研究人员开发了针对PLC可编程逻辑控制器的恶意软件，可对工控系统进行类似震网的攻击

研究人员开发了针对现代可编程逻辑控制器 (PLC) 的恶意软件，以证明可以针对此类工业控制系统 (ICS) 发起远程震网式攻击。

来自佐治亚理工学院的研究人员发表了一篇论文（https://www.ndss-symposium.org/wp-content/uploads/2024-49-paper.pdf），详细介绍了这个 ICS 安全项目。

对于传统 PLC，攻击者可以针对控制逻辑层或固件层。固件攻击可以提供高水平的设备控制并且难以检测，但恶意软件的部署可能具有挑战性。控制逻辑恶意软件更容易部署，也更容易检测。这两种情况都要求攻击者拥有对目标组织的工业网络的特权访问权限。

就现代 PLC 而言，许多都包含 Web 服务器，并且可以通过专用 API 和用作人机界面 (HMI) 的常规 Web 浏览器来远程配置、控制和监控它们。

虽然这些现代 PLC 可以为组织提供许多好处，但佐治亚理工学院的研究人员警告说，它们也可以显着扩大 ICS 的攻击面。

为了证明这些风险，研究人员开发了所谓的基于网络的 PLC 恶意软件，该恶意软件驻留在控制器的内存中，但由 ICS 环境中配备浏览器的设备在客户端执行。该恶意软件可能会滥用 PLC 的合法 Web API，导致工业流程中断或机械损坏。

这种新的 PLC 恶意软件易于部署且难以检测。初始感染可以通过物理或网络访问目标基于 Web 的 HMI 来完成，但恶意软件也可以通过使用跨源漏洞劫持 HMI 来直接通过互联网部署。

为了实现持久性，这种新型 PLC 恶意软件利用服务工作线程，允许 JavaScript 代码深入浏览器缓存并独立于安装它的网页执行。此外，文件从服务器删除后，它们将继续运行长达 24 小时。使用这种方法，恶意软件可以在固件更新、新的基于网络的 HMI 甚至硬件更换中幸存。

一旦部署完毕，恶意软件的功能就取决于所使用的合法的基于 Web 的 API 的功能，其中一些 API 非常强大。例如，它们可用于直接覆盖输入/输出值、滥用 HMI 输入、更改设定点和安全设置、欺骗 HMI 显示、更新管理员设置，甚至用于实时数据泄露。

研究人员表示，即使目标 PLC 位于隔离网络中，恶意软件也可以具有命令和控制 (C&C) 连接。

一旦攻击者执行了所需的任务，它就可以通过让恶意软件自我毁灭来掩盖其踪迹，用良性有效负载覆盖恶意有效负载，注销所有服务，甚至可能对设备进行出厂重置。

研究人员通过开发一款名为 IronSpider 的恶意软件来展示他们的工作，该恶意软件旨在针对 Wago PLC。模拟攻击涉及当目标操作员查看特制的广告横幅时，利用以前未知的漏洞来部署恶意软件。该恶意软件可以破坏工业电机造成损坏，同时欺骗 HMI 屏幕以显示正常值并避免引起怀疑。

去年，SecurityWeek在与参与该 PLC 恶意软件项目的佐治亚理工学院研究人员之一 Ryan Pickren 交谈后 描述了一些Wago PLC 漏洞。

IronSpider 与十多年前针对伊朗核计划的臭名昭著的 Stuxnet 恶意软件进行了比较。

“Stuxnet 通过修改控制铀浓缩离心机的变频驱动器的模拟输出信号来破坏伊朗核设施。这次破坏的直接结果是 1,000 多台离心机被物理破坏，设施的运行能力下降了 30%。”研究人员在论文中表示。

他们补充道：“我们的原型恶意软件 IronSpider 能够使用截然不同的方法实现基本相似的攻击。Stuxnet 通过控制逻辑恶意软件攻击 PLC，并通过受感染的工程工作站部署这些恶意软件 [...]。然而，IronSpider 使用基于网络的恶意软件，并通过恶意网站部署该恶意软件，而无需损害任何外围系统。”

虽然该攻击针对的是 Wago 产品，但研究人员确定此类 PLC 恶意软件也可用于攻击西门子、艾默生、施耐德电气、三菱电机和 Allen Bradley PLC。针对这些控制器的攻击涉及利用新发现或先前已知的漏洞。在某些情况下，攻击需要 FTP 密码、不安全协议或内部人员。

专家们创建了一个与供应商无关的框架，可用于构建和分析基于 Web 的 PLC 恶意软件。

“该框架使用广泛适用的策略来探索每个阶段，这些策略可用于大多数现代 PLC 模型，并概述了恶意前端代码如何通过有条不紊地损害 PLC 的 Web 属性来破坏 ICS 环境的完整性。该框架可以用作任何 PLC 供应商和模型的未来研究的基准。”研究人员解释道。

参考链接：https://www.securityweek.com/remote-stuxnet-style-attack-possible-with-web-based-plc-malware-researchers/