工控系统PLC被攻击的种类与过程讲解(以西门子、施耐德PLC...

写在前面
前面我们聊过工业互联网时代的PLC：

工业互联网时代，PLC再也不是当年的PLC

也聊过工业互联网时代的工业安全。IT、OT 深度融合的当下，无论是OT侧，还是IT侧，工控安全都至关重要：
西门子、施耐德、罗克韦尔：三大工控厂商PLC密码保护突破之旅

S7-1200+SCADA：详解西门子S7协议与数据读写
针对工业软硬件PLC、HMI、SCADA、MES、IIOT的网络攻击

工业控制系统安全入门与实践——工控安全入门分析

今天我们就来聊一聊工控系统安全：PLC被攻击的种类与过程讲解（以西门子、施耐德PLC为例）~

01 PLC遭受攻击的种类


PLC遭受攻击的种类按照攻击难易程度可以分为干扰性攻击、组态攻击和固件攻击。
三类攻击的描述如下表所示：


表1 攻击的分类、描述及危害

01干扰性攻击

图1  PLC RootKit攻击过程

图2  I/O 针脚复用攻击示意图

图3  PLC组态注入过程

图4  PLC组态、固件、硬件模型

图5  对PLC固件诊断例程修改过程



Beresford等[1]实现了针对Siemens Simatic S7 PLC的固件攻击。Garcia等[8]详细介绍了针对PLC的固件攻击全过程，利用内嵌的固件升级机制、在线代码注入等达到固件攻击的目的。具体的攻击过程如图6所示：

图6  PLC固件双向攻击过程



通过双向修改实现攻击过程，修改PLC的控制指令，从而摧毁物理世界；同时修改传感器的测量值，使得操作员看到“合理”的数值，从而达到隐藏攻击，避开检测的目标。

02 PLC遭受攻击的路径
1、通过嵌入式系统漏洞实施攻击

图1 对shell系统的爆破



西门子、施耐德的多款PLC设备软件搭载在VxWorks系统上运行，wdbrpc是VxWorks的远程调试端口，以UDP方式进行通信，端口号为17185。该协议基于sun-rpc，提供的服务主要用于支持系统远程通过集成开发环境Tornado交互（如图2）。根据灯塔实验室公布的资料[2]，黑客可以通过wdbrpc协议dump全部内存空间数据，找到内存中的所有ftp、telnet登录密码，进一步可以实现的攻击有：篡改bootline绕过登录验证、Dump内存数据从中抓取登录密码等。通过攻击嵌入式实时操作系统进而控制PLC的正常运行。

图2 Tornado开发环境与VxWorks系统图


2、通过PLC通信协议漏洞实施攻击

   

3、通过PLC软件漏洞实施攻击

   

图3  利用人机交互界面攻击PLC过程


Radvanovsky等[9]指出，美国启动的SHINE（SHodan Intelligence Extraction）项目是为了提取关于可以从互联网访问的SCADA和ICS设备的信息（尤其是PLC和RTU）。SHODAN搜索引擎是通过搜索常用的TCP/UDP端口来工作的，如表3：
表3  常用协议及端口对照表

       Newman[10]指出，监狱中控制室值班通过在线浏览图片和电影引入病毒和蠕虫。一些监狱为犯人提供上网服务，虽然不和监狱控制和监视系统直接连接，但是也是一个可攻入的脆弱点。还要监狱的巡逻车，使用的是无线信号，需要连接监狱网络上传数据，也是一个攻击入口。
Klick[11]在2015 USABlackHat上指出，PLC缺乏安全机制，通常可以上传代码到这些面向互联网的PLC，利用这些PLC作为网关，渗透生产网络，甚至是公司IT网络。Kclik利用PLC编程语言STL编写端口扫描器和SOCKS代理，然后利用感染的PLC去扫描本地网络，并将其作为网关，从而连接与其相连的其他PLC甚至渗透到公司业务网络，如图4所示：

图4  公司内系统层级图



       McLaughlin[12]设计了一款针对PLC的恶意软件，能够生成动态数据包载荷，攻击者使用这个工具，可以不用提前对控制系统有先验知识就可以实施攻击，极大的降低了攻击PLC的门槛。首先利用生成的载荷感染一个到多个主机，然后进行工业过程分析，接着对二进制文件进行解码，最后对生成的载荷进行裁剪，上传到PLC并运行，具体过程如图5所示：

图5  动态生成恶意载荷过程



      McLaughlin在另一篇文章[13]中开发了一种自动生成PLC载荷的工具—Sabot，自动识别PLC逻辑控制，并生成恶意的PLC代码，具体过程如图6所示：

图6  Sabot攻击过程示意图



     Spenneberg[14]等在2016 Asia BlackHat上西门子SIMATICA S7-1200为例，展示了一款专门在PLC上存活的蠕虫。此蠕虫不需要依赖于PC电脑去扩散，仅仅活跃并运行于PLC中，通过网络扫描来发现新的目标（PLC），然后攻击这些目标并将复制自身到新的PLC中，而且受感染的PLC主程序不会发生任何改变。从而可以做到目标发现，携带恶意载荷等攻击手段。而且，清除这些蠕虫非常困难，目前只能通过恢复出厂设置或者复写蠕虫所在的功能块（Function Block）。感染过程如图7所示：

图7  蠕虫感染PLC过程



      代码的执行过程如图8所示：

图8  蠕虫恶意代码执行过程



综上所述，PLC的安全态势不容乐观，针对PLC的攻击路径比较多，而且攻击层次在逐渐深入，要做好PLC的安全防护任重道远。

参考文献：
[1]Beresford D. Exploiting siemens simatic s7 plcs[J]. Black Hat USA, 2011, 16(2): 723-733.
[2]Kimon. 揭秘VxWorks——直击物联网安全罩门[EB/OL]. http://chuansong.me/n/1864339, 2015-11-01
[3]Langner R. A time bomb with fourteen bytes[J]. Available: hUp: llwww. langner. comlen, 2011.