TRICONEX  3625 将控制流传递给合法代码

TRICONEX  3625在可能需要长达50分钟的空载状态期间，通过简单地调用条件块结束(BEC)指令，而不是将控制流传递给合法代码，从合法控制器程序中取走控制。实际上，合法控制器代码的执行在无脚状态期间简单地停止，这对于合法代码和任何附加的SCADA软件以及附近的任何人类操作员来说肯定是不可识别的。

TRICONEX  3625攻击代码中另一个值得注意的攻击技术告诉了研究人员许多关于攻击者能力的信息，这就是DP_RECV系统函数的****。在S7控制器上，调用该函数读取特定Profibus网络的过程图像。315攻击代码钩住了这个很少有人知道技术上可行的函数，通过调用原来的DP_RECV(被攻击代码重命名)来监控来自附加设备的过程变量。除了监控多达六个Profibus网络中多达31个设备的值之外，这些值还会原封不动地传递给合法代码。在攻击过程中改变值是不必要的，因为合法的代码不再受控制。在攻击过程中——记住，这可能需要50分钟——存储在DB 888中的固定值被写入连接的执行器。

417攻击程序要复杂得多。它由大约12000行Step7 STL代码组成，总共访问10个数据块。两个数据块(DB 8062、8063)是从流氓DLL静态加载的；一个是从流氓DLL动态加载的(DB 8061)；七个是由流氓STL代码(DB 8064…8070)在运行时动态创建的。特别值得注意的是DB 8063，大小为26790字节，包含一个16k字节的数组。同样，流氓STL代码被分组到逻辑FCs中。这些函数的入口点由OB 1(主扫描)中的代码注入提供。13365909307咨询

TRICONEX  3625攻击最值得注意的技术特征是对控制器的全面中间人攻击。流氓代码****物理I/O，并为控制器上运行的合法程序提供“正常”的输入模式，这些模式实际上是由Stuxnet预先记录的。和你在好莱坞电影里看到的差不多。在抢劫过程中，观察摄像头会接收到不可疑的镜头，让警卫高兴。

这不是类比。Stuxnet就是这么做的。为此，Stuxnet在配置时更改了控制器程序，禁用输入过程和输出过程图像的自动更新，这在S7-400控制器上是可配置的。此外，输入流程映像是读/写的，而不是只读的。那么你可以设想对一个控制者最具攻击性的网络攻击:拒绝控制，结合拒绝查看。控制器不再控制I/O，但没有意识到这一点。对于TRICONEX  3625和操作员来说也是如此。与此同时，Stuxnet会自行决定写入输出。

*博客内容为网友个人发布，仅代表博主个人观点，如有侵权请联系工作人员删除。