Patch Now and Attack Later - Exploiting S7 PLCs by Time-Of-Day Block(先打补丁后攻击——基于S7 PLC的TOD漏洞)

最新推荐文章于 2022-11-04 14:05:51 发布
最新推荐文章于 2022-11-04 14:05:51 发布
阅读量3.6k 收藏 2
点赞数 3
分类专栏: 工控安全 # 工控安全之攻击篇 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45877880/article/details/121362524
版权

先打补丁后攻击——基于S7 PLC的TOD漏洞

一、摘要

  工业控制系统(ICSs)体系结构由可编程逻辑控制器(PLC)组成,其中一端与工程站通信,另一端控制某个物理过程。在本文中,我们证明了一些PLC是脆弱的,并证明了利用正在PLC中执行的逻辑程序是可行的。我们通过注入一个Time-of-Day (TOD)中断代码来锁定逻辑程序,该中断代码在攻击者希望的某个时间中断逻辑控制的执行顺序。这种攻击是首次允许外部对手在访问暴露的PLC后修补恶意代码,让他们的攻击在被感染的设备内闲置,然后稍后激活攻击,甚至不需要在攻击时间与目标PLC连接。与之前的所有工作相比,这种新方法为攻击者打开了破坏PLC的一扇新大门,攻击者可以在攻击阶段处于离线状态。对于一个真实的场景,我们在一个使用S7-300 PLC的真实的小型工业系统设置上实现了我们的攻击,开发了一个已经发布的叫做PLCinject的工具来运行我们的实验。最后,我们提出了一些潜在的缓解方法,以保护系统免受此类威胁。

二、介绍

(一)攻击方式及工具

  传统的控制逻辑攻击是通过修改或替换原程序代码,将恶意代码或块下载到目标设备上运行在目标PLC上。而且,以前的所有注入攻击都是在线进行的,并且严格要求对手连接到目标PLC,直到攻击运行。我们的新方法的特点是不需要在攻击时访问目标系统的,攻击者可以在不连接网络的情况下在特定时间离线激活他们的攻击。为了进行我们的实验,我们开发了一个已经发布的攻击工具,叫做PLCinject。我们将开发S7 PLC的利用分为两个阶段:
1) 在Simatic软件中,用中断块,即组织块10(本文其余部分称之为OB10)来修补PLC的控制逻辑程序。这是在线完成的。
2) 激活在特定的日期和时间注入的补丁,而不需要在那个时间连接到目标PLC。这是离线完成的。

(二)PLC

(1)PLC执行环境

  西门子PLC运行一个实时操作系统(OS),该操作系统通过如图1所示的四个步骤循环执行用户程序。
简化的PLC循环顺序

图1

(2)PLC操作系统

  西门子为开发PLC程序的工程师提供他们的全面集成自动化(博途TIA)门户软件。它由两个主要部分组成:

  1. Step 7作为PLC和WinCC的开发环境来配置人机界面(HMIs)。
  2. 工程师能够使用以下编程概念之一对PLC进行编程:梯形图(LAD)、功能块图(FBD)、结构化控制语言(SCL)和语句列表(STL)。

(3)用户程序

  PLC程序分为以下单元:组织块(OBs)、函数(FCs)、功能块(FBs)、数据块(DBs)、系统函数块(SFCs)、系统功能块(SFBs)和系统数据块(SDBs)。OBs、FCs和FBs包含实际代码,而DBs为数据结构提供存储,SDBs为当前的PLC配置提供存储。一个简单的PLC程序至少由一个称为OB1的组织块组成,与传统C程序中的main()函数类似。

