中國西門子專業(yè)西北地區(qū)代理商 中國西門子專業(yè)西北地區(qū)代理商
潯之漫智控技術(shù)有限公司 上海詩慕自動(dòng)化設(shè)備有限公司
本公司銷售西門子自動(dòng)化產(chǎn)品�����,*,質(zhì)量保證�����,價(jià)格優(yōu)勢
西門子PLC,西門子觸摸屏��,西門子數(shù)控系統(tǒng)��,西門子軟啟動(dòng)���,西門子以太網(wǎng)
西門子電機(jī)���,西門子變頻器�����,西門子直流調(diào)速器�����,西門子電線電纜
我公司大量現(xiàn)貨供應(yīng),價(jià)格優(yōu)勢��,*�,德國*
在Black Hat2011,Dillon Beresford等人在他們的報(bào)告《Exploiting Siemens Simatic S7 PLCs》中演示了如何通過西門子S7Comm協(xié)議的權(quán)限缺失漏洞來遠(yuǎn)程操作PLC。在Black Hat2015���,Johannes Klick 等在他們的報(bào)告《Internet-facing PLCs – A New Back Orifice》中演示攻擊者如何通過代理��,來發(fā)現(xiàn)內(nèi)網(wǎng)中更多的PLC設(shè)備。本文將展示的是一種新型的PLC蠕蟲病毒�����,該病毒可以不借助上位PC機(jī)����,僅通過PLC之間進(jìn)行互相傳播。該病毒的實(shí)現(xiàn)思路���,適用于多個(gè)廠家的PLC設(shè)備,并且可以在一定規(guī)則范圍內(nèi)相互進(jìn)行傳播����。本文采用西門子PLC舉例進(jìn)行說明。
西門子PLC簡介
PLC全稱為Programmable Logic Controller,即可編程邏輯控制器,是一種采用一類可編程的存儲(chǔ)器����,用于其內(nèi)部存儲(chǔ)程序�,執(zhí)行邏輯運(yùn)算�、順序控制、定時(shí)����、計(jì)數(shù)與算術(shù)操作等面向用戶的指令���,并通過數(shù)字或模擬式輸入/輸出控制各種類型的機(jī)械或生產(chǎn)過程�。西門子作為 PLC*�、S7-300、S7-400系列的PLC采用早期的西門子私有協(xié)議S7Comm進(jìn)行通信。S7Comm協(xié)議已被研究者*掌握,并且在github上可以下載到該協(xié)議的插件�。S7-1200系列固件版本為V3.0以下的PLC采用西門子新一代的S7Comm-Plus協(xié)議進(jìn)行通信����。該協(xié)議采用了一些特殊編碼規(guī)范�����,并且做了抗重放攻擊的防護(hù)��。但是其安全防護(hù)仍然較弱,已被基本破解。S7-1200系列固件版本為V3.0以上,以及S7-1500系列的PLC�,采7Comm-Plus協(xié)議����,該協(xié)議對比之前S7Comm-Plus協(xié)議���,采用了加密算法�,目前仍未被研究透徹。
西門子PLC通過Step7以及WinCC軟件進(jìn)行組態(tài)���,TIA Portal V13��。其中使用Step7進(jìn)行下位機(jī)組態(tài)����,WinCC進(jìn)行上位機(jī)組態(tài)���。
在Step7組態(tài)軟件中����,用戶通過編寫POU程序塊來完成工業(yè)現(xiàn)場的控制以及工藝流程的實(shí)現(xiàn)。西門子POU程序塊包括:
OB(Organization Block ):組織塊���,為用戶程序的入口程序塊
FB(Function Block):功能函數(shù)塊,實(shí)現(xiàn)一些封裝好的函數(shù)功能
FC(Function):函數(shù)塊��,為用戶編寫的程序
DB(Data Block):數(shù)據(jù)塊�����,用來存放全局變量
SFB(System Function Block):系統(tǒng)功能函數(shù)庫,系統(tǒng)內(nèi)部封裝的函數(shù)塊
SFC(System Function):系統(tǒng)函數(shù)庫��,系統(tǒng)內(nèi)部封裝的函數(shù)
Step7程序塊的組態(tài)語言包括LD(梯形圖)����,F(xiàn)BD(功能塊圖)����、SCL(結(jié)構(gòu)化控制語言)�、STL(語句列表)。
西門子PLC在進(jìn)行程序下裝的過程中�����,首先會(huì)在下裝前停止PLC的運(yùn)算��,下裝程序完成后再重新啟動(dòng)PLC。
病毒的實(shí)現(xiàn)
對于病毒的實(shí)現(xiàn)流程����,首先選擇IP嘗試建立連接����,如果連接建立成功�����,則檢查目標(biāo)PLC是否已被感染���。如連接未建立成功�����,或目標(biāo)PLC已被感染,則選擇新IP重新嘗試建立連接���。如目標(biāo)PLC未被感染,則停止目標(biāo)PLC�����,下裝病毒程序��,后重新啟動(dòng)目標(biāo)PLC�����。流程如圖1所示。
病毒實(shí)現(xiàn)流程
尋找目標(biāo)
所有的西門子PLC通過102端口進(jìn)行TCP通信�,因此可以通過嘗試建立102端口的TCP通信來進(jìn)行目標(biāo)的尋找����。Step7組態(tài)軟件中提供了兩個(gè)FB塊����,TCON以及TDISCON�����,如圖2所示��。TCON用來建立TCP連接,其中REQ輸入管腳通過上升沿信號觸發(fā),CONNECT輸入管腳配置TCON建立連接的如對端IP�����、對端端口號����,本機(jī)端口號,通信方式等相關(guān)參數(shù)。TDISCON用來斷掉TCP連接���,REQ上升沿觸發(fā)。
