德国西门PLC模块代理商/中国一级代理 商西门子plc模块-商城
文章内容源自微信公众号《博智非攻研究院》
可编程逻辑控制器(PLC)越来越多地连接和集成到工业物联网(IIoT)中,以实现更好的网络连接和更简化的控制流程。但事实上,这也给其带来了安全挑战,并使其面临各种针对此类设备所控制的物理过程的网络攻击。
德国研究机构
fabiao关于针对S7-1500注入攻击的文章
在这项工作中,我们调查了最新的S7 PLC是否在设计上易受攻击,是否可以被利用。与研究界中存在的典型控制逻辑注入攻击不同,该攻击要求对手在攻击过程中保持在线,本文介绍了一种新的漏洞利用策略,该策略旨允许攻击者既不连接到目标也未连接到目标所在网络中的情况下,仍然可以破坏PLC所控制的物理过程。攻击方法由两个步骤组成:
【1】一旦攻击者获得对暴露的PLC的访问权限,就用恶意的ToD(Time-of-Day)中断块篡改PLC;
【2】当攻击者断开与系统网络的连接时,在稍后的时间触发中断。
2022年,德国研究机构IHP的Wael Alsabbagh研究员fabiao了一篇文章,介绍针对当时较新固件版本V2.9.2的S7-1500PLC的ToD注入攻击,对文章了进行研究并分将精华部分享之,有误之处请指正。
注入攻击
过程与原理介绍
最近针对ICS系统的威胁之一是控制逻辑注入攻击,这种攻击涉及通过使用其工程软件修改目标PLC上运行的原始控制逻辑,通常采用中间人方法,这类攻击中利用的主要漏洞是PLC协议中缺少身份验证措施。ICS供应商通过为其PLC提供密码来应对这种威胁,以保护控制逻辑免受未经授权的访问,即每当ICS管理员试图访问在PLC中运行的控制逻辑时,设备首先需要认证以允许他读/写代码。这通常是通过专有认证协议完成的。但是这种解决方案并不能完全防止控制器受到损害。先前的学术成果已成功地绕过了身份验证,并访问了不同密码保护的PLC中的控制逻辑。上述lunwen的作者讨论了绕过身份验证的两种主要方法:一种是提取密码的哈希,然后将其推回PLC(称为重放攻击),另一种是使用“纯文本密码、编码文本密码”对的代表性列表对每个字节进行离线暴力破解。总的来说,仅通过密码验证来保护控制逻辑失败了,攻击者仍然能够访问PLC的程序并操纵由暴露的设备控制的物理进程。控制逻辑注入攻击有两种类型:传统的控制逻辑注入攻击和固件注入攻击。然而,在真实的ICS环境中,感染PLC固件将是一项具有挑战性的任务,因为大多数PLC供应商通过加密方法(如数字签名)或仅允许通过本地访问(如SD卡和USB)进行固件更新来保护其PLC免受未经授权的固件更新。本文不涉及固件注入,只关注传统的控制逻辑注入攻击。在下文中,我们将现有的旨在破坏物理过程的注入攻击分为两类:A、在线攻击物理过程该组的攻击旨在通过使用其工程软件来修改原始控制逻辑程序。恶意代码成功注入后,受感染设备控制的物理进程立即受到影响。下图示意了攻击顺序:最著名的此类攻击是2010年对伊朗核设施进行的一次攻击,名为“震网”(Stuxnet),目的是破坏铀浓缩工厂的离心机。Stuxnet攻击使用Windows PC攻击连接到变频驱动器的西门子S7-300和S7-400 PLC,它会感染PLC的控制逻辑,以监控所连接电机的频率,如果频率在一定范围内(即807 Hz和1210 Hz),则会发起攻击。2015年,克里克等人在不中断服务的情况下,将恶意软件注入SIMATIC PLC的控制逻辑。作者表明,只要代码由MC7字节码组成,有权访问PLC的攻击者就可以下载和上传代码。在后续工作中,Spenneberg等人介绍了一种PLC蠕虫,蠕虫在内部从一个PLC传播到其他目标PLC.