来自开源安全(OSS)的德国研究人员创建了一个PoC蠕虫,可针对关键的ICS/CSADA设备即可编程序逻辑控制器(PLC)发动攻击。
该研究是基于之前德国科学家在去年美国黑帽大会上展示的端口扫描器创建的,该扫描器能够识别出可访问网络的PLC。由Ralf Spenneberg领导的OSS团队已经创建出一种可自动传输的计算机病毒蠕虫。它可存活于PLC设备的小型内存中、扫描本地网络、并传播到其它类似的设备中。
蠕虫仅能运行在西门子PLC中
研究人员创建出了能够感染西门子SIMATIC S7-1200 PLC的蠕虫,名为PLC-Blaster。该蠕虫将通过端口102来扫描本地网络,目的是发现新的目标进行自我复制。该端口由西门子设备和内控中心通信协议(ICCP)共享。
识别出新目标后,蠕虫就会关闭该设备、复制其代码,并且重启设备。研究人员表示真正的感染进程之所以会起作用是因为蠕虫模仿了西门子TIA-Portal的行为并且利用了西门子已修复的一个漏洞。
研究人员表示这种攻击需要攻击者拥有对易受攻击网络的访问权限,或者在将PLC被运给客户之前将其攻陷。
企业可检测出蠕虫感染
一旦被安装到工业网络中,PLC-Blaster就会启动执行、传播给其它设备,并且执行其它可损坏SCADA设备的恶意代码,或者是为关键设备制造DoS状态。
研究人员还表示蠕虫可被轻易修改以攻击其它类型的PLC,不过这种感染也容易被检测到,因为蠕虫自我复制必须要有10秒的中断。而删除这个蠕虫的唯一办法就是将设备恢复出厂设置状态。