微软未能达到截止日期后,谷歌揭示了边缘漏洞
教堂尖顶成为移动覆盖热点
Simon Eccles被任命为NHS CCIO
检查点在Google Play应用程序中查找成式恶意软件
美国国防委员会在反信托投诉中与AWS合作伙伴削减了1亿美元的云合约
System76将Ubuntu带到699美元的笔记本电脑与Kaby Lake Chips
您的位置:首页 >产品 > 商业评论 >

研究人员为可编程逻辑控制器构建未检测的rootkit

2021-07-27 17:44:02 [来源]:

研究人员对工业可编程逻辑控制器(PLC)设计了一种新的恶意软件攻击,该攻击利用微处理器中的建筑缺点并绕过电流检测机制。

该攻击更改了构成PLC使用的接口的输入/输出引脚的配置,以与传感器,阀门和电机等其他设备通信。PLC是专门的嵌入式计算机,用于控制和监控工厂,电站,煤气炼油厂,公用事业和其他工业设备的物理过程。

袭击事件将于周四在伦敦的黑帽欧洲安全会议上展示,由Ali Abbasi是Twente大学的分布式和嵌入式系统安全集团的博士候选人,位于荷兰大学,A和Majid Hashemi,A Quarkslab的研发工程师,基于巴黎的网络安全公司。

I / O攻击的一个版本称为引脚配置,涉及使用恶意代码,将I / O引脚的配置从输出切换到输入,或者在没有PLC的SO或程序的情况下。

例如,取出PLC的情况,该PLC连接到阀门,并且能够通过将信号发送到I / O引脚CONPD作为输出来打开或关闭它。相同的PLC还通过将CONPD作为输入的另一个引脚从传感器接收压力读数。在PLC上运行的程序,称为PLC逻辑 - 监视器的读数,并自动打开阀门在需要时释放压力。

被攻击者注入PLC的恶意代码可以将输出引脚重新加为输入,防止PLC逻辑写入其并打开阀门。它还可以将输入引脚重新加入输出并将虚拟数据写入其中。结果将是PLC将报告监控软件,即它打开阀门,并且由于攻击者现在提供的错误读数 - 当实际上它有时它没有。

基本问题是,在PLC等嵌入式设备上使用的芯片(SOC)上的系统中没有硬件中断,因此在尝试将PIN重新编辑为输入时,操作系统将从处理器中没有错误,根据Abbasi。这意味着PLC逻辑在运行时环境中运行,不会崩溃,并将继续采取行动,好像操作成功,因为在OS虚拟内存中,一切都会好看。

“这是这里的核心问题,”阿巴西说。“似乎没有SoC供应商已经考虑了PIN配置反馈,这对于其他嵌入式系统来说可能并不重要,但对于PLC,其主要操作与I / O具有I / O,这变得超级重要性,可能导致问题。”

ABBASI和HASHEMI在rootkit中实现了攻击技术,该技术用作可加载的内核模块(LKM)。这允许它们绕过现有的基于主机的入侵检测和控制流程完整性,如Doppelganger和AutoScopy Jr所以嵌入式系统。

“我们攻击的新颖性在于操纵物理过程的事实,我们没有修改PLC逻辑指令或固件,”研究人员在纸质中说。“可以在不利用传统功能挂钩技术的情况下实现这一点,并通过将整个恶意代码放在动态内存中。”

实现rootkit作为LKM的缺点 - 基本上是一个驱动程序 - 部署它需要root权限。因此,研究人员还开发了一种使用PLC运行时的现有功能来重新调用PIN的攻击的版本,并且可以通过利用任何内存损坏漏洞来实现此变体,该漏洞允许将恶意代码直接加载到动态内存中。

另一种攻击技术针对引脚多路复用的特征,除了GPIO(通用输入/输出)之外还允许使用不同的接口模式的相同引脚。PIN的功能可以在运行时再次重新分配,并且没有反馈告诉操作系统发生了一些反馈。

“让”让你说“使用PIN连接到电机并通过CPU内的脉冲宽度调制(PWM)控制器进行管理,”Abbasi表示。“在攻击中,我们所做的是多路复用引脚并将其功能更改为其他东西,但CPU不会告诉内存管理单元(MMU),将虚拟地址转换为物理地址,该物理地址对应于物理地址该引脚不再可用。MMU将继续写信给它,CPU将忽略请求,但赢得了“T回报任何错误,这是”疯狂的,因为PLC仍将认为电机可访问。“

根据Abbasi的说法,我们很快就会在疯狂地看到这些类型的I / O攻击,因为目前有更简单的方法来危及PLC。然而,随着供应商以更好的内置安全性构建下一代PLC,重要的是要记住固件和逻辑操作不是黑客可用的唯一攻击选项。

此外,它不仅是I / O攻击的PLC,而且是I / O操作的所有嵌入式设备,例如汽车或智能电子设备(IED)中使用的电子控制单元(ECU)在电力行业。

在他们的论文中,研究人员提出了两种研究方向,用于检测I / O攻击的新技术。他们计划使用这些作为未来工作的基础。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。