VII Международная студенческая научная конференция Студенческий научный форум - 2015
ОБНАРУЖЕНИЕ ВРЕДОНОСНОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ НА ОСНОВЕ АНАЛИЗА ПОКАЗАТЕЛЕЙ ЭНЕРГОПОТРЕБЛЕНИЯ СИСТЕМЫ
КомментарииПолная версия работы доступна во вкладке "Файлы работы" в формате PDF
Старый метод определения вредоносного программного обеспечения (далее – ПО) по сигнатурам более не эффективен, особенно если конкурирующие компании предлагают более современные методы обеспечения безопасности» [1].
И действительно, индустрия IT-безопасности начинает поиски новых способов обнаружения вредоносного ПО. Один из таких способов был представлен стартап-компанией Power Fingerprinting Cybersecurity.
«Для обнаружения вредоносной программы стартап использует выявление отклонений в показателях потребления электроэнергии, нежели стандартные методы определения вирусной активности (сигнатуры, эвристический анализ и т.д.). Новый метод обнаружения направлен на выявление кибератак на автоматизированные системы предприятий энергетической и обрабатывающей промышленности. Представленная технология успешно обнаружила вирус Stuxnet в экспериментальной модели локальной вычислительной сети прежде, чем вредоносная программа начала свою активность» [2].
«Stuxnet – вирусная программа, нацеленная на компьютеры на базе операционной системы Microsoft Windows. Stuxnet был обнаружен в июне 2010 года не только на компьютерах домашних пользователей, но и в системах промышленных предприятий, которые управляются автоматизированными производственными процессами.
Stuxnet стал первым компьютерным червем, который способен перехватывать и модифицировать поток данных между программируемыми логическими контроллерами марки SIMATIC S7 и рабочими станциями SCADA-системы SIMATIC WinCC фирмы Siemens. Эта программа может использоваться злоумышленниками для несанкционированного сбора данных и диверсий в АСУ ТП промышленных предприятий, электростанций, аэропортов и пр.
Вирус использует 4 известные уязвимости системы Microsoft Windows, в том числе уязвимость «нулевого дня», которая распространяется при использовании USB-flash накопителей. Вирус остается незамеченным для антивирусных программ благодаря наличию настоящих цифровых подписей (два цифровых сертификата от компаний Realtek и
JMicron) [3].
В эксперименте в качестве объекта атаки был использован программируемый логический контроллер ( ПЛК) Siemens S7-1200. Показатели потребления энергии снимались с помощью ближнеполевых зондов, а осциллограмма протекающих процессов выводилась на экран коммерческого осциллографа. Весь процесс отслеживался с помощью рабочей станции, на которой было установлено PFP (англ. power fingerprinting – дактилоскопия электрических процессов) анализирующее ПО» [4]. Чтобы воссоздать модель АСУ ТП предприятия был использован макет, представляющий из себя резервуар для воды с установленными в нём датчиками, насосом и панелью управления оператора. ПЛК активирует насос, чтобы заполнить резервуар. Когда резервуар наполнен, котроллер отключает насос. Статус процесса отображается на панели управления оператора. Наконец PFP анализирующее программное обеспечение отслеживает показатели потребления электроэнергии, чтобы удостовериться в целостности процесса.
Для атаки было использовано ПО, использующее те же подходы, что и компьютерный червь Stuxnet. Оно модифицирует процессы обработки информации в ПЛК, но таким способом, чтобы оператор ничего не заподозрил. Цель атаки заключалась в переполнении резервуара с водой, что могло привести к потенциальной опасности разлива воды. Это позволяет моделировать атаку вредоносной программы АСУ шлюзами гидроузла и предотвратить аварийный сброс воды крупных водохранилищ.
Во время своей работы Stuxnet отдает команды ПЛК игнорировать показания датчиков о переполнении резервуара и продолжать набор воды, при этом червь скрывает активность насоса и показатель заполненности резервуара от панели оператора. PFP анализирующее ПО, сравнивает информацию о частоте электрического тока и его мощности, потребляемыми каждым устройством с базисными показателями на этих устройствах. Любые изменения в показателях потребления энергии могут свидетельствовать о сбое в программном или аппаратном обеспечении или о функционировании вредоносной программы. К примеру, вредоносная программа потребляет энергию при анализе системного времени. Сообщение об обнаружении вредоносного ПО передается оператору АСУ ТП, который принимает решение о расследовании инцидента.
Отличительной особенностью данного метода является то, что этот метод позволяет также обнаружить скрытое присутствие Stuxnet в системе. Так как червь при невозможности навязать свои условия запуска процесса переходит в «спящее» состояние. В таком состоянии червь демонстрирует поведение, идентичное незараженной системе и вмешивается в процесс, запущенный самой АСУ ТП. Такое поведение крайне сложно распознать, используя традиционные методы обнаружения, так как при этом отсутствуют такие показатели как подозрительный сетевой трафик.
«Стартап» создан при финансировании научно-исследовательского подразделения американской армии DARPA, а также при участии министерства внутренней безопасности США. По идее авторов, эту технологию планируется внедрить в автоматизированных системах управления, а именно, в программируемых логических контроллерах и других устройствах. Это позволит избежать необходимости приобретать дополнительно программное и аппаратное обеспечение для внедрения данного подхода в систему защиты информации предприятия.
Список использованной литературы
1.Symantec: антивирусная индустрия обречена [Электронный ресурс]. http://www.securitylab.ru/news/452523.php.
2.Вычисление уязвимостей по потреблению энергии [Электронный ресурс]. https://xakep.ru/2015/02/05/power-fingerprinting.
3.PFP PLC Demo [Электронный ресурс]. https://www.youtube.com/watch?v=-EnkJbUaIvA.
4.New Technology Detects Cyberattacks By Their Power Consumption [Электронный ресурс]. http://www.darkreading.com/analytics/security-monitoring/new-technology-detects-cyberattacks-by-their-power-consumption-/d/d-id/1318669.
4. Stuxnet [Электронный ресурс]. http://www.securitylab.ru/news/tags/Stuxnet.