内置WEB服务的PLC已经成为网络攻击重灾区

PLC内置Web服务的优势

远程访问：Web 应用程序允许通过标准 Web 浏览器远程访问 PLC，使工程师和操作员只要能够访问互联网，就可以从任何地方监控和控制工业流程。

用户友好界面：使用 Web 技术可以开发更直观、更具视觉吸引力的用户界面，使用户更容易与 PLC 交互并理解复杂的过程信息。

定制和灵活性：Web 应用程序可以定制以满足特定的操作需求，从而为数据呈现方式和控制功能的实施方式提供灵活性。

与其他系统集成：基于 Web 的 PLC 可以更轻松地与其他 IT 和运营技术 (OT) 系统集成，促进数据交换并实现更复杂的自动化和分析功能。

减少对专用软件的需求：与通常需要专有软件进行编程和交互的传统 PLC 不同，基于 Web 的 PLC 可以使用标准 Web 浏览器进行访问和编程，从而减少了对专用软件安装的需求。

安全隐患

虽然基于 Web 的 PLC 应用程序的优势显而易见，但它们也带来了一些必须解决的安全问题：

增加攻击面：在 PLC 中嵌入 Web 服务器会增加攻击面，使潜在攻击者更容易访问它们。这种可访问性可能被利用来获取未经授权的访问权限或对 PLC 及其控制的工业流程发起攻击。

Web 漏洞：PLC Web 应用程序容易受到常见 Web 漏洞的影响，例如跨站点脚本 (XSS)、SQL 注入和跨站点请求伪造 (CSRF)。这些漏洞可被用来操纵 PLC 操作或获取敏感信息。

身份验证和授权问题：身份验证和授权机制不充分可能导致未经授权访问 PLC Web 应用程序。确保强大的访问控制对于防止可能破坏工业流程的未经授权的操作至关重要。

固件和软件更新：保持 Web 服务器和应用软件为最新状态对于安全至关重要。过时软件中的漏洞可能被攻击者利用，但由于需要持续运行，因此在工业环境中更新 PLC 可能具有挑战性。

缺乏加密：并非所有 PLC Web 应用程序都使用加密进行数据传输，这可能会使敏感信息被拦截和操纵。实施 HTTPS 等安全通信协议对于保护数据完整性和机密性至关重要。

WEB PLC 恶意软件阶段

文件中介绍的基于 Web的可编程逻辑控制器 (PLC) 恶意软件的各个阶段包括一种系统性方法，即使用通过 PLC 的嵌入式 Web 服务器部署的恶意软件来破坏工业系统。这些阶段旨在感染、持久化、进行恶意活动，而无需直接进行系统级破坏。通过利用 PLC 托管的 Web 应用程序中的漏洞，恶意软件可以秘密操纵现实世界的进程。这包括伪造传感器读数、禁用警报、控制执行器，并最终隐藏其存在，从而对工业控制系统构成重大威胁。

1. 初始感染

基于 Web 的可编程逻辑控制器 PLC恶意软件生命周期的“初始感染”阶段侧重于将恶意代码部署到 PLC 的 Web 应用程序环境中。此阶段对于在目标系统中建立立足点至关重要，攻击者可以从此立足点发起进一步的操作。以下是根据提供的研究对“初始感染”阶段的详细分析：

初始感染方式

初始感染可以通过各种方式实现，利用 PLC 托管的 Web 应用程序中的漏洞以及更广泛的网络环境。主要方法包括：

恶意用户定义网页 (UWP)：利用允许用户创建自定义网页以进行监控和控制的功能。攻击者可以上传包含 JavaScript 或 HTML 代码的恶意网页，这些代码旨在执行未经授权的操作或作为进一步攻击的后门。

跨站点脚本 (XSS) 和跨源资源共享 (CORS) 配置错误：利用 Web 应用程序中的漏洞（例如 XSS 缺陷或配置不当的 CORS 策略），攻击者可以注入在合法用户会话上下文中执行的恶意脚本。这可能导致未经授权的访问或数据泄露。

社会工程或网络钓鱼：利用社会工程策略诱骗用户访问恶意网站或点击有助于将恶意软件注入 PLC Web 服务器的链接。这种方法通常针对安全的人为因素，利用信任和缺乏意识。

挑战和注意事项

隐身和逃避：在不被发现的情况下实现初始感染至关重要。攻击者必须精心设计恶意负载，以避免触发安全机制或提醒系统管理员。

访问和传递：将恶意代码传递到 PLC 的 Web 应用程序的方法因网络配置、现有的安全措施以及目标系统的特定漏洞而异。攻击者可能需要进行侦察以确定最有效的感染媒介。

利用特定漏洞：初始感染阶段的有效性通常依赖于利用 PLC 的 Web 应用程序或周围网络基础设施中的特定漏洞。这需要对现有漏洞有最新的了解，并能够在发现新漏洞时快速适应。

“初始感染”阶段为 Web PLC 恶意软件生命周期的后续阶段奠定了基础，使攻击者能够执行恶意活动、建立持久性并最终破坏工业流程的完整性和安全性。解决导致初始感染的漏洞和安全漏洞对于保护工业控制系统免受此类复杂威胁至关重要。

2. 持久性

该研究概述了 Web PLC 恶意软件可用于在 PLC 的网络环境中实现持久性的几种技术：

修改 Web 服务器配置：恶意软件可能会更改 PLC 上的 Web 服务器设置，以确保每次访问 Web 应用程序时都会自动加载恶意代码。这可能涉及更改启动文件或操纵 Web 服务器的行为，以将恶意内容作为合法 Web 应用程序的一部分提供。

