PLC攻击(一):应用层攻击

最新推荐文章于 2025-02-16 23:49:51 发布
原创 最新推荐文章于 2025-02-16 23:49:51 发布 · 1.7k 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

本文详细介绍了针对西门子S7系列PLC的三种攻击方法,包括解除PLC密码保护、通过反编译进行控制注入以及利用TIME-OF-DAY块发起离线攻击。攻击者通过中间人攻击、程序注入和时间中断等手段,绕过安全机制,对PLC的控制逻辑进行篡改,展示了工业控制系统面临的安全威胁。

转载请注明出处:信安科研人
please subscribe my official wechat :信安科研人
获取更多安全资讯

参考文献:

A Stealth Program Injection Attack against S7-300 PLCs

A Control Injection Attack against S7 PLCs -Manipulating the Decompiled Code.

Patch Now and Attack Later - Exploiting S7 PLCs by Time-Of-Day Block

按照时间顺序自上至下排序的三个工作全是来自🇩🇪

IHP – Leibniz-Institut für innovative Mikroelektronik, Frankfurt (Oder), Germany Brandenburg University of Technology Cottbus-Senftenberg, Cottbus, Germany

的Wael Alsabbagh以及 Peter Langendörfer所做,该团队从PLC的应用层出发,主要针对西门子s7系列的PLC,到目前为止,设计了三种攻击方式。

方式一 一种针对S7-300度隐蔽的程序注入攻击

一 研究背景

背景一 PLC通信协议

  • PLC一般通过TCP/IP与工作站通信

  • 西门子的TIA和PLC一般通过S7通信

背景二 PLC遭受的威胁较大

二 研究思路

首先损害plc的安全性,并更改运行的控制逻辑程序。

第二,从控制中心的工程软件中隐藏受感染的逻辑,该软件可以从PLC远程获取逻辑并揭示控制逻辑的感染。(怎么从远程感染不是本文的重点)

三 研究内容

实验架构

PLC读取来自传感器1、2、3和4的输入信号。当水箱充满水时,安装在两个水箱上的两个上部传感器 (Num. 1,3) 向设备报告,而当水箱为空时,两个下部传感器 (Num. 2,4) 向设备报告。然后,PLC根据接收到的传感器读数为泵提供电源,放水至水箱。

攻击者模型和攻击面

  • 攻击者已经获取网络访问权限,切可以通过102端口发送数据包至PLC

  • 攻击者无TIA软件,也不了解PLC控制生产链具体细节

  • 攻击者不知道PLC的通信协议以及现在所运行的控制逻辑程序

 

攻击方法详述

A.损害PLC的安全性——解除PLC的密码保护

挑战: 读写PLC需要8个字符长度的密码

方法一般有两种,一种是重放攻击,通过提取,密码的hash,然后发送至PLC

另一种是暴力攻击,按照hash自列密码的结果,暴力破解。

答:

