导 读
研究人员开发了针对现代可编程逻辑控制器 (PLC) 的恶意软件,以证明可以针对此类工业控制系统 (ICS) 发起远程震网式攻击。
来自佐治亚理工学院的研究人员发表了一篇论文(https://www.ndss-symposium.org/wp-content/uploads/2024-49-paper.pdf),详细介绍了这个 ICS 安全项目。
对于传统 PLC,攻击者可以针对控制逻辑层或固件层。固件攻击可以提供高水平的设备控制并且难以检测,但恶意软件的部署可能具有挑战性。控制逻辑恶意软件更容易部署,也更容易检测。这两种情况都要求攻击者拥有对目标组织的工业网络的特权访问权限。
就现代 PLC 而言,许多都包含 Web 服务器,并且可以通过专用 API 和用作人机界面 (HMI) 的常规 Web 浏览器来远程配置、控制和监控它们。
虽然这些现代 PLC 可以为组织提供许多好处,但佐治亚理工学院的研究人员警告说,它们也可以显着扩大 ICS 的攻击面。
为了证明这些风险,研究人员开发了所谓的基于网络的 PLC 恶意软件,该恶意软件驻留在控制器的内存中,但由 ICS 环境中配备浏览器的设备在客户端执行。该恶意软件可能会滥用 PLC 的合法 Web API,导致工业流程中断或机械损坏。
这种新的 PLC 恶意软件易于部署且难以检测。初始感染可以通过物理或网络访问目标基于 Web 的 HMI 来完成,但恶意软件也可以通过使用跨源漏洞劫持 HMI 来直接通过互联网部署。
为了实现持久性,这种新型 PLC 恶意软件利用服务工作线程,允许 JavaScript 代码深入浏览器缓存并独立于安装它的网页执行。此外,文件从服务器删除后,它们将继续运行长达 24 小时。使用这种方法,恶意软件可以在固件更新、新的基于网络的 HMI 甚至硬件更换中幸存。
一旦部署完毕,恶意软件的功能就取决于所使用的合法的基于 Web 的 API 的功能,其中一些 API 非常强大。例如,它们可用于直接覆盖输入/输出值、滥用 HMI 输入、更改设定点和安全设置、欺骗 HMI 显示、更新管理员设置,甚至用于实时数据泄露。
研究人员表示,即使目标 PLC 位于隔离网络中,恶意软件也可以具有命令和控制 (C&C) 连接。
一旦攻击者执行了所需的任务,它就可以通过让恶意软件自我毁灭来掩盖其踪迹,用良性有效负载覆盖恶意有效负载,注销所有服务,甚至可能对设备进行出厂重置。
研究人员通过开发一款名为 IronSpider 的恶意软件来展示他们的工作,该恶意软件旨在针对 Wago PLC。模拟攻击涉及当目标操作员查看特制的广告横幅时,利用以前未知的漏洞来部署恶意软件。该恶意软件可以破坏工业电机造成损坏,同时欺骗 HMI 屏幕以显示正常值并避免引起怀疑。
去年,SecurityWeek在与参与该 PLC 恶意软件项目的佐治亚理工学院研究人员之一 Ryan Pickren 交谈后 描述了一些Wago PLC 漏洞。
IronSpider 与十多年前针对伊朗核计划的臭名昭著的 Stuxnet 恶意软件进行了比较。
“Stuxnet 通过修改控制铀浓缩离心机的变频驱动器的模拟输出信号来破坏伊朗核设施。这次破坏的直接结果是 1,000 多台离心机被物理破坏,设施的运行能力下降了 30%。”研究人员在论文中表示。
他们补充道:“我们的原型恶意软件 IronSpider 能够使用截然不同的方法实现基本相似的攻击。Stuxnet 通过控制逻辑恶意软件攻击 PLC,并通过受感染的工程工作站部署这些恶意软件 […]。然而,IronSpider 使用基于网络的恶意软件,并通过恶意网站部署该恶意软件,而无需损害任何外围系统。”
虽然该攻击针对的是 Wago 产品,但研究人员确定此类 PLC 恶意软件也可用于攻击西门子、艾默生、施耐德电气、三菱电机和 Allen Bradley PLC。针对这些控制器的攻击涉及利用新发现或先前已知的漏洞。在某些情况下,攻击需要 FTP 密码、不安全协议或内部人员。
专家们创建了一个与供应商无关的框架,可用于构建和分析基于 Web 的 PLC 恶意软件。
“该框架使用广泛适用的策略来探索每个阶段,这些策略可用于大多数现代 PLC 模型,并概述了恶意前端代码如何通过有条不紊地损害 PLC 的 Web 属性来破坏 ICS 环境的完整性。该框架可以用作任何 PLC 供应商和模型的未来研究的基准。”研究人员解释道。
参考链接:https://www.securityweek.com/remote-stuxnet-style-attack-possible-with-web-based-plc-malware-researchers/
今日安全资讯速递
APT事件
Advanced Persistent Threat
俄罗斯黑客利用 Ubiquiti 路由器进行秘密网络攻击
https://www.computing.co.uk/news/4180694/russian-hackers-exploit-ubiquiti-routers-covert-cyberattacks-fbi-warns
乌克兰声称入侵俄罗斯国防部服务器
https://www.bleepingcomputer.com/news/security/ukraine-claims-it-hacked-russian-ministry-of-defense-servers/
亲哈马斯黑客使用新恶意软件攻击以色列目标
https://www.jpost.com/business-and-innovation/tech-and-start-ups/article-789329
韩国称半导体行业成为朝鲜网络间谍的目标
