PLC-导火线工控PLC蠕虫的实现-Paper.PDFVIP

PLC-导火线：工控PLC 蠕虫的实现 原文：PLC-Blaster: A Worm Living Solely in the PLC 作者：Ralf Spenneberg, Maik Brüggemann, Hendrik Schwartke 翻译：gjden 摘要：众说周知，工业生产过程是通过可编程逻辑控制器（PLC）来控制的。 现在市场上许多 PLC 都配置了以太网口并且可以用IP 进行通信。 我们将以西门子 SIMATIC S7-1200 机器为例展示 一个蠕虫范例。此蠕虫不需要依赖PC 电脑去扩散。该蠕虫仅仅活跃并运行在PLC 当中。它可以通 过网络扫描来寻找新的目标（新的PLC），然后攻击这些目标并将自身拷贝到这些新的PLC 中，而 且目标PLC 上运行原主程序不会发生任何改变。这些PLC 目标一旦感染该蠕虫后会再次进行扫描 感染。我们将分析蠕虫对目标的影响以及提出可能的缓解技术。 1. 介绍 IT 系统在当今工业生产发展至关重要的一部分。 可以说，没有现代化的通信网络，就不可能 有现代化的工业生产。然而不幸的是，正由于工业系统对当今IT 系统和通信网络的依赖，使得用 户也暴露于被攻击的危险之中，而这早已是IT 界久知的问题。IT 黑客攻击可能对工业系统造成多 种伤害。比如他们可以造成工业生产的中断以及高额的经济损失，与此同时还可能对生活环境以 及生命健康造成负面影响。其攻击的威力在STUXNET 蠕虫上得到了充分的展示。西门子的可编程 控制器(PLC)受到恶意篡改以阻碍伊朗核燃料铀浓缩。通过利用微软操作系统漏洞，该蠕虫感染进 入到铀浓缩工厂的电脑当中，PLC 的软件被恶意篡改以摧毁铀浓缩离心机。该蠕虫需要一台PC 电 脑来进行传播并且通过PC 电脑来攻击PLC。这篇文章将将阐述一种可以在PLC 之间传播的蠕虫。 不需要任何PC 电脑。蠕虫可能通过一个已经被感染过的PLC 而被引入到工业工厂中，蠕虫接下来 便会通过自我复制来感染到其他PLC 中，并且在修改目标PLC 并执行感染时添加到PLC 用户程序 中…。这篇文章描述的蠕虫是基于西门子 SIMATIC S7-1200v3，该蠕虫通过结构化文本（ST ） 编写而成，该语言是一种用于开发PLC 软件的编程语言。 2. 相关工作 2015 年在美国BlackHat 大会上，Klick 公司展示了一款在PLC 上运行的恶意软件。他们使用 PLC 的一个通信特征实现了代理服务。我们将用同样的通信特性来实现了一个可以传送一个蠕虫 程序的协议。通过使用该协议，该蠕虫可以从一个PLC 直接传到另一个PLC 中。这个蠕虫不需要 更多系统去支持。我们没有用更加闻名的SIMATIC S7-300，取而代之的是，我们的工作成果 基于新的 S7-1200v3。PLC 使用的协议也与旧版不同。该文章也将会介绍这种新型的协议。 3. PLC 体系结构 PLC 使用简单系统结构构建而成。他们基于中央处理器（CPU ）模块，加上数字输入和输出的 模块组成。CPU 处理PLC 操作系统以及运行用户程序。此外CPU 还负责与其他设备通讯以及管理 过程图 （Process image）。 过程图 （Process image）储存着所有的输入和输出的状态。用户程序不能直接操作物理的输入 输出，而是通过操作过程图像而实现的。用户程序的运行是一个循环。每次循环的起始和结束的 时候，CPU 会刷新过程图像。循环上限指的是循环时间。如果（一个循环运行的时间）超过循环 上限时，PLC 会停止用户程序运行并抛出一个异常。 Figure 1. Zyklus eines PLCs 用户程序通过POU （程序组织单元）构造而成。这些单元 （程序组织单元）包含了控制PLC的 使用说明，因而可控制工业生产。SIMATIC S7-1200支持以下的POU ：  Organisation block (OB): 用户程序主入口  Data block (DB): 全局存储器  Function (FC): 功能  Function block (FB): 有稳固局部储存器的功能 此外有几个西门子提供的给用户自定义的POU功能也可找到。这篇文章运用了系统 POU TCON和TDISCON 。 使用这些POU ，PLC可以初始化或者销毁任意系统的TCP连接。 也可以通过TRCV和TSEND来接收和发送缓冲区数据。 4. 电脑蠕虫 电