2021西门子互联网可编程PLC网络安全

互联网可编程PLC网络安全什么是PLC为什么会联网概述PLC电源存储I/O网络模块PLC功能PLC功能顺序控制逻辑控制PLC应用自动化控制过程控制其他PLC内核CodesysProConos底层操作系统LinuxVxworksWinCE通信协议通用Modbus私有S7OmronFINSPLC通信串行–RS232/485专用以太网UDP网络武器的目标Stuxnet门子PLC劫持通信注入自己的逻辑程序联网的隐患联网的隐患(PAGE1)PLC暴露在互联网是比SCADA患未授权访问设备的用户等级保护缺失通信协议的脆弱性PLC暴露在互联网是比SCADA患控制流程工艺位于更底层

ERP管理层信息层APPLICATION管理层信息层MES应用控制层控制层设备层P P P P设备层L L L L联网的趋势联网的趋势远程数据通信远程维护催生了联网的需求方便、快捷减少了现场运维的成本统一管理联网的解决方案联网的解决方案(PAGE1)联网的解决方案联网的解决方案(2)西门子PLC全球统计报告西门子PLC公网蜜罐统计西门子联网的风险案例PLCONTHEINTERNET硬件形态硬件形态西门子西门子PLCCPU模块全球统计报告(PAGE1)使用S7协议对互联网进行扫描探测\h/search?q=port%3A102\h全球数据(能成功读出模块型号的数据)ZoomEyeShodanP使用S7协议对互联网进行扫描探测ps-­‐enueenseTS)mode国家排行–德国 –美国 –波兰 –法国 捷克 丹麦 模块货号排行–ES7-­‐-­‐0 –ES7-­‐E-­‐0 –ES7-­‐E-­‐0 –ES7-­‐-­‐0 –ES7-­‐-­‐0 –ES7-­‐E-­‐0 –ES7-­‐-­‐0 –ES7-­‐-­‐0 –ES7-­‐E-­‐0 –ES7-­‐F-­‐0 固件版本排行–Version:3.0.2 –Version:2.2.0 –Version:2.6.0 –Version:4.0.0 –Version:2.6.11 –Version:3.2.10 –Version:3.2.6 –Version:3.3.8 –Version:3.2.3 –Version:3.2.8 西门子西门子PLCCP模块全球统计报告(PAGE1)使用S7协议对互联网进行扫描探测ps-­‐enueenseTS)全球数据(能成功读出模块型号的数据)P使用S7协议对互联网进行扫描探测ps-­‐enueenseTS)mode国家排行德国 法国 瑞士 捷克 丹麦 美国 波兰 中国 模块货号排行–K7-­‐C-­‐E0 –K7-­‐E-­‐E0 –K7-­‐C-­‐E0 –K7-­‐E-­‐E0 –K7-­‐E-­‐E0 –K7-­‐E-­‐E0 –K7-­‐E-­‐E0 –K7-­‐E-­‐E0 Unknown 4–K7-­‐-­‐E0 3固件版本排行–Version:3.0.23 –Version:2.3.2 –Version:2.0.16 –Version:2.6.0 –Version:2.1.14 –Version:2.2.20 –Version:1.1.5 –Version:2.5.0 –Version:1.2.3 9–Version:1.0.26 8西门子PLC全球分布图形化统计西门子西门子PLC蜜罐统计报告(PAGE1)Conpot不推荐默认配置特征–Serialnumberofmodule:88111222全球数据ZoomEyeShodanP西门子西门子1通过监听端口并仿真S7描信息记录连入端口的、时间回复伪装的模块信息输出协议操作的详细日志-­‐-­‐9::0[...]Cetaed-­‐-­‐9::0[...]TeceteesaUef0es-­‐-­‐9::0[...]Cetaed-­‐-­‐9::1[...]TeceteesaUef0es-­‐-­‐9::1[...]ReadLee,I:x1INE:x1-­‐-­‐>OK-­‐-­‐9::1[...]ReadLee,I:xcINE:x1-­‐-­‐>OK-­‐-­‐9::1[...]Cetcecedyeer-­‐-­‐9::5[...]Cetcecedyeer42服务器:-­‐c-­‐-­‐a.e.cmAddress:名称: 