Il payload Stuxnet S7-417 era un aggiornamento del firmware?

2

Sono un po 'confuso circa l'attacco Stuxnet S7-417 . Credo che Stuxnet abbia eseguito un attacco man-in-the-middle sul PLC, chiudendo varie valvole in background mentre ha falsificato i valori nell'immagine di input del PLC, ha lasciato la logica originale in esecuzione per scrivere sull'immagine di output, e < a href="http://www.langner.com/2010/11/417-attack-code-doing-the-man-in-the-middle-on-the-plc/"> dissocia le immagini di input e output dai sensori e attuatori 2 . Tuttavia, non capisco come questo potrebbe funzionare se la logica del PLC non è stata modificata (cosa che presumo non fosse, dato che il programma originale ha continuato a funzionare), ma dubito che sia stato un cambio di firmware come Ho letto che cambiare il firmware sui PLC è molto difficile a causa delle firme digitali 3 . Quindi dove è stata effettivamente effettuata la modifica?

[Non ho mai giocato con i PLC, ne ho solo letti, il che potrebbe essere il motivo per cui non riesco a vedere come funziona]

2 www.langner.com/2010/11/417-attack-code-doing-the-man-in-the-middle-on-the-plc /

3 Sezione 2.3, link

    
posta Stuxnewt 27.04.2017 - 12:52
fonte

2 risposte

2

In base a Lagner :

Immediately after infection the payload of this early Stuxnet variant takes over control completely. Legitimate control logic is executed only as long as malicious code permits it to do so; it gets completely de-coupled from electrical input and output signals. The attack code makes sure that when the attack is not activated, legitimate code has access to the signals; in fact it is replicating a function of the controller’s operating system that would normally do this automatically but was disabled during infection. In what is known as a man-in-the-middle scenario in cyber security, the input and output signals are passed from the electrical peripherals to the legitimate program logic and vice versa by attack code that has positioned itself “in the middle”. [Page 8]

Questo sembra suggerire che il flusso logico sia stato modificato a livello di software.

[nota a margine] Sembra che l'articolo originale di Lagner sia stato spostato. Il collegamento PacketStorm funziona.

    
risposta data 27.04.2017 - 13:09
fonte
0

Quello che ho sentito Stuxnet ha cercato i computer che eseguono il software di programmazione per i PLC, quindi ha "infettato" il software di programmazione permettendogli di cambiare i programmi creati per i PLC che sono stati poi caricati su una scheda di memoria che è stata inserita il PLC. Le modifiche ai programmi per i PLC consistevano nel far ruotare e falsificare l'output visualizzato agli operatori.

I PLC S7 in cui non sono mai stati collegati ai computer o a Internet in alcun modo e i creatori di Stuxnet devono averlo saputo.

Ma questo è solo ciò che ho sentito durante un incontro di sicurezza.

    
risposta data 27.04.2017 - 13:05
fonte

Leggi altre domande sui tag