当前位置:主页>科 研>学术交流>

直接锁定PLC!针对工控系统的勒索软件分析

5月中旬,“魔窟”(WannaCry)开始席卷全球,短短几天已经波及150余个国家和地区的30多万台电脑,涉及能源、电力、交通、医疗、教育、制造等重点行业领域,影响范围之广令人震惊。半个月时间过去了,看似攻击已经平息,而实际情况却是更加危险的勒索病毒却在暗处隐藏,随时都有可能发起致命一击。

攻击者的欲望日渐膨胀,个人的那一点点赎金早已无法满足他们贪婪的心,于是乎勒索对象由个人变成企业,将魔掌伸入防护薄弱的工业控制领域,SCADA和ICS系统首当其冲。

与此同时攻击者的手段也有所升级,从单纯的锁定、加密发展到清空控制系统全部运行逻辑并毁掉控制器使企业瞬间停产,且恢复周期相当漫长。这不仅会让相关企业蒙受巨大经济损失,甚至会毁坏昂贵的生产设备或者造成人员伤亡。

九略智能收集、整理并分析了当下针对于工业网络的勒索病毒的危害、相关案例以及防护建议。

  一、LogicLocker——锁定逻辑程序

2017年2月旧金山RSA大会上,乔治亚理工学院(GIT)的研究员演示了一种新研发的、可感染工控设施并向中水投毒的勒索软件即LogicLocker,攻击对象是ICS和SCADA等基础设施,例如发电厂或水处理设施,通过LogicLocker感染PLC并修改密码锁定合法用户,关闭阀门控制水中氯的含量并在机器面板上显示错误的读数。



 

  1. 勒索过程

LogicLocker主要针对3种PLC系统,分别为Schneider Modicon M221、Allen Bradley MicroLogix 1400和Schneider Modicon M241,利用API接口扫描工控系统内已知安全漏洞设备,通过感染和绕过方式突破安全机制,锁定设备合法用户,修改PLC代码破坏工控设备或设置程序逻辑炸弹触发更严重的安全威胁。



 

  1.1 初始感染阶段

入侵联网ICS设备或电脑终端,实现恶意软件或勒索软件驻留。

  1.2 横向渗透阶段

通过内网和感染设备发现存在漏洞和脆弱性的PLC设备。



 

  1.3 纵向渗透阶段



 

  1.4 锁定加密阶段

找到目标PLC后,锁定和加密。

  1.5 勒索谈判阶段

成功锁定或加密后就获取了控制权限,以邮件、PLC页面方式勒索。

  2. 逻辑炸弹

在取得PLC控制权后使PLC拒绝服务(DoS)、改变PLC行为、获取传感器和控制消息的数据。由于它是用梯形图编写的,可潜伏于梯形图程序中伪装成正常程序块,所以不容易被发现,当炸弹的触发条件满足即刻“爆炸”执行payload。



(责任编辑:安博涛)

分享到:

更多
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
  • 微笑/wx
  • 撇嘴/pz
  • 抓狂/zk
  • 流汗/lh
  • 大兵/db
  • 奋斗/fd
  • 疑问/yw
  • 晕/y
  • 偷笑/wx
  • 可爱/ka
  • 傲慢/am
  • 惊恐/jk
用户名: 验证码:点击我更换图片
资料下载专区
图文资讯

迁移到公有云时 这些事情一定要注意

迁移到公有云时 这些事情一定要注意

 鉴于公有云存储的低成本和易用性,很多公司企业都选择将自己的数据放到公有云上。有...[详细]

直接锁定PLC!针对工控系统的勒索软件分析

直接锁定PLC!针对工控系统的勒索软件分析

5月中旬,魔窟(WannaCry)开始席卷全球,短短几天已经波及150余个国家和地区的30多万台...[详细]

大数据安全专题|中国工程院院士邬贺铨:大

大数据安全专题|中国工程院院士邬贺铨:大数据共享与开放及保护的挑战

大数据包括物理空间的数据、信息空间的数据和智慧空间的数据,这是三元数据。作为网络...[详细]

避免电脑手机随身设备感染恶意软件的五条专

避免电脑手机随身设备感染恶意软件的五条专家建议

WannaCrypt“想哭病毒”给全世界的小白(和企业)上了一堂课:这个世界真的不安全!任何...[详细]

进化之道(二十八):进攻性收缩

进化之道(二十八):进攻性收缩

数天前,西子湖畔,味庄临湖小院,与蚂蚁金服和华为高管等一众友好喝茶餐叙,当中聊到...[详细]

返回首页 返回顶部