https://therecord.media/south-korea-semiconductor-industry-espionage-north-korea
朝鲜 APT 黑客组织 Kimsuky 利用ScreenConnect 缺陷投放新的 ToddleShark 恶意软件
https://www.bleepingcomputer.com/news/security/screenconnect-flaws-exploited-to-drop-new-toddleshark-malware/
俄罗斯间谍只需加入 Webex 通话即可记录德国秘密军事会谈
https://cybernews.com/news/russian-spies-record-secret-german-military-talks/
一般威胁事件
General Threat Incidents
Hugging Face平台上发现100多个恶意人工智能 (AI)/机器学习 (ML) 模型
https://thehackernews.com/2024/03/over-100-malicious-aiml-models-found-on.html
德国当局取缔“犯罪市场”Crimemarket
https://www.securityweek.com/german-authorities-take-down-crimemarket-cybercrime-website/
Change Healthcare 确认 Blackcat/AlphV 是勒索软件攻击的幕后黑手
https://therecord.media/change-healthcare-ransomware-attack-blackcat-alphv
Phobos 勒索软件积极针对美国关键基础设施
https://thehackernews.com/2024/03/phobos-ransomware-aggressively.html
LockBit 勒索软件组织重新浮出水面,其暗网门户增加了 8 名新受害者
https://thecyberexpress.com/lockbit-ransomware-group-claims-8-new-victims/
95% 的人认为人工智能大型语言模型(LLM)使网络钓鱼检测更具挑战性
https://www.helpnetsecurity.com/2024/03/04/social-engineering-phishing-attacks/
新的基于 SSO 的网络钓鱼攻击诱骗用户共享登录凭据
https://gbhackers.com/sso-based-phishing-attack/
隐形 GTPDOOR Linux 恶意软件针对移动运营商网络
https://www.bleepingcomputer.com/news/security/stealthy-gtpdoor-linux-malware-targets-mobile-operator-networks/
Backdoor.Win32.AutoSpy 曝光,能够在未经身份验证的情况下执行远程命令
https://bnnbreaking.com/tech/cybersecurity/breaking-unpatched-backdoorwin32autospy-exploit-unleashed-commands-hosts-remotely
两个基于 TLS 的隐蔽后门 SparkCockpit 和 SparkTar,允许攻击者劫持监控摄像头设备并获得对内部网络的未经授权的访问
https://cybersecuritynews.com/sparkcockpit-sparktar-malware/
维珍酒店 (Virgin Hotels)北美公司数据泄露导致数千人暴露
https://cybernews.com/news/virgin-hotels-breach-exposes-thousands/
网络犯罪组织TA577利用NTLM身份验证漏洞
https://www.infosecurity-magazine.com/news/ta577-exploits-ntlm-authentication/
漏洞事件
Vulnerability Incidents
海康威视修补安全管理系统中的高危漏洞
https://www.securityweek.com/hikvision-patches-high-severity-vulnerability-in-security-management-system/
亚马逊和其他在线网站上销售的一些门铃摄像头存在重大安全缺陷
https://www.securityweek.com/some-doorbell-cameras-sold-on-amazon-and-other-online-sites-have-major-security-flaws-report-says/
JetBrains 发布有关影响 TeamCity 的漏洞(CVE-2024-27198)的紧急公告
https://therecord.media/jet-brains-advisory-teamcity-vulnerabilities
基于网络的 PLC 恶意软件可能进行远程 Stuxnet 式攻击
https://www.securityweek.com/remote-stuxnet-style-attack-possible-with-web-based-plc-malware-researchers/
讲述普通人能听懂的安全故事
原文始发于微信公众号(会杀毒的单反狗):研究人员开发了针对PLC可编程逻辑控制器的恶意软件,可对工控系统进行类似震网的攻击