在感染阶段,蠕虫会扫描网络以寻找新的目标PLC。另一lunwen中介绍了用梯形逻辑或兼容语言之一编写的梯形逻辑炸弹恶意软件,这种恶意软件由攻击者插入到PLC上的现有控制逻辑中。一组研究人员演示了对PLC控制逻辑的远程攻击。他们能够感染PLC,并将感染隐藏在控制中心的工程软件中。他们对施耐德电气Modicon M221及其供应商提供的工程软件SoMachine-Basic实施了攻击。Lei等人演示了一种攻击,它可以绕过西门子SIMATIC S7-1200 PLC使用的S7CommPlus协议的安全机制。作者首先使用Wireshark软件分析了TIA Portal软件与S7 PLC之间的通信,然后使用反向调试软件WinDbg4破解了S7CommPlus协议的加密机制。之后,他们演示了两次攻击。首先,执行重放攻击以远程启动和停止PLC.在第二个攻击场景中,作者操纵受害者的输入和输出值,对受感染PLC控制的物理进程造成严重破坏。2021年,研究人员表明S7-300 PLC易受此类攻击,并证明利用PLC中运行的控制逻辑是可行的。在他们破坏了PLC的安全措施后,他们进行了一次成功的注入攻击,并通过使用一个假冒的PLC来模拟真正的受感染设备,从而使工程软件无法发现他们的攻击。Rogue7背后的研究能够创建一个仿冒的工程站,该工程站可以伪装成S7 PLC的TIA门户,并注入任何对攻击者有利的消息。通过了解加密消息是如何交换的,他们设法将代码隐藏在用户内存中,这对TIA门户工程来说是不可见的。上面提到的所有攻击都是有限的,其要求攻击者能够连接到目标PLC,这增加了被ICS操作员事先发现或被安全措施检测到的可能性。B、离线攻击物理过程这一类中的攻击与前一类中提到的攻击非常相似,不同之处在于,攻击者的目标不是在获得对目标设备的访问后立即攻击物理进程。这意味着,一旦他获得了暴露PLC的访问权限,便可立即向PLC中注入恶意代码,然后关闭与目标的任何实时连接,将他的代码保留在PLC的内存中,处于空闲模式。之后,激活他的程序并在他希望的稍后时间甚至在没有连接到系统网络的情况下损害现场物理过程,如下示意图:我们所知,只有少数讨论这一新威胁的学术成果fabiao。Serhane等人专注于梯形逻辑代码漏洞和不良代码实践,这些漏洞和不良代码实践可能成为错误的根本原因,并随后被攻击者利用。他们表示,攻击者可以生成不确定的波动输出变量,例如,执行两个计时器来控制相同的输出值可能会导致竞争条件。这种情况可能会对受控设备造成严重损坏,类似于Stuxnet作者指出的另一种情况是,高级的攻击者也可以绕过某些函数,手动将某些操作数设置为所需的值,并应用空分支或跳转。为了实现隐秘的修改,攻击者可以使用数组指令或用户定义的指令,来记录插入的关键参数和值。他们还讨论了攻击者可以通过跳转应用无限循环,并使用嵌套计时器和跳转仅在特定时间触发攻击。在我们的前一篇lunwen中,我们提出了一种新的方法,该方法基于向目标PLC注入时间中断代码,它在攻击者设置的时间中断控制逻辑的执行序列。我们的评估结果证明,即使与目标系统断开连接,攻击者也可以混淆物理过程。虽然我们的研究工作只在一台旧的S7-300 PLC上进行了测试,并且只是为了迫使PLC进入停止模式,但攻击是成功的,并设法中断了在修补的PLC中运行的原始控制逻辑代码的执行。这种攻击比在线攻击更严重,因为PLC在数小时、数天、数周、数月甚至数年内一直正确执行原始控制逻辑,而不会被中断,直到攻击者设定的那一刻攻击才会发生。揭露这种攻击的唯一现实方法是,ICS操作员从PLC请求程序,并将受感染设备中运行的在线代码与他在工程站上的离线代码进行比较。展开全文
相关产品