Omschrijving
Vanuit een gecompromitteerd toestel wordt een uitvoerbaar bestand (exe file) verplaatst naar een PLC device binnen het netwerk.
PLC of Programmable Logic Unit zijn toestellen die productielijnen of andere industriële machines aansturen. Door deze aanval wordt een PLC geherprogrammeerd en dit heeft ook invloed op de fysieke aansturing van apparaten.
Aanvalsgedrag
Deze aanval kan onder manipulation of control gecategoriseerd worden.
https://attack.mitre.org/techniques/T0831/
De werking van een toestel wordt aangepast om ook impact te hebben op de industriële infrastructuur
Aanvalsdetectoren
Security expert
- De poort 4444 wordt standaard gebruikt door Metasploit
Algoritmes
- Het gebruik van de PUSH vlag binnen tcp protocol.
- Poort 4444 is verdacht
- Verandering in hoeveelheid traffiek: gemiddelde, minimum en maximum aantal berichten afgelopen minuut.
- udp protocol is verdacht
- Verhoogde hoeveelheid data verstuurd binnen individuele berichten.
Referenties
AI experimenten zijn uitgevoerd op basis van voorgaand werk
https://www.usenix.org/conference/cset16/workshop-program/presentation/lemay