先打补丁后攻击——基于S7 PLC的TOD漏洞
一、摘要
工业控制系统(ICSs)体系结构由可编程逻辑控制器(PLC)组成,其中一端与工程站通信,另一端控制某个物理过程。在本文中,我们证明了一些PLC是脆弱的,并证明了利用正在PLC中执行的逻辑程序是可行的。我们通过注入一个Time-of-Day (TOD)中断代码来锁定逻辑程序,该中断代码在攻击者希望的某个时间中断逻辑控制的执行顺序。这种攻击是首次允许外部对手在访问暴露的PLC后修补恶意代码,让他们的攻击在被感染的设备内闲置,然后稍后激活攻击,甚至不需要在攻击时间与目标PLC连接。与之前的所有工作相比,这种新方法为攻击者打开了破坏PLC的一扇新大门,攻击者可以在攻击阶段处于离线状态。对于一个真实的场景,我们在一个使用S7-300 PLC的真实的小型工业系统设置上实现了我们的攻击,开发了一个已经发布的叫做PLCinject的工具来运行我们的实验。最后,我们提出了一些潜在的缓解方法,以保护系统免受此类威胁。
二、介绍
(一)攻击方式及工具
传统的控制逻辑攻击是通过修改或替换原程序代码,将恶意代码或块下载到目标设备上运行在目标PLC上。而且,以前的所有注入攻击都是在线进行的,并且严格要求对手连接到目标PLC,直到攻击运行。我们的新方法的特点是不需要在攻击时访问目标系统的,攻击者可以在不连接网络的情况下在特定时间离线激活他们的攻击。为了进行我们的实验,我们开发了一个已经发布的攻击工具,叫做PLCinject。我们将开发S7 PLC的利用分为两个阶段:
1) 在Simatic软件中,用中断块,即组织块10(本文其余部分称之为OB10)来修补PLC的控制逻辑程序。这是在线完成的。
2) 激活在特定的日期和时间注入的补丁,而不需要在那个时间连接到目标PLC。这是离线完成的。
(二)PLC
(1)PLC执行环境
西门子PLC运行一个实时操作系统(OS),该操作系统通过如图1所示的四个步骤循环执行用户程序。
图1
(2)PLC操作系统
西门子为开发PLC程序的工程师提供他们的全面集成自动化(博途TIA)门户软件。它由两个主要部分组成:
- Step 7作为PLC和WinCC的开发环境来配置人机界面(HMIs)。
- 工程师能够使用以下编程概念之一对PLC进行编程:梯形图(LAD)、功能块图(FBD)、结构化控制语言(SCL)和语句列表(STL)。
(3)用户程序
PLC程序分为以下单元:组织块(OBs)、函数(FCs)、功能块(FBs)、数据块(DBs)、系统函数块(SFCs)、系统功能块(SFBs)和系统数据块(SDBs)。OBs、FCs和FBs包含实际代码,而DBs为数据结构提供存储,SDBs为当前的PLC配置提供存储。一个简单的PLC程序至少由一个称为OB1的组织块组成,与传统C程序中的main()函数类似。
(4)PLC周期时间
每个周期的周期时间并不相同,并且高度依赖于当前用户程序的复杂性,以及中断用户程序执行的事件。图2显示了在PLC中被事件中断的程序的执行。在正常操作中,如果事件发生,当前正在执行的块将在命令边界处中断,并调用分配给特定事件的不同组织块。一旦新的组织块被执行,循环程序就会在它被中断的地方继续执行。当不超过允许的最大周期时间(默认为150毫秒)时,此值为真。超过最大允许的执行周期产生一个软件错误,PLC调用一个特定的块来处理这个错误,即OB80。有两种情况可以处理这个错误:
- 如果在主程序中没有加载OB80, PLC将进入停止模式。
- PLC执行OB80编程的指令,如报警。
图2
(5)时间中断
西门子CPU允许用户以不同的时间间隔中断主程序(OB1)的运行。为了启动TOD中断,在正常操作中,操作员首先需要设置并激活该中断。S7-300PLC支持多达三种配置TOD中断的可能性:
- 自动开始TOD中断。这可以通过设置和激活每个配置的TOD中断来实现。
