PLC(可编程逻辑控制器)是自动化和控制制造、能源、交通等多个行业设备的核心组件。随着工业4.0和物联网(IoT)技术的兴起,云化PLC、虚拟PLC纷纷涌现并投入应用,PLC产品的发展不仅增强了其传统的控制功能,还融入了数据分析、远程监控和智能决策等先进能力。然而,技术的演进同样带来了新的安全威胁。传统上我们所理解和认知的对PLC的攻击,主要是通过感染PLC破坏工业操作;实施拒绝服务攻击,使PLC无法正常工作;操纵篡改,改变生产过程;数据泄露,盗取敏感信息;设置逻辑炸弹,预置条件触发破坏;直接的物理破坏,直接损毁硬件等等。据安帝科技研究团队跟踪,发现了若干针对PLC的攻击新技术,例如DM-PLC、Evil PLC和PLC的C2化,这些攻击技术的策略、目的、实现方式不尽相同。DM-PLC通过建立隐蔽监控网络并利用“死亡开关”机制对物理过程产生直接影响,而不是通过加密数据来实施勒索。Evil PLC则将PLC作为攻击跳板,攻击和入侵其他网络系统。PLC设备被用作C2服务器,已在现实中成为攻击案例。这些进展颠覆了过去人们对PLC攻击的认识,即直接针对PLC本身,而新型的攻击是隐蔽地利用PLC实施更加复杂和持久的攻击,这不仅对OT环境的安全构成严重威胁,还对物理世界的安全带来严峻挑战。
1、PLC勒索的概念
针对可编程逻辑控制器(PLC)的网络勒索攻击,通常认为是攻击者通过入侵OT(操作技术)环境中的PLC系统,锁定其控制功能或加密与其相关的数据,进而威胁受害者支付赎金以恢复正常操作。此类攻击利用PLC在工业自动化中的核心地位,对生产流程、设备运行及安全性造成严重影响。
文献研究中可查的PLC勒索软件,有典型的LogicLocker和ICS-BROCK。LogicLocker通过利用在Shodan上发现的PLC漏洞,进行横向和纵向移动,锁定受影响的PLC,加密PLC的配置,然后部署一个“逻辑炸弹”。ICS-BROCK检测并利用OT网络中的基于Windows的漏洞,通过地址解析协议(ARP)识别PLC,锁定受影响的PLC,部署一个“逻辑炸弹”,并对工程工作站进行加密。二者的后果可能是操作人员无法访问、监控PLC,从而造成工业过程或生产的中断。
图1:左边是DM-PLC的攻击场景,右图是DM-PLC的隐蔽监控网络
第一步:准备DM-PLC
第二步:部署DM-PLC
建立PLC间通信:在PLC之间建立通信,使用PUT/GET等库函数实现数据的发送和接收。
建立工程工作站与PLC间的通信:使用Snap7等开源库,实现EW与PLC之间的数据交换。
引入设备状态检查器:部署监控逻辑,以确保所有设备正常通信,一旦检测到异常则触发警报。
引入支持操作过程中断的代码:开发恶意代码块,当触发警报时,将所有输出设置为“ON”状态。
阻止受害者撤销所有更改:使用PLC密码保护和EW的磁盘加密,阻止受害者恢复更改。
第三步:激活DM-PLC
研究者的实验室构建了验证环境,使用了两台PLC(西门子ET200S和S7-1200型号)和一台运行西门子TIA Portal V17编程代理的工程工作站(EW),构建了一个模拟OT环境的网络,其中包括PLC和EW之间的通信连接。PLC使用的是Siemens的TIA Portal编程软件,攻击者通过该软件与PLC进行交互。
在DM-PLC准备阶段,首先使用TIA Portal软件,攻击者找到并验证了控制PLC的当前项目文件。其次通过TIA Portal的“设备和网络”视图,攻击者确定了PLC之间的网络连接和通信协议。最后攻击者分析了PLC的程序,找到了执行操作的核心代码块。
DM-PLC部署阶段,在使用Siemens提供的PUT和GET通信库函数,在PLC之间建立了数据传输的通信会话。利用开源的Snap7库,攻击者在EW和PLC之间建立了通信,以便进行数据的读写。部署了一个监控系统,通过轮询和状态检查,确保所有设备都按照攻击者的预期运行。攻击者编写了恶意代码,当检测到异常或超过赎金支付时限时,该代码会触发,导致PLC输出异常。最后攻击者通过设置PLC口令和使用传统勒索软件技术对EW上的文件进行加密,以防止受害者恢复系统。
