2024工业控制系统可编程控制器梯形图逻辑炸弹

工业控制系统可编程控制器梯形图逻辑炸弹概述

传统的企业IT环境，攻击者代码的注入通常要困难得多。(PLCC)（和)（处）。

(CPS[6,16,24–26]（等CPSCPS（IEC61131‑3PLCBt实CLLB。

（C3LLBCBBC向ABC除了介绍逻辑层的漏洞之外，我们还讨论了对策并提出了两种检测技术。关键词(ICSICS(SCADA(PLCPLC

（SWaTtestbed4节CStuxnet[7我们的贡献总结如下：PLC(LLBLLBC3C3]PLCPLC

本研究的结构如下：第2部分，我们概括介绍CPS系统、PLC和IEC61131‑3。C（CUSBPLC

3456LLB78此设置与恶意软件场景的主要区别在于历史学家转变L1网络流程1流程2进程nPLC1aPLC1bPLC2aPLC2b聚氯乙烯L0网络L0网络L0网络里约里约里约...执行器传感器图例。 图例(ICSLad‑derLogicPLC（（））ICS（（

由于PLC的用途及其所处理任务的重要性质，其防⽌恶意操纵的安全性至关重要。PLCPLC（PLCPLC（ControlLogix用CC置。因此，我们假设在本工作的剩余部分中可以实现远程或本地重新编程访问。C3CC2‧（‧（‧（）PLC（/(IOPLC）。ICS（Modbus/TCP和Modbus/NLadderLogicStudio(PLCPLC(ICS坚固的特性，能够承受包括酷热、寒冷、灰尘和极端潮湿等恶劣条件。考虑到它们广泛

（（线）2（“Studio5000Studio5000LogixDesigner（x0图图进程[2]PLCStudio5000PCRSLinxWindowsICSy（ControlLogix和o0x和oControlLogix5571PLCPLC（a)PLCb//PLC下面我们讨论第二个动作，上传修改后的固件。PLC.dmk(.bin(.der).nvs/件的加载地址。

图（）（RocklRSA（（PLC

（.derPLC（4PLC/PLCPLC图3更详细地解释了这个过程PLC（APLCPLCPLC/（逻辑下载到PLC上内部激活法学学士

动 统

LLBPLC（）/部 息图)PLCPLC

（）（）。LLB12LLBLLB。C（PLC的Studio5000）。 面型第3.1目（（例(DoS)PLCPLCPLC（PLCPLC（因）（（）。

如，通过建立中间人功能）。MitMPLCSCADA61131‑3器。工厂操作员在设计时配置PLC的逻辑。（的PLC(DoSPLCPLCPLCIDS（

PLCLLB（t）

LLBPLC/（图1（图6）（PLC/）。

LLBLLBPLCFIFOPLC3.2炸弹分类梯形逻辑炸弹大致可按两个标准进（）（

3.4触发

历史学家

L1网络1a.将‘0’写入PLC阀门标签

1b.将‘1’写入PLC阀门标签

流程1PLC1a PLC1b将‘1’

L0网络里约

图d攻击者

执行器

弹的构造，并演示了如何使用它们来ř扰ICS的功能。图O到HMI数从HMI到O在特定输入处触发。ICS（参4.1节）PLC的输入。当水箱中的水位达到特定水Ś时，炸弹可能会引爆。SWaT台7（SWaT台。触发序列。（FSM

16CCPLC(SCADAHis‑torian计时器。LLBTON特定内部条件。PLC（

Do)（）DoS攻击中式)DoSPLC[15]PLC（）。3.5在PLC逻辑中隐藏LLB检测原始逻辑（在我们的例C

DoSPLCLLBStuxnet[7B就隐藏：实际的恶意逻辑已隐藏在附加指令中。已添加一条新指令图创造的，其结构与真实世界非常相似D2A和输出：目的地。它也被恰当地命名（ADDD梯形逻辑的顶部概述（其中包含许多）D梯级。但在这个附加指令中，真正的炸弹（PLC操作。有关此内容的更多详细信息，请参阅图8.ICSPLC（

图子程序C传感器数据可能会导致系统故障[14]。（图1构造：由于这是概念验证，我们决定（）有效载荷是一个简单的ADD块，它采用真正的传感器LLB（9）。隐蔽性：对于这次攻击，我们还使用了不同的PLC调用大量子程序。我们假设以这种方式调用子程序是为了保持良好的可读性梯形逻辑的维护者。但是，该结构具有大量的子程序，可以通过攻击者隐藏LLB。我们通过隐藏LLB测试了此漏洞。

一个触发子程序，在每个周期执行梯形逻辑（见图10）。LLLB可能同样有害，但更难检测。特别是，此类LLB可用于数据记录和导出关于系统的敏感信息。FIFOFFL11LBT中.csvSD在我们的攻击者模型中，攻击者可以偶尔访问（对PLC的物理访问），SDPLC攻击IDoS2.603.843.414.09表（）表（）PLC的I/O/1所示（C‘x’

SD卡上LLB我们现在讨论另一种效果类似的攻击DoS攻击。PLC

LLB的难度LLB构造：这里我们设法在PLC上造成两个主要故障。FIFO缓冲12。

o0和C（VPNStackOverflowPLC（13）。

CO隐藏：这些LLB可以隐藏在附加指令或子程序内。4.6攻击分析理想情况下，应该有一个指标来衡量LLBLLB(RALOCO

跳起来接旗帜。BLLB代码后使用Add_on说明进行游戏。第二个挑战是获取通过某种逻辑读取的连接模拟传感器的真实值。为了解决图22（5图kLLB（8）LLB，（）。如果可以的话修复我。PLC“PLC（）LLBPLCFFLPLC

表B队伍第一颗炸弹第二颗炸弹第三颗炸弹（LLB（LLB测o0（及5.2CTF在本节中，我们讨论针对LLB攻击。具体来说，我们讨论a)基于网络的对策，以及b)正在运行的代码的集中验证。析的。 中。PLC本身PLC的方（/

HTTP服务器黄金参考L1网络转变恶意复制PLC黄金参考L1网络转变恶意复制PLCL0网络里约攻击者执行器传感器图措施CLS（TLSHTTP）。定期逻辑验证。PythonStudio5000.L5K文件（）KSoup(BSPBSPHTMLLnPSKPLCdiff1SC（.L5K文.L5K从服务器获取带有序列号的黄金样本。如果diff(本地.L5K,黄金引用.L5K)否则，如果本地逻辑较新则CLSendifendifPLCICSPLCPLC（o（）。PLC(IDS)来监控流量IDSPLC]HMI和C（将SIP（（）。)SC)CCLS14提交黄金样品。所有授权工程师在更改PLC上运行的逻辑时，都必须将每个PLC的最新版本逻辑CLSPLCCLS（

TalkAssetCentre保护PLC/RSLinxRSLogix5000CLSFactoryTalkAssetCenterCLS台/PLC

[19PLC61131‑3对ICS的一般威胁。[1,4,17,23]。

件]“Tripwire”UnixTripwire工具（）CLS在]MorrisMODBUSAPLC。

exStudio5000PLC(.L5K)。ICSICS/SCADA系

PLC[5](S‑IDS)IDS（）]PLC的攻击2010[7这导致人们