- 设置每个配置的TOD中断,然后调用逻辑程序中的SFC30 (ACT_ TINT)指令激活它。
- 通过调用SFC28 (SET_TINT)指令设置TOD中断,然后通过调用SFC30 ACTTINT指令激活TOD中断。
前两种方法在我们的攻击中并不实用,因为它们都要求攻击者访问工程站的TIA门户,并在那里配置全部/部分中断。因此,我们使用第三种方法在我们的恶意代码中设置TOD中断,即SFC28和SFC30
三、攻击建模
对于我们考虑的攻击类型,我们假设攻击者事先不知道PLC控制的实际进程,PLC是如何连接的,PLC使用哪种通信协议,或在每个PLC上运行的逻辑程序。我们还假设攻击者已经可以访问网络,并且能够向PLC发送数据包。请注意,为了获取连接设备的IP地址而破坏ICS网络和扫描工业网络不在本工作的范围内,一般是通过我们IT世界典型的攻击载体,如受感染的USB和脆弱的web服务器进行网络攻击,然后运行NMAP, SNMP或其他网络扫描器获取目标IP地址。我们的攻击场景是基于网络的,可以由任何网络访问目标PLC的攻击者成功发起。在本工作中,攻击面是设备设计和软件实现相结合的; 更准确地说,它是网络栈、PLC特定协议和PLC操作系统的实现。
与典型的注入攻击一样,我们将恶意代码(TOD中断)补丁到目标PLC的原始逻辑代码中。攻击者的代码位于主代码(OB1)的最开始,CPU在每个单独的执行周期中检查是否满足中断条件。这意味着,攻击者的代码将始终被检查,但只有当CPU时钟的日期和时间与攻击者设置的日期和时间匹配时才会执行。
四、实验评估
为了评估由于我们的补丁在执行用户程序(OB1)时可能产生的干扰,我们测量了OB1在三种不同场景下的执行周期时间:
- 在正常运行时,即在给PLC打补丁之前。
- 在空闲攻击中,即在给PLC打补丁之后和中断被激活之前。
- 激活攻击,即在中断被执行之后。
我们为每个场景记录了800个执行周期,计算了算术平均值和中位数值,然后在箱线图中显示所有的度量,如图3所示。
图3
执行补丁OB1的计算平均值约为2 ms,与执行原始OB1的平均值(约为1.75 ms)略有不同。也就是说,在处理补丁OB1的过程中,检查每个执行周期的中断情况,不会干扰待控制的物理进程。根据我们的分析,我们可以得出结论,ICS操作员可能只有在需要被感染的PLC运行程序时才能检测到我们的补丁。五、总结
在本文中,我们提出了一种新的攻击方法,在特定的日期和时间危及S7 PLC,而不需要攻击者当时连接到目标设备。为了实现实际应用,我们对工业环境中使用的真实硬件和软件进行了攻击,并且可以在确定的时间成功地将CPU切换到停止模式,即使攻击者的机器是脱机的。攻击者可以根据自己的意愿给PLC打补丁,并在稍后激活补丁,并且补丁不会干扰控制逻辑的执行过程,也不会超过允许的最大执行周期时间。从安全的角度出发,提出了控制逻辑的保护和检测等防范措施。
[1]Siemens. Modular PLC controllers SIMA TIC S7, 2014. Avail-
able at: http://www.automation.siemens.com/ mcms/programmable-
logic-controller/en/simatic-s7-controller.
[2]Electrical engineering Blog. The top most used PLC systems around the
world. Electrical installation & energy efficiency, May 2013. Available
at: http://engineering.electrical-equipment.org/electrical-distribution/the-
top-most-used-plc-systems-around-the-world.html.