422015-­‐05-­‐0619549[]Cntddd2015-­‐05-­‐0619555[]Cntddd2015-­‐05-­‐0619558[]hentqusaPUszeof480bys2015-­‐05-­‐0619558[]Cntdsonndbypr2015-­‐05-­‐0619559[]dSLqus,I00011INX00000-­‐-­‐>OK2015-­‐05-­‐0619559[]dSLqus,I0001cINX00000-­‐-­‐>OK2015-­‐05-­‐0619500[]dSLqus,I00132INX00004-­‐-­‐>OK2015-­‐05-­‐0619502[]okofypeOBstqusd(stsqun)-­‐-­‐>NOTAIAE2015-­‐05-­‐0619503[]okofypeFBstqusd(stsqun)-­‐-­‐>NOTAIAE2015-­‐05-­‐0619503[]okofypeFCstqusd(stsqun)-­‐-­‐>NOTAIAE2015-­‐05-­‐0619503[]okofypeBstqusd(stsqun)-­‐-­‐>OK2015-­‐05-­‐0619504[]oknfoqusdB1-­‐-­‐>OK2015-­‐05-­‐0619504[]oknfoqusdB2-­‐-­‐>OK2015-­‐05-­‐0619505[]oknfoqusdB3-­‐-­‐>OK针对数据的验证针对数据的验证(PAGE1)0C的等级保护功能S7-­‐300PLC的等级保护功能缺陷S7协议对口令密码传输的缺陷0C内部程序字节码的转换利用TCP/UDP连接功能实现端口扫描利用通信功能块实现特定Socket通信EXPLOITSS7PLC的等级保护PAGE1)口令保护来自Step7帮助文件“保护中的用户程序，防止未授权的修改护)”“保护用户程序的编程技术内容读保护)”“防止将会干涉进程的在线功能”口令保护帮助的等级保护缺陷帮助文件对口令保护注意事项的定义无法使用口令保护来防止对设置时间/日期功能的访问。”其他“例如”启用也可以操作工作状态S7S7协议对口令密码传输的弱加密(PAGE1)已集成基于S7协议的口令破解模块0M字节码的传输MC7MC7字节码转换(PAGE1)研究目的与意义脱离官方编译器实现对PLC程序的转换与修改S7被解码Stuxnet核心功能故事7300P程序块解析组织块（OB）（主程序块负责所有FC程序块的调用）数据块（DB）（用于存放用户和系统定义的变量数据）程序块（FC）（由用户编写的程序块）功能块（FB）（由用户编写的专用数据块）系统程序块（SFC）（调用系统某些功能时自动创建）系统功能块（SFB）（建）系统数据块（SDB）（由编程软件自动生成主要存放PLC的硬件组态等信息，用户无法直接打开和更改）7070开始头部标志0102hex:0x02LAD08hex:0x08OB0001hex:0x00,0x0100000096块总长度00000000是否设置密码0322C82E2C20最后修改时间039DCB0C114C上次修改时间001C内部块数据表长度000014本地数据长度0002执行代码长度MC7MC7注入实例(PAGE1)STL:A M8.0T6L S5T#3SSD T 0000NOP0STL:A T 0= L 20.0A L 20.0BLD102= Q124.0A L 20.0SDTNOP0SDTNOP0NOP0NOP0NOP0为秒支持多种连接方式多种连接方式S7连接冗余的S7连接点对点连接FMS连接FDL连接ISO传输连接ISOon连接连接UDP连接电子邮件连接支持多种连接对象多种连接连接对象相同型号PLC与PLC之间通信不同型号PLC与PLC之间通信PLC与上位机之间通信PLC与其他以太网设备通信CP的功能通信功能块FC5FC6异步通信方式类似传统Socket通信SEND功能RECV功能CPCP的自定义Socket通信选择连接方式S7激活连接的建立调用FC5/FC6FC使用DB构建收发缓冲区背景数据块自定义自定义Socket通信实现(PAGE1)FC5STL:CALLACT:=L20.0ID:=1LADDR:=W#16#100SEND:=P#DB99.DBX0.0BYTE38LEN :=38DONE:=M99.1ERRORSTATUS:=MW100

FC6STL:CALL"AG_RECV"ID :=1LADDR:=W#16#100RECV:=P#DB199.DBX0.0BYTE1024NDR :=M99.3ERROR:=M99.4LEN HatUSATEE-­‐CGLCS-­‐AEWCKOFCEFB65"TCON"FB63"TSEND“FB64"TRCV“通过0C的内部通信块实现ok代理功能更高级、更灵活S7PLC特性如何构造测试工具RELEASEDEXPLOITSS7PLC特性非标签方式寻址功能块按照数字编号排序FC1–SDB1001变量数据是按地址寻址–M0.0bit–M0.1bit方便遍历测试而不需要进行枚举–Foriinrange(000000,001234)通用性增强可设置连接模块与槽号SlotS7连接的初始化方式OPS7工具实现S7FuzzGetModuleSetRun/StopFuzz