最低0.47元/天 解锁文章
工控系统安全攻防:PLC 设备漏洞挖掘与防护实践
2501_92585583的博客
06-27 874
根据《中国工业控制系统安全白皮书》,85%的工控设备存在高危漏洞,其中PLC(可编程逻辑控制器)作为核心控制单元,漏洞修复率仅为32%。建议用Wireshark抓包分析网络流量,某制造企业通过分析Modbus TCP报文,发现PLC设备存在未授权访问漏洞(CVE-2022-1234)。想象下这样的场景:某食品加工厂的包装线突然停止运转,不是因为设备老化,而是因为网络攻击者远程控制了PLC程序,导致价值千万的原料报废。时间线:2023年7月(漏洞发现)→ 8月(漏洞利用)→ 9月(修复完成)。
linux plc网络攻击,PLC攻击类型研究分析
weixin_33728774的博客
05-04 3204
引言本文章结合作者在工控攻击以及协议分析方面的研究,对工控攻击类型进行分析。当前接入互联网的PLC越来越多,暴露的攻击路径也越来越多,导致其更加容易遭受到攻击。本文主要对PLC攻击进行简要的分析研究,为之后的安全防御措施的提出提供理论基础。攻击类别本文主要将针对PLC攻击分为如下四种类型扫描、探测攻击DDospayload inject中间人攻击二、攻击阐述2.1 扫描、探测攻击攻击目的:...
网络安全-攻击流程-应用层
最新发布
WhiteNebula的博客
02-16 1249
应用层攻击针对OSI模型的第七层(应用层),主要利用协议漏洞、业务逻辑缺陷或用户交互弱点,直接威胁Web应用、API、数据库等服务。应用层攻击隐蔽性强且危害直接,需通过技术防护、流程管控和用户教育综合应对。
PLC工业协议报文攻击/重放攻击+DDOS+ARP欺骗
ShenZ的博客
10-19 1773
PLC重放攻击 、与PLC连接 连接PLC:tcp三次握手 1.SYN 2.SYN,ACK 3.ACK 二次认证:COTP+S7协议(七层公共协议模型) COTP-TPKT层十六进制复制出来(只需要03000016(也包括这段)之后的认证数据)【次认证】 S7协议-TPKT 同理(03000019 【二次认证】 二、操控 s7协议发送命令(03000024 write var)以电机为例:传bool参数false true 三、模拟发包 import socket import time sock
应用层的dos攻击
MingShenfree的博客
11-05 463
应用层协议比较多,本节介绍基于DHCP协议的dos攻击 DHCP(Dynamic Host Configuration Protocol)动态主机协议,通常被应用在大型的局域网中,主要作用是集中管理,分配IP地址,使得网络环境中的主机动态的获得IP地址,网关地址,DNS服务器地址等信息,并能够提高地址的利用率。 DHCP采用C/S模式,主机地址的动态分配任务由网络主机驱动。当DHCP服务器接受到来自网络主机申请地址的信息时,才会向网络主机发送相关的地址配置...
应用层攻击已经越来越让人头疼了
weixin_30256505的博客
08-03 302
最近将自己的香港的VPS由原来的CentOS 6.2 新装成windows server 2003 sp2后,开放的端口如下: TCP 1723 #用于 PPTP拨号访问google TCP 21 #用于FTP上传资料 TCP 80 #用于自己博客 TCP 3389 #远程桌面 可是最近的两天登录上去发现了...
Modbus PLC攻击分析:Smod渗透框架研究
weixin_43977912的博客
02-18 3031
前言: Modbus 是由Modicon公司1979年发行的,已经被广泛应用于工业控制现场的应用层协 议,如Modbus协议已被广泛应用于在监控和控制现场设备。Modbus协议最初是通过串行数据进行通信的,也就是Modbus Serial协议。随着工业现代化的发展,产生了Modbus TCP协议,即通过与TCP协议相结合来发送和接收Modbus Serial数据。Modbus的出现是为了使工业现场设备实时地接收和发送相关命令和数据,然后最重要的安全措施在Modbus的设计之初并没有被考虑进去。 通过前篇对
2024年最全Modbus PLC攻击分析:Smod渗透框架研究(1)
2401_84267735的博客
05-01 2217
Smod是个模块化的Modbus渗透测试框架,可以用来测试Modbus协议所需的各种诊断和攻击功能。这是个使用Python和Scapy的完整的Modbus协议实现。这个软件可以在python 2.7.x下的Linux / OSX上运行。近年来,Summery SCADA(过程控制网络)系统已经从专有封闭网络转向开源解决方案和支持TCP / IP的网络。这使他们容易受到我们传统计算机网络面临的相同安全漏洞的影响。由于Modbus/TCP协议简单且容易实现,而且广泛应用于电力、水力等工业系统。
2024年网安最新Modbus PLC攻击分析:Python和Mbtget读写PLC_modbus重放攻击脚本
2401_84301853的博客
05-03 1055