[3]R. M. Lee, M. J. Assante, and T. Conway, "Analysis of the cy-
ber attack on the Ukrainian power grid," Technical report, SANS
E-ISAC, March 18 2016. Available at: https://ics.sans.org/media/E-
SAC_SANS_Ukraine_DUC_5. pdf
[4]G. liang, S. R. Weller, J. Zhao, F. Luo, and Z.Y . Dong, "The
2015 Ukraine blackout: Implications for false data injection at-
tacks," IEEE Transactions on Power Systems, 2016, doi: 10.1109/TP-
WRS.2016.2631891
[5]T. De Maizière, "Die Lage Der IT-Sicherheit in Deutschland 2014,"
The German Federal Office for Information Security,2014. Avaliable at:
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/
Lageberichte/ Lagebericht2014.pdf
[6]J. Klick, S. Lau, D. Marzin, J. Malchow, and V . Roth, "Internet-facing
PLCs-a new back orifice," in Black Hat USA 2015, Las Vegas, USA,
2015.
[7]A. Spenneberg, M. Brüggemann, and H. Schwartke, "PLC-blaster: A
worm living solely in the PLC," in Black Hat Asia, Marina Bay Sands,
Singapore, 2016.
[8]N. Govil, A. Agrawal, N. O. Tippenhauer, "On Ladder Logic Bombs
in Industrial Control Systems," January, 2018, dio: 10.1007/978-3-319-
72817-9_8.
[9]A. Keliris, and M. Maniatakos, "ICSREF: A framework for automated
reverse engineering of industrial control systems binaries," in 26th
Annual Network and Distributed System Security Symposium, NDSS
2019.
[10]B. Lim, D. Chen, Y . An, Z. Kalbarczyk, and R. Iyer, "Attack induced
common-mode failures on plc-based safety system in a nuclear power
plant: Practical experience report," in 2017 IEEE 22nd Pacific Rim
International Symposium on Dependable Computing (PRDC), pages
205–210.
[11]K. Sushma, A. Nehal, Y . Hyunguk, and A. Irfan, "CLIK on PLCs!
Attacking Control Logic with Decompilation and Virtual PLC," 2019,
dio: 10.14722/bar.2019.23xxx.
[12]H. Hui, and K. Mclaughlin, "Investigating Current PLC Security Issues
Regarding Siemens S7 Communications and TIA Portal," 5th Interna-
tional Symposium for ICS & SCADA Cyber Security Research 2018
(ICS-CSR 2018), pages: 66-72, dio: 10.14236/ewic/ICS2018.8.
[13]Y . Hyunguk, and A. Irfan, "Control Logic Injection Attacks on Industrial
Control Systems," 2019, dio:10.1007/978-3-030-22312-0_3.
[14]Siemens"SimaticProgrammingwithSTEP7V5.5."[Online].Available:
https://support.industry.siemens.com/cs/document/45531107/simatic
programming-with-step-7-v5-5?dti=0&lc=en-US
[15]M. A. A. H. Keith Stouffer, Victoria Pillitteri, “Guide to industrial
control systems (ics) security,” NIST special publication, 2015.
[16]“Framework for improving critical infrastructure cybersecurity version
1.1,” National Institute of Standards and Technology, Tech. Rep., 2018.
[17]D. Marzin, S. Lau, and J. Klick, “PLCinject Tool.” [Online]. Available:
https://github.com/SCADACS/PLCinject.
[18]H. Wardak, S. Zhioua and A. Almulhem, "PLC access control: a
security analysis," 2016 World Congress on Industrial Control Sys-
tems Security (WCICSS), London, 2016, pp. 1-6, doi: 10.1109/WCI-
CSS.2016.7882935.
[19]G. P . H. Sandaruwan, P . S. Ranaweera and V . A. Oleshchuk, "PLC secu-
rity and critical infrastructure protection," 2013 IEEE 8th International
Conference on Industrial and Information Systems, Peradeniya, 2013,
pp. 81-85, doi: 10.1109/ICIInfS.2013.6731959.
[20]W. Alsabbagh and P . Langendörfer, "A Remote Attack Tool against
Siemens S7-300 Controllers: A Practical Report," presented at 11.
Jahreskolloquium Kommunikation in der Automation (KommA 2020),
Lemgo, Germany, Oct. 29, 2020.
[21]W. Alsabbagh and P . Langendörfer, " A Stealth Program Injection Attack
against S7-300 PLCs," to be presented at the 22nd IEEE International
Conference on Industrial and Technology (ICIT 2021), V alencia, March
10-12, 2021.