利用 Web 应用程序漏洞：如果 PLC 的 Web 应用程序包含漏洞，恶意软件可以利用这些漏洞定期重新感染系统。例如，恶意软件可以利用允许未经授权的文件上传或远程代码执行的漏洞来确保其持久性。

使用 Web 存储机制：现代 Web 应用程序可以利用各种 Web 存储机制（例如 HTML5 本地存储或会话存储）在客户端存储数据。恶意软件可以利用这些存储选项将恶意负载或脚本保留在浏览器环境中，确保每次访问 PLC 的 Web 应用程序时都会执行它们。

注册服务工作线程：服务工作线程是浏览器在后台运行的脚本，独立于网页，为无需网页或用户交互的功能打开大门。恶意软件可以注册恶意服务工作线程来拦截和操纵网络请求、缓存恶意资源或执行有助于维持恶意软件存在的任务。

3.恶意活动

在基于 Web 的可编程逻辑控制器PLC恶意软件研究中，“恶意活动”阶段至关重要，因为它代表攻击者在受感染的工业控制系统 (ICS) 中执行其主要目标。此阶段利用恶意软件在 PLC 的 Web 应用程序环境中建立的初始立足点来执行可能破坏操作、造成物理损坏或泄露敏感数据的操作。根据研究提供的信息，以下是可在此阶段进行的恶意活动类型的概述：

操控工业流程

恶意软件可以向 PLC 发出未经授权的命令，改变控制工业过程的控制逻辑。这可能涉及更改设定点、禁用警报或操纵执行器和传感器。此类操作可能导致不安全的操作条件、设备损坏或意外停机。通过 PLC 的 Web 应用程序界面直接操纵流程的能力提供了一种影响物理操作的隐秘方法，而无需直接修改控制逻辑或固件。

数据泄露

另一项关键活动是从 PLC 或更广泛的 ICS 网络窃取敏感信息。这可能包括专有流程信息、操作数据或在 ICS 环境中提供进一步访问权限的凭据。恶意软件可以利用 Web 应用程序的连接将这些数据传输到攻击者控制的外部位置。数据泄露会带来重大风险，包括知识产权盗窃、隐私泄露和合规性违规。

横向移动和传播

WEB PLC 恶意软件还可以作为攻击 ICS 网络内其他系统的支点。通过利用现代 ICS 环境的互联特性，恶意软​​件可以传播到其他 PLC、人机界面 (HMI)、工程工作站甚至 IT 系统。这种传播可以放大攻击的影响，使攻击者能够获得对 ICS 的更广泛控制权或跨多个设备发起协调行动。

破坏和扰乱

许多针对 ICS 环境的攻击的最终目的是造成物理破坏或破坏关键操作。通过精心安排恶意行为的时间或针对工业流程的特定组件，攻击者可以造成重大影响并可能造成灾难性后果。这可能包括导致设备故障、引发安全事故或停止生产线。

WEB PLC 恶意软件的“恶意活动”阶段突出了通过利用 PLC 上的 Web 界面对工业运营造成重大损害的可能性。该研究强调了保护这些界面和实施强大的检测机制以识别和缓解此类威胁在造成损害之前的重要性。

对策和缓解措施

该研究报告本质上表明，需要采取强有力的安全措施来防范基于 Web 的 PLC 恶意软件的新威胁。根据一般的网络安全实践和 Web PLC 恶意软件带来的独特挑战，可以推断出以下保护工业控制系统 (ICS) 的潜在对策和缓解措施：

1. 定期进行安全审计和漏洞评估

对 PLC 及其 Web 应用程序进行全面的安全审计和漏洞评估，以便在攻击者利用潜在漏洞之前识别并修复它们。

2.更新和补丁管理

确保 PLC、其嵌入式 Web 服务器以及任何相关软件都使用制造商提供的最新安全补丁和固件更新。

3. 网络分段和防火墙

实施网络分段，将关键 ICS 网络与企业 IT 网络和互联网分开。使用防火墙控制和监控不同网络段之间的流量，尤其是往返于 PLC 的流量。

4. 安全的 Web 应用程序开发实践

采用安全编码实践来开发 PLC Web 应用程序。这包括输入验证、输出编码和使用安全标头来缓解常见的 Web 漏洞，例如跨站点脚本 (XSS) 和跨站点请求伪造 (CSRF)。

5. 强大的身份验证和授权

实施强大的身份验证机制来访问 PLC Web 应用程序，包括尽可能多地实施多因素身份验证 (MFA)。确保授权控制到位，以根据最小特权原则限制访问。

6. 传输中和静止数据的加密

使用加密来保护在 PLC 和客户端之间传输的敏感数据以及存储在 PLC 上的数据。这包括对 Web 应用程序使用 HTTPS 以及对任何远程访问使用安全协议。

7.入侵检测与监控

部署入侵检测系统 (IDS) 和持续监控解决方案，以检测并警告 ICS 网络中的可疑活动或异常，​​包括 Web PLC 恶意软件感染的潜在指标。

8. 安全意识和培训

为 ICS 用户和工程师提供安全意识培训，以识别可用于发起 Web PLC 恶意软件攻击的网络钓鱼尝试和其他社会工程策略。

9. 事件响应和恢复计划

制定并维护事件响应计划，其中包括应对 Web PLC 恶意软件感染和从中恢复的程序。这应包括快速隔离受影响系统、根除恶意软件以及从干净的备份中恢复操作的能力。

10. 供应商协作和信息共享

与 PLC 供应商合作并参与信息共享社区，以随时了解新的漏洞、恶意软件威胁以及保护 ICS 环境的最佳实践。

实施这些对策和缓解措施可以显著降低 Web PLC 恶意软件感染的风险并增强工业控制系统的整体安全态势。

原文始发于微信公众号（IRTeam工业安全）：内置WEB服务的PLC已经成为网络攻击重灾区