(4)PLC周期

最低0.47元/天 解锁文章
工控小白2021
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux plc网络攻击,PLC攻击类型研究分析
weixin_33728774的博客
05-04 3007
引言本文章结合作者在工控攻击以及协议分析方面的研究,对工控攻击类型进行分析。当前接入互联网的PLC越来越多,暴露的攻击路径也越来越多,导致其更加容易遭受到攻击。本文主要对PLC攻击进行简要的分析研究,为之后的安全防御措施的提出提供理论基础。一、攻击类别本文主要将针对PLC攻击分为如下四种类型扫描、探测攻击DDospayload inject中间人攻击二、攻击阐述2.1 扫描、探测攻击攻击目的:...
无需在线攻击-通过时间块利用 S7-1500 PLC
jiangdie666的博客
10-16 1591
2022-No Need to be Online to Attack - Exploiting
S7-1200 PLC的数据类型
赵一舟的博客
11-24 1万+
今天就给大家介绍一下S7-1200 PLC的数据类型。除了基本数据类型之外,还支持一些复杂的数据类型,包括结构数据类型Struct、PLC数据类型UDT、数组Array、系统数据类型SDT、硬件数据类型DB_ANY、参数数据类型Variant、String和Char数据类型、WString和WChar数据类型、DTL数据类型等。就基本数据类型而言,S7-1200 PLCS7-200/200 SMART PLC的也有不同,这篇文件中我们介绍基本数据类型(复杂数据类型下一篇中介绍),基本数据类型包括位、字节
date类型_S7-300中有太多与“时间”有关的数据类型,它们之间关系如何?
weixin_39964869的博客
11-29 679
一、有关时间的数据类型1、S5TIME。长度为16位,包括时基和时间常数两部分,其数据格式如图1.1所示。详细说明可参见《S7-300/400进阶笔记8:深入浅出的认识一下S7的定时器》 。图1.1 S5TIME数据结构2、IEC时间(TIME)。长度为32位,时基为固定值1ms,数据类型为双整数,所表示的时间值为整数值乘以时基,其格式为:T#aaD_bbH_ccM_dds_eeeMS详见《S7-...
一种针对西门子S7-300控制器的远程攻击工具的报告
jiangdie666的博客
11-04 693
2022-ARemoteAttackToolAgainstSiemensS7-300ControllersAPracticalReport
西门子编程使用的OB块解释
t15032286291的博客
04-17 1万+
1、自由循环组织块OB1      S7  CPU启动完成后,操作系统循环执行OB1,OB1执行完成后,操作系统再次启动OB1。在OB1中可以调用FB、SFB、FC、SFC等用户程序使其循环执行。除OB90以外,OB1优级最低,可以被其他OB中断。OB1默认扫描监控时间为150ms(可设置),扫描超时,CPU自动调用)B80报错,如果程序中没有建立OB80,CPU进入停止模式。2、日期中断组...
New related-key rectangle attacks on reduced AES-192 and AES-256
02-20
In this paper, we examine the security of reduced AES-192 and AES-256 against related-key rectangle attacks by exploiting the weakness in the AES key schedule. We find the following two new attacks: 9...
Design and Implementation of Real-Time Multi-Sensor Vision Systems 2017
01-16
For more than a century, photographs were taken by exploiting the chemical reaction of light rays hitting the photographic film. The photographic film is a plastic film that is coated with light-...
x64dbg-exploiting:您想使用 x64dbg 而不是免疫调试器吗?
05-31
只需下载x64dbg-exploiting(用于Windows的x64dbg + mona + deps + python 2安装程序+其他插件): 警告:使用 ASCII 路径安装所有东西。 解压缩到ASCII PATH文件夹中(我使用:C :) Python 安装程序包含在 x64dbg...
论文研究-eduction of the peak-to-average power ratio of OFDM by exploiting nonlinear transform.pdf
08-16
降低正交频分复用峰均比的非线性变换方法,孟银阔,殷勤业,正交频分复用(OFDM)由于具有能够抵抗频率选择性衰落,较高的频谱效率及易于实现的优点,正在得到日益广泛的应用;但是,具有较高的
藏经阁-Cracking-The-Lens-Exploiting-HTTPs-Hidden-Attack-Surface.pdf
08-26
藏经阁-Cracking-The-Lens-Exploiting-HTTPs-Hidden-Attack-Surface
公网开放的plc设备——一种新型的后门
weixin_34191845的博客
03-08 1237
路人甲 · 2016/04/05 17:330x00 简介本文主要是从工业控制网络必备的组件 PLC (可编程控制器)出发,阐明了一种新型后门的实现。本文主要内容是来自 BLACK HAT 2015 上柏林自由大学 scadacs 团队发表的演讲,这是他们的paper原文Internet-facing PLCs - A New Back Orifice。我会滤掉他们论文凑字数的部分,并在他们给出的...
西门子PLC内部的数据类型大全
热门推荐
chengjl8的博客
01-31 2万+
西门子PLC的数据类型种类繁多,本文进行了收集,并指明了适用范围、长度,供需要进行数据采集和分析的朋友们参考,本表格整理自博图V14,不保证更高级版本不会新增数据类型,请使用中注意。
Securify之旅1之TOD漏洞剖析
DongAoTony的博客
04-17 5022
在正式开始学习分享智能合约审计工具Securify V2之前,我们较深入剖析一下,后面会提到的漏洞类型TOD
S7-300中各个块之间的联系以及OB块的功能和应用场合
qq_45252077的博客
05-13 9273
S7-300中各个块之间的联系以及OB块的功能和应用场合
Time-of-Day Sychronization In Simatic PLC&PC
BossTerry的博客
04-06 355
鉴于在西门子PLC和PC等组成的设备网络中实现时钟同步过程中发现复杂度超出预期,遂出此文马克一下以便持续验证。使用方式以网络时钟协议(NTP,Network Time Protocol)为主。--SHI
S7-1200和S7-1500支持哪些错误处理OB
Yuri001-2021的博客
04-15 1884
OB按优级大小执行,如果所发生事件的优级高于当前执行的OB ,则中断此 OB 的执行。优级相同的事件,将按发生的时间顺序进行处理。 与S7-300/400比较,S7-1200/1500的错误处理有了较大的变化,本文主要介绍S7-1200/1500所支持的错误处理组织块以及CPU对这些错误的响应。S7-300/400用于错误处理的组织块,请参考链接:http://support.automation.siemens.com/CN/view/zh/114992...
西门子PLC中各个组织块OB作用(OB1、OB100……)
weixin_30783913的博客
03-09 6535
1、自由循环组织块OB1S7CPU启动完成后,操作系统循环执行OB1,OB1执行完成后,操作系统再次启动OB1。在OB1中可以调用FB、SFB、FC、SFC等用户程序使其循环执行。除OB90以外,OB1优级最低,可以被其他OB中断。OB1默认扫描监控时间为150ms(可设置),扫描超时,CPU自动调用)B80报错,如果程序中没有建立OB80,CPU进入停止模式。2、日期中断组织块...
西门子plc里OB块的功能
microcosmv的博客
06-22 6362
1.1 组织块(OB)概述…………………………………………………………………………………… 1.2 程序循环组织块(OB1)…………………………………………………………………………… 1.3 时钟中断组织块 (OB10到OB17) …………………………………………………………….. 1.4 时间延迟中断组织块 (OB20 到OB23)…………………………………………………….. 1.5
exploiting bert for end-to-end aspect-based sentiment analysis
最新发布
09-16
Bert是一种在自然语言处理中被广泛...总之,“exploiting bert for end-to-end aspect-based sentiment analysis”意味着通过对Bert进行修改和扩展,将其应用于端到端的方面级情感分析任务中,以提升模型的性能和效果。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值