攻击者在EW上激活DM-PLC后,研究者测试了DM-PLC的功能,包括在网络断开、赎金支付时限到期和模拟受害者支付赎金的情况下的反应。结果显示DM-PLC能够按预期工作,即在检测到异常或时限到期时触发恶意操作,而在模拟支付赎金后能够停止攻击。
1、PLC武器化的通用概念
PLC武器化(Weaponizing PLCs)是指通过操纵或修改可编程逻辑控制器(PLC)的配置、代码或数据,将其转变为一个攻击工具,用以发起网络攻击或实现未授权的网络访问。这种攻击方法涉及在PLC中植入恶意代码或逻辑,以便在工程师或维护人员使用工程工作站(EWS)与PLC进行通信、配置、故障排除或执行上传/下载操作时,恶意代码被触发执行,导致攻击者能够控制工程工作站、窃取敏感数据、破坏系统功能或进一步渗透目标网络。
PLC武器化通常利用如下方式实现,一是恶意编程:通过编写或修改PLC的程序代码,植入恶意逻辑。二是伪装数据:在PLC中存储看似正常的数据,但实际上包含恶意代码或指令。三是利用漏洞:利用工程工作站软件中存在的安全漏洞,当工程师执行常规操作时触发恶意代码的执行。四是社会工程:诱使工程师下载或上传含有恶意内容的项目文件。
对于每个目标供应商平台,即不同品牌型号的PLC设备,需要其完整的生态系统,这主要包括工程师站软件、工程师站项目文件、专有协议(PLC和工程师站)、PLC固件和逻辑代码(字节码,文本代码)。
假设条件包括,PLC和工程工作站(EWS)之间的通信不受限制。EWS软件需要存在安全漏洞,以便攻击者可以利用这些漏洞执行恶意代码。攻击者需要能够访问目标PLC所在的网络。必须能够执行上传(upload)或下载(download)过程。
基于上述假设条件,可以想象的邪恶PLC攻击场景至少有如下两类:
一是将PLC武器化以实现初始访问:攻击者可以使用武器化的PLC来在内部网络上获得初步立足点,甚至是横向移动。
目前,利用Shodan和Censys在内的大多数公共互联网扫描服务,可以确定有数十万台ICS设备暴露在互联网上。这些面向互联网的设备通常缺乏安全性,允许任何人访问它们,修改参数,甚至通过下载程序改变它们的行为和逻辑。Team82的研究表明,攻击者可以利用面向互联网的PLC作为支点,渗透整个OT网络。攻击者不是简单地连接到暴露的PLC并修改逻辑,而是可以武器化这些PLC并故意造成错误,从而引诱工程师使用它们。作为一种诊断方法,工程师将执行一个上载程序,这将危及他们工作站。攻击者进一步控制工作站,在OT网络上站稳了脚跟。
二是攻击系统集成商:攻击者可以针对系统集成商和承包商,作为进入世界各地许多不同组织和站点的手段。
因为OT网络管理中,第三方工程师和承包商管理OT网络,它需要与许多不同的OT网络设备和PLC交互。这给这个新的攻击向量提供了另外另一个应用场景。即攻击者可以攻陷并利用这些系统集成商作为支点,以大幅扩大他们的控制和影响范围。
攻击者在一个远程的、不太安全的设施中定位了PLC,已知该设施由系统集成商或承包商管理。然后攻击者将PLC武器化,故意使PLC出现故障。这样,统集成商或承包商的工程师就会被引诱到可编程控制器前进行诊断。通过诊断过程,集成商将做一个上传程序,从而使他们的机器被控制。在进入集成商的机器后,通过设计可以访问许多其他PLC,攻击者可以反过来攻击甚至武器化其他组织内的更多可访问的PLC,进一步扩大他们的控制范围。
图3:PLC武器化攻击集成商的设备(工程师站和其它PLC)
3、邪恶PLC攻击的示例
邪恶PLC攻击的实施有十个关键步骤,分别是设置测试环境、构建“Hello World”程序、项目文件探索、逆向工程、上传/下载程序、协议分析、寻找差异、寻找漏洞、武器化和利用。据Team82的报告,他们成功地在七个市场领先的自动化公司的PLC平台上实施了邪恶PLC攻击,包括Rockwell Automation、Schneider Electric、GE、B&R、Xinje、OVARRO和Emerson。他们发现所有这些平台的工程工作站软件都存在漏洞,使得攻击者能够在执行上传操作时,利用这些漏洞执行恶意代码。