虽然TCP中没有了CRC校验,但是数据包中已经进行了校验,再加上工业PLC网络大部分不对外开放,所以Modbus TCP通信也是相对比较安全的,但是如果攻击者进入了工业系统内网中,那后果不堪设想。通过前两篇模拟器和Smod框架的讲解,相信大家对Modbus有了大概的认识,本文主要是通过Python代码和Mbtget工具多种姿势读写Modbus PLC,让大家对Mdobus有更深入的理解。3、设置读取保持寄存器的值(1为设备ID,100为开始读取的地址,25为读取的位数)
应用安全系列之二十六:应用层DOS攻击
jimmyleeee的专栏
04-08 4193
DoS是Denial of Service的简称,即拒绝服务,造成DoS的攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务。主要手段就是通过非正常方法消耗计算机的资源,包括:带宽、内存、CPU、文件、数据库连接等。 说到DOS攻击,可能很多人立刻就想到了各种协议级别的攻击,例如;TCP SYN FLOOD等,这里所说的DOS攻击不谈这些协议层的攻击,只谈论些在应用曾因为某些编码或者设计错误而导致的DOS攻击应用层的可能导致DOS攻击的主要有:注入攻击、权限控制、资源耗尽、Serv
WAF-应用层攻击保护测试对比
09-12
对比启明星辰、绿盟、安恒等品牌WAF在应用攻击保护时的策略防护能力。 二. 测试步骤 2.1 环境漏洞验证 验证序号 1 验证方法 用and 1=1和and 1=2验证注入漏洞 测试步骤 1. 在浏览器打开http://192.168.1.155/ypnew_view.asp?id=791正常页面 2. 修改浏览器URL:http://192.168.1.155/ypnew_view.asp?id=791 and 1=1-- 3. 修改浏览器URL:http://192.168.1.155/ypnew_view.asp?id=791 and 1=2-- 漏洞验证 若执行步骤2与步骤1均能正常访问页面,执行步骤3得出不同的访问页面,说明存在注入漏洞 验证结果 用户签字 2.2 防护效果测试 测试序号 1 测试项目 防止黑客利用注入漏洞获取数据库版本和操作系统信息 描述 获取数据库版本和操作系统信息是黑客入侵的前提,本项主要是测试WEB防护设备能否有效的防止数据库版本和操作系统信息的泄漏 测试步骤 1、 正常浏览192.168.1.155/ypnew_view.asp?id=791 2、 在攻击机浏览器中输入以下URL: http://192.168.1.155/ypnew_view.asp?id=791 and 1=2 union all select 1,2,3,4,@@version,'6',null,null,null,null,null,null,null,null from sysobjects-- 预期结果 数据库版本信息未泄露 备注 如出现下图,说明数据库版本信息泄露,WEB应用防护设备未起作用 测试结果 用户签字 测试序号 2 测试项目 防止黑客利用注入漏洞获取数据库库名 描述 数据库库名是黑客进行SQL注入时常获取的信息,有效地防护数据库信息可以能大大降低注入攻击的风险,本项主要测试WEB应用防护设备是否能防护数据库信息泄露漏洞 测试步骤攻击机浏览器中输入以下URL: http://192.168.1.155/ypnew_view.asp?id=791 and 1=2 union all select 1,2,3,4,db_name(),'6',null,null,null,null,null,null,null,null from sysobjects-- 预期结果 数据库信息未泄露 备注 若在测试结果中出现下图,说明没有防护效果。 测试结果 客户签名 测试序号 3 测试项目 防止黑客通过注入漏洞获取数据库表名信息 描述 当黑客成功获得数据库的版本和数据库库名后,数据库中表的名称和内容就是SQL注入攻击的下目标,本项主要测试WEB应用防护设备是否能防护获取数据库表名的攻击 测试步骤 1. 在攻击机浏览器中输入以下URL: 192.168.1.155/ypnew_view.asp?id=791 and 1=2 union all select 1,2,3,4,(select top 1 name from sysobjects where xtype='U' and name not in (select top 2 name from sysobjects where xtype='U')),null,null,null,null,null,null,null,null,null from sysobjects-- 2. 在攻击机浏览器中输入以下URL: 192.168.1.155/ypnew_view.asp?id=791 and 1=2 union all select 1,2,3,4,(select top 1 name from sysobjects where xtype='U' and name not in (select top 37 name from sysobjects where xtype='U')),null,null,null,null,null,null,null,null,null from sysobjects-- 预期结果 数据库table名未泄露 备注 如出现以下图示,说明WEB防护效果未起作用,数据库表泄漏 测试结果 用户签字 测试序号 4 测试项目 防止黑客利用update修改数据库的内容 描述 如果黑客成功获取了数据库和表的相关信息,将会尝试修改表内的数据,直接篡改网站内容,因此对于恶意修改数据库内容的入侵要求严格防护.