2021西門子互聯(lián)網(wǎng)可編程PLC網(wǎng)絡(luò)安全

互聯(lián)網(wǎng)可編程PLC網(wǎng)絡(luò)安全什么是PLC為什么會(huì)聯(lián)網(wǎng)概述PLC電源存儲(chǔ)I/O網(wǎng)絡(luò)模塊PLC功能PLC功能順序控制邏輯控制PLC應(yīng)用自動(dòng)化控制過程控制其他PLC內(nèi)核CodesysProConos底層操作系統(tǒng)LinuxVxworksWinCE通信協(xié)議通用Modbus私有S7OmronFINSPLC通信串行–RS232/485專用以太網(wǎng)UDP網(wǎng)絡(luò)武器的目標(biāo)Stuxnet門子PLC劫持通信注入自己的邏輯程序聯(lián)網(wǎng)的隱患聯(lián)網(wǎng)的隱患(PAGE1)PLC暴露在互聯(lián)網(wǎng)是比SCADA患未授權(quán)訪問設(shè)備的用戶等級保護(hù)缺失通信協(xié)議的脆弱性PLC暴露在互聯(lián)網(wǎng)是比SCADA患控制流程工藝位于更底層

ERP管理層信息層APPLICATION管理層信息層MES應(yīng)用控制層控制層設(shè)備層P P P P設(shè)備層L L L L聯(lián)網(wǎng)的趨勢聯(lián)網(wǎng)的趨勢遠(yuǎn)程數(shù)據(jù)通信遠(yuǎn)程維護(hù)催生了聯(lián)網(wǎng)的需求方便、快捷減少了現(xiàn)場運(yùn)維的成本統(tǒng)一管理聯(lián)網(wǎng)的解決方案聯(lián)網(wǎng)的解決方案(PAGE1)聯(lián)網(wǎng)的解決方案聯(lián)網(wǎng)的解決方案(2)西門子PLC全球統(tǒng)計(jì)報(bào)告西門子PLC公網(wǎng)蜜罐統(tǒng)計(jì)西門子聯(lián)網(wǎng)的風(fēng)險(xiǎn)案例PLCONTHEINTERNET硬件形態(tài)硬件形態(tài)西門子西門子PLCCPU模塊全球統(tǒng)計(jì)報(bào)告(PAGE1)使用S7協(xié)議對互聯(lián)網(wǎng)進(jìn)行掃描探測\h/search?q=port%3A102\h全球數(shù)據(jù)(能成功讀出模塊型號的數(shù)據(jù))ZoomEyeShodanP使用S7協(xié)議對互聯(lián)網(wǎng)進(jìn)行掃描探測ps--‐enueenseTS)mode國家排行–德國 –美國 –波蘭 –法國 捷克 丹麥 模塊貨號排行–ES7--‐--‐0 –ES7--‐E--‐0 –ES7--‐E--‐0 –ES7--‐--‐0 –ES7--‐--‐0 –ES7--‐E--‐0 –ES7--‐--‐0 –ES7--‐--‐0 –ES7--‐E--‐0 –ES7--‐F--‐0 固件版本排行–Version:3.0.2 –Version:2.2.0 –Version:2.6.0 –Version:4.0.0 –Version:2.6.11 –Version:3.2.10 –Version:3.2.6 –Version:3.3.8 –Version:3.2.3 –Version:3.2.8 西門子西門子PLCCP模塊全球統(tǒng)計(jì)報(bào)告(PAGE1)使用S7協(xié)議對互聯(lián)網(wǎng)進(jìn)行掃描探測ps--‐enueenseTS)全球數(shù)據(jù)(能成功讀出模塊型號的數(shù)據(jù))P使用S7協(xié)議對互聯(lián)網(wǎng)進(jìn)行掃描探測ps--‐enueenseTS)mode國家排行德國 法國 瑞士 捷克 丹麥 美國 波蘭 中國 模塊貨號排行–K7--‐C--‐E0 –K7--‐E--‐E0 –K7--‐C--‐E0 –K7--‐E--‐E0 –K7--‐E--‐E0 –K7--‐E--‐E0 –K7--‐E--‐E0 –K7--‐E--‐E0 Unknown 4–K7--‐--‐E0 3固件版本排行–Version:3.0.23 –Version:2.3.2 –Version:2.0.16 –Version:2.6.0 –Version:2.1.14 –Version:2.2.20 –Version:1.1.5 –Version:2.5.0 –Version:1.2.3 9–Version:1.0.26 8西門子PLC全球分布圖形化統(tǒng)計(jì)西門子西門子PLC蜜罐統(tǒng)計(jì)報(bào)告(PAGE1)Conpot不推薦默認(rèn)配置特征–Serialnumberofmodule:88111222全球數(shù)據(jù)ZoomEyeShodanP西門子西門子1通過監(jiān)聽端口并仿真S7描信息記錄連入端口的、時(shí)間回復(fù)偽裝的模塊信息輸出協(xié)議操作的詳細(xì)日志--‐--‐9::0[...]Cetaed--‐--‐9::0[...]TeceteesaUef0es--‐--‐9::0[...]Cetaed--‐--‐9::1[...]TeceteesaUef0es--‐--‐9::1[...]ReadLee,I:x1INE:x1--‐--‐>OK--‐--‐9::1[...]ReadLee,I:xcINE:x1--‐--‐>OK--‐--‐9::1[...]Cetcecedyeer--‐--‐9::5[...]Cetcecedyeer42服務(wù)器:--‐c--‐--‐a.e.cmAddress:名稱: 422015--‐05--‐0619549[]Cntddd2015--‐05--‐0619555[]Cntddd2015--‐05--‐0619558[]hentqusaPUszeof480bys2015--‐05--‐0619558[]Cntdsonndbypr2015--‐05--‐0619559[]dSLqus,I00011INX00000--‐--‐>OK2015--‐05--‐0619559[]dSLqus,I0001cINX00000--‐--‐>OK2015--‐05--‐0619500[]dSLqus,I00132INX00004--‐--‐>OK2015--‐05--‐0619502[]okofypeOBstqusd(stsqun)--‐--‐>NOTAIAE2015--‐05--‐0619503[]okofypeFBstqusd(stsqun)--‐--‐>NOTAIAE2015--‐05--‐0619503[]okofypeFCstqusd(stsqun)--‐--‐>NOTAIAE2015--‐05--‐0619503[]okofypeBstqusd(stsqun)--‐--‐>OK2015--‐05--‐0619504[]oknfoqusdB1--‐--‐>OK2015--‐05--‐0619504[]oknfoqusdB2--‐--‐>OK2015--‐05--‐0619505[]oknfoqusdB3--‐--‐>OK針對數(shù)據(jù)的驗(yàn)證針對數(shù)據(jù)的驗(yàn)證(PAGE1)0C的等級保護(hù)功能S7--‐300PLC的等級保護(hù)功能缺陷S7協(xié)議對口令密碼傳輸?shù)娜毕?C內(nèi)部程序字節(jié)碼的轉(zhuǎn)換利用TCP/UDP連接功能實(shí)現(xiàn)端口掃描利用通信功能塊實(shí)現(xiàn)特定Socket通信EXPLOITSS7PLC的等級保護(hù)PAGE1)口令保護(hù)來自Step7幫助文件“保護(hù)中的用戶程序，防止未授權(quán)的修改護(hù))”“保護(hù)用戶程序的編程技術(shù)內(nèi)容讀保護(hù))”“防止將會(huì)干涉進(jìn)程的在線功能”口令保護(hù)幫助的等級保護(hù)缺陷幫助文件對口令保護(hù)注意事項(xiàng)的定義無法使用口令保護(hù)來防止對設(shè)置時(shí)間/日期功能的訪問?！