下面以Rockwell Automation Micro800系列PLC为例,说明邪恶PLC攻击的实证过程。
Rockwell Automation Micro800系列PLC广泛应用于智能制造和过程自动化中。工程师使用Connected Components Workbench (CCW)软件进行配置、编程和维护。通信协议方面,CCW通过Common Industrial Protocol (CIP)与Micro800 PLC通信,使用TCP端口44818。工程师通过CCW创建包含基本配置、元数据和一系列程序的项目。
最为关键的步骤是,Team82研究了CCW从PLC上传下载过程中的数据传输,发现项目文件中包含多种文件,其中.annex文件包含.NET序列化数据,存在不安全的反序列化漏洞。这使得他们能够对该型PLC实施武器化,即通过下载过程将恶意项目文件植入PLC中,当工程师执行上传操作时,CCW会解析这些文件,触发漏洞,执行攻击者代码。
基于上述对PLC上传/下载过程的理解以及挖掘到的的.annex文件中的.NET序列化漏洞,攻击者使用ysoseril.net库创建恶意序列化对象,替换原有对象,打包进项目文件,通过下载过程植入PLC。即工程师执行上传操作后,CCW解析感染的.annex文件,触发漏洞,执行攻击者代码。一旦攻击成功,工程师的机器被植入了演示用勒索软件,证明了邪恶PLC攻击的可行性。
图4 Rockwell Automation Micro800系列PLC遭勒索演示
2024年7月8日,俄罗斯网络安全公司Solar旗下的4RAYS网络威胁研究中心发布研究报告,揭露了名为"Lifting Zmiy"的亲乌克兰黑客组织对俄罗斯政府和私营公司的一系列网络攻击。该黑客组织入侵了俄罗斯工业自动化企业Tekon-Avtomatika的PLC设备,并在其上部署了控制与通信(C2)服务器,这些控制器不仅用于工业自动化,还控制电梯等关键设备。这是首次发现的将PLC设备变身C2服务器的案例。
通常意义上,C2服务器(Command and Control Server),也称为C&C服务器,是指在网络攻击中,攻击者用来远程控制受感染计算机或设备(称为“节点”或“肉鸡”)的服务器。C2服务器是攻击者与被控制设备之间通信的中心枢纽,用于发送命令、接收数据、更新恶意软件、获取信息等。C2服务器是网络攻链条中的关键组成部分,常被用于各种网络犯罪活动,包括数据盗窃、勒索软件、分布式拒绝服务攻击(DDoS)等。它通常与域名、IP地址、以及访问它的协议(如HTTP/HTTPS、FTP、DNS、SMTP)等关联,由某个计算机/服务器来承载,网络安全专家和防御者需要不断研究C2服务器的特征和行为。PLC的C2化,就是用PLC设备代替了前述计算机/服务器,使其成为了攻击者的通信枢纽。
2、PLC之C2化的基本条件
将一个PLC设备变成C2服务器,需要哪些基础必须的条件呢?首先,该PLC需要具备计算功能,即其有操作系统;其二,攻击者对该PLC具备控制权限,即对其有完全的控制权限;其三,需要域名和IP地址,即需要注册一个或多个域名和IP地址作为通信的入口点。最后,该PLC要支持访问的协议,即通信协议,能够配置其支持多种通信协议(HTTP/HTTPS、FTP、SMTP、DNS),即攻击者能够与其正常通信,远程的被控制端也能与其正常通信。
聪明的或老道的攻击者,还可能采取一些对抗追踪的技术手段,如域名的DGA技术或频繁更换域名和IP地址,支持多协议诉访问方式,加密笔混淆以隐藏恶意通信,最小化或适时清除日志,甚至采用Tor或VPN的匿名服务,等等,增加追查的成本和难度。如“Lifting Zmiy”黑客攻击的案例中就使用了星链的IP地址。
3、PLC被C2化攻击的实例
俄罗斯网络安全公司Solar的网络威胁研究中心在2024年7月揭露的名为"Lifting Zmiy"的亲乌克兰黑客组织的一系列网络攻击中,黑客组织通过三个关键步骤实现了对俄罗斯产Tekon-Avtomatika的PLC设备(控制器不仅用于工业自动化,还控制电梯等关键设备)的C2化。