本项将测试web防护设备是否能防护通过update方式修改数据库内容的恶意攻击 测试步骤 利用注入漏洞使用Update方式修改数据库内容 预期结果 数据库内容未被篡改 备注 攻击机中输入以下URL,如出现页面被篡改,说明防护失效 http://192.168.1.155/ypnew_view.asp?id=791 测试结果 用户签字 测试序号 5 测试项目 防止黑客利用注入漏洞获取后台账号信息 描述 后台管理员的账号密码信息如果泄露,黑客就可以对网站进行各种严重损坏客户利益的破坏,本项测试WEB应用防护设备能否有效防护网站管理员后台账号密码信息泄漏 测试步骤 利用注入漏洞获取后台账号信息 预期结果 不能获得后台用户名密码: 备注 当出现下图时,说明用户名密码被盗取,WEB应用防护设备无效果 打开http://192.168.1.155/admin/index.asp,输入用户名密码,可直接管理后台:http://192.168.1.155/admin 测试结果 客户签名
图和如何防御应用层攻击
05-01
图和如何防御应用层攻击 图和如何防御应用层攻击 图和如何防御应用层攻击
应用层(DNS/HTTP/HTTPS)攻击与防御原理
曹世宏的博客
05-16 8427
网络层攻击:TCP、UDP类攻击 网络层攻击可参考:网络层(TCP/UDP)攻击与防御原理 DNS类报文攻击防御 简要笔记: 针对DNS Anti-ddos ,针对缓存服务器 虚假源 (1)源认证 发送UDP 53的DNS请求 ---------------请用TCP 53的DNS请求 分为两种情况 客户端不支持TCP 53 被动模式:首包丢弃 服务端不支持TCP 53 Anti-d...
应用层拒绝服务攻击
weixin_40270125的博客
01-17 959
DDOS又称为分布式拒绝服务,全称是 Distributed Denial of Service,DDOS本是利用合理的请求造成资源过载,导致服务不可用。常见的DDOS攻击有SYN flood,UDP flood,ICMP flood等。 SYN flood是种最为经典的DDOS攻击。在SYN flood 攻击时,首先伪造大量的源IP地址,分别向服务器端发送大量的SYN包,此时服务器会返回SY...
针对应用层的DoS攻击
tzk
01-13 2929
(应用程序层攻击(也称为第7层攻击)可以是DoS或DDoS。 这些类型的攻击基于模仿人类与用户界面交互时的行为。 目标协议通常是HTTP,HTTPS,DNS,SMTP,FTP,VOIP和其他应用程序协议,它们具有可利用的弱点,允许DoS攻击) 针对应用层的DoS攻击有以下几种: 1、HTTP Flood HTTP泛洪是针对应用程序层的最常见攻击。 它比网络层攻击更难检测,因为请...
【工控安全】从0~1学习PLC攻击
Ms08067安全实验室
06-04 3084
前言MAC1100 PLC可编程逻辑控制器(PLC)是大连计控(DCCE)可编程逻辑控制器(PLC)系列中的款产品。早在2018年6月,CNVD官网通报了DCCE MAC1100 PL...
不触发警报的PLC攻击方法公布
weixin_33720956的博客
09-04 345
本文讲的是不触发警报的PLC攻击方法公布,研究人员发现黑客攻击新方法,恶意攻击者可在不被检测到的情况下,破坏并操纵可编程逻辑控制器(PLC)管理的物理过程。 该攻击方法于11月3号在黑帽欧洲2016安全大会上被公布,发布人是荷兰特温特大学分布式与嵌入式系统安全小组博士研究生阿里·阿巴斯,和法国Quarkslab研发工程师马吉德·哈舍米。 PLC是用于控...
应用层拒绝服务攻击--DDOS简介
杨春建的博客
08-21 2098
DDOS(Distributed Denial of Service)又称为分布式拒绝服务。DDOS本是利用合理的请求造成资源过载,导致服务不可用。  分布式拒绝服务攻击,将正常请求放大了若干倍,通过若干个网络节点同时发起攻击,以达成规模效应。这些网络节点往往是黑客们所控制的“肉鸡”,数量达到了定规模后,就形成了个“僵尸网络”。大型的僵尸网络,甚至达到了数万,数十万台的规模。如此规模的僵尸网
工控安全:S7-1200 PLC远程启停攻击实验
badingtan6376的博客
07-01 1195
工具及运行环境 root@kali:~# git clone https://github.com/dark-lbp/isf/ root@kali:~# cd isf/ root@kali:~/isf# python isf.py root@kali:~/isf# pip install -r requirements.txt 安装好所需python模块,运行isf.py无报...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值