逼渌袄纭眴⒂靡部梢圆僮鞴ぷ鳡顟B(tài)S7S7協(xié)議對口令密碼傳輸?shù)娜跫用?PAGE1)已集成基于S7協(xié)議的口令破解模塊0M字節(jié)碼的傳輸MC7MC7字節(jié)碼轉(zhuǎn)換(PAGE1)研究目的與意義脫離官方編譯器實(shí)現(xiàn)對PLC程序的轉(zhuǎn)換與修改S7被解碼Stuxnet核心功能故事7300P程序塊解析組織塊（OB）（主程序塊負(fù)責(zé)所有FC程序塊的調(diào)用）數(shù)據(jù)塊（DB）（用于存放用戶和系統(tǒng)定義的變量數(shù)據(jù)）程序塊（FC）（由用戶編寫的程序塊）功能塊（FB）（由用戶編寫的專用數(shù)據(jù)塊）系統(tǒng)程序塊（SFC）（調(diào)用系統(tǒng)某些功能時(shí)自動(dòng)創(chuàng)建）系統(tǒng)功能塊（SFB）（建）系統(tǒng)數(shù)據(jù)塊（SDB）（由編程軟件自動(dòng)生成主要存放PLC的硬件組態(tài)等信息，用戶無法直接打開和更改）7070開始頭部標(biāo)志0102hex:0x02LAD08hex:0x08OB0001hex:0x00,0x0100000096塊總長度00000000是否設(shè)置密碼0322C82E2C20最后修改時(shí)間039DCB0C114C上次修改時(shí)間001C內(nèi)部塊數(shù)據(jù)表長度000014本地?cái)?shù)據(jù)長度0002執(zhí)行代碼長度MC7MC7注入實(shí)例(PAGE1)STL:A M8.0T6L S5T#3SSD T 0000NOP0STL:A T 0= L 20.0A L 20.0BLD102= Q124.0A L 20.0SDTNOP0SDTNOP0NOP0NOP0NOP0為秒支持多種連接方式多種連接方式S7連接冗余的S7連接點(diǎn)對點(diǎn)連接FMS連接FDL連接ISO傳輸連接ISOon連接連接UDP連接電子郵件連接支持多種連接對象多種連接連接對象相同型號PLC與PLC之間通信不同型號PLC與PLC之間通信PLC與上位機(jī)之間通信PLC與其他以太網(wǎng)設(shè)備通信CP的功能通信功能塊FC5FC6異步通信方式類似傳統(tǒng)Socket通信SEND功能RECV功能CPCP的自定義Socket通信選擇連接方式S7激活連接的建立調(diào)用FC5/FC6FC使用DB構(gòu)建收發(fā)緩沖區(qū)背景數(shù)據(jù)塊自定義自定義Socket通信實(shí)現(xiàn)(PAGE1)FC5STL:CALLACT:=L20.0ID:=1LADDR:=W#16#100SEND:=P#DB99.DBX0.0BYTE38LEN :=38DONE:=M99.1ERRORSTATUS:=MW100

FC6STL:CALL"AG_RECV"ID :=1LADDR:=W#16#100RECV:=P#DB199.DBX0.0BYTE1024NDR :=M99.3ERROR:=M99.4LEN HatUSATEE--‐CGLCS--‐AEWCKOFCEFB65"TCON"FB63"TSEND“FB64"TRCV“通過0C的內(nèi)部通信塊實(shí)現(xiàn)ok代理功能更高級、更靈活S7PLC特性如何構(gòu)造測試工具RELEASEDEXPLOITSS7PLC特性非標(biāo)簽方式尋址功能塊按照數(shù)字編號排序FC1–SDB1001變量數(shù)據(jù)是按地址尋址–M0.0bit–M0.1bit方便遍歷測試而不需要進(jìn)行枚舉–Foriinrange(000000,001234)通用性增強(qiáng)可設(shè)置連接模塊與槽號SlotS7連接的初始化方式OPS7工具實(shí)現(xiàn)S7FuzzGetModuleSetRun/StopFuzz