一是通过暴力破解与暗网购买,获取初始访问凭据和权限;在Solar公司调查的案例中,基础设施是通过暴力破解口令而被黑客入侵,也有一些控制器使用默认口令的情况。但很难说Lifting Zmiy是积累了对各个组织的访问权限,还是从通过购买泄露凭证获得了设备访问权限。但多主动攻击行动的时间上看,都经过了较长时间(有时是几个月),表明该组织可能从第三方获得了一些访问凭证。
二是获取PLC的Root权限,配置为C2实施长期隐蔽;Tekon-Avtomatika PLC设备运行Linux系统,具有一个模块,允许加载和执行自定义的LUA脚本插件。这种设计提供了极大的灵活性,但也带来了安全风险。由于LUA插件能够以root权限运行,它们能够执行任何bash命令,这为攻击者将PLC变身C2创造了条件。研究人员分析发现反向SSH样本后,他们提取了相应的C2地址,该地址指向受感染的Tekon-Avtomatika PLC。利用已发现的类似模式,研究者又在受感染的设备上发现了更多C2服务器。研究者总共发现了23个C2服务器,其中16个是Tekon-Avtomatika PLC。截至2024年6月,23个C2中仍有14个处于活跃状态,这些活跃的C2中有8台部署在受感染的PLC上。
三是攻击者使用了SpaceX的卫星互联网IP;研究人员检测到的IP地址的Whois记录显示,这些IP属于提供商Starlink Services, LLC,该公司是SpaceX的一个部门,在全球范围内提供宽带卫星互联网服务。Lifting Zmiy黑客组织通过利用SpaceX的Starlink基础设施,实现了在全球范围内的匿名和灵活攻击,受益于其动态IP地址和高速连接,同时规避了传统网络安全措施基于IP地址所归属的物理地址的检测,确保了行动的隐蔽性和高效率。
Lifting Zmiy黑客的真实目标并非那些PLC控制的电梯或其它自动化设备,而是其它目标,其“项庄舞剑、意在沛公”的战术得益于其技术、资源、能力的融合,这颠覆了业界对传统OT网络攻击的典型认知,即突破并控制OT设备是为了攻击其它IT设备。
本文描述的三种PLC攻击技术表明,攻击者正采取多样化的策略来武器化和滥用PLC。DM-PLC通过建立隐蔽监控网络并利用“死亡开关”机制直接干预物理过程,而不是通过加密手段进行勒索。Evil PLC攻击则将PLC作为攻击跳板,以攻击其他IT或OT网络系统。Lifting Zmiy黑客组织的行动表明失陷入的PLC设备不直接对自动化设备造成危害(当然攻击者完全可以这样做),而是被用作C2服务器,进一步攻击其它系统,这加剧了威胁检测和追踪的难度。这些攻击技术和手段颠覆了传统上通过IT网络和系统突破ICS设备的认知,而且PLC设备也可能成为跳板、C2服务器。
因此,OT网络攻击技术的演进凸显了加强对PLC设备安全保障的极端重要性。加强网络监控和访问控制,确保PLC设备的软件和固件及时更新,采用多因素认证和加密通信,以及实施严格的物理和网络安全政策。此外,组织应制定全面的网络安全应急响应计划,并对员工进行安全意识培训,以识别和防御潜在的网络威胁。
参考文献
安帝科技丨ANDISEC
北京安帝科技有限公司是新兴的工业网络安全能力供应商,专注于网络化、数字化、智能化背景下的工业网络安全技术、产品、服务的创新研究和实践探索,基于网络空间行为学理论及工业网络系统安全工程方法,围绕工业网络控制系统构建预防、识别、检测、保护、响应、恢复等核心能力优势,为电力、水利、石油石化、轨道交通、烟草、钢铁冶金、智能制造、矿业等关键信息基础设施行业提供安全产品、服务和综合解决方案。坚持IT安全与OT安全融合发展,坚持产品体系的自主可控,全面赋能客户构建“业务应用紧耦合、用户行为强相关、安全风险自适应、网络弹性稳增强”的主动防御和纵深防御相结合的安全保障体系。
点击“在看”鼓励一下吧
原文始发于微信公众号(安帝Andisec):OT网络深层攻防技术专题之二:PLC攻击技术最新进展
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论