A Stealth Program Injection Attack against S7-300 PLCs(针对S7-300 PLC的隐形程序注入攻击)

最新推荐文章于 2025-03-21 17:15:12 发布
最新推荐文章于 2025-03-21 17:15:12 发布
阅读量2.3k 收藏 2
点赞数 4
分类专栏: 工控安全 # 工控安全之攻击篇 文章标签: 网络 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45877880/article/details/121548021
版权
本文揭示了西门子S7-300 PLC的潜在安全风险,通过重放攻击破坏其密码保护,从PLC窃取字节码并反编译为STL代码。研究了如何执行注入攻击并隐藏痕迹,实现隐形程序注入,同时提出了防御建议。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

针对S7-300 PLC的隐形程序注入攻击

一、摘要

  在本文中,我们展示了S7-300 PLC的脆弱性,并证明了利用PLC中运行的逻辑程序的执行过程是可行的。我们讨论了一种危及密码保护的PLC的重放攻击,然后展示了如何从目标检索字节码并将字节码反编译为STL源代码。之后,我们将介绍如何执行典型的注入攻击,这表明即使对代码进行非常微小的修改也足以伤害目标系统。最后,我们将重放攻击与注入方法相结合,以实现更强大的攻击——隐形程序注入攻击——它可以通过使用伪PLC来隐藏先前的修改,模拟真实受感染的设备。对于真实场景,我们使用S7-300 PLC在真实工业环境中实施了所有攻击。我们最终建议采取缓解措施来保护系统免受此类威胁。

二、介绍

  我们的重点是研究利用西门子S7-300可编程逻辑控制器的可能性,下图1显示了我们在本工作中执行的五种攻击场景的概述,包括:
(1) 危及可编程逻辑控制器的安全性。
(2) 从PLC中窃取控制逻辑程序。
(3) 将盗取的字节码反编译为STL源代码。
(4) 感染控制逻辑代码。
(5) 对ICS操作员隐藏正在进行的注入攻击。
攻击场景概述

图1

三、场景分析

(一)损害可编程逻辑控制器的安全措施

  西门子PLC通常有密码保护,以防止未经授权访问和篡改其设备中运行的逻辑程序。本文中,我们使用重放攻击,删除PLC设置的密码,而不改变目标PLC的当前配置。PLC上的典型重放攻击包括记录与TIA门户/PLC发送的特定请求/响应相关的数据包序列,然后在未经授权的情况下将捕获的/精心编制的数据包发送到目标。从技术上讲,当将密码写入S7-300 PLC时,它实际上嵌入SDB块中,SDB块由静态字节0x3042定义,精确地说是在块编号0000:0x30303030中,因此,在执行任何函数或命令之前,加载过程首先检查SDB0块(0x304230303030),以查看是否已设置密码。我们这里有两种情况:
  (1)PLC没有密码,我们可以通过在PLC和TIA门户之间发送之前捕获的包含设置新密码的加载过程序列,轻松设置新密码。
  (2)PLC已经有了一个密码,我们想用一个新的密码更新它,或者完全删除密码。在本文中,我们只对第二种情况感兴趣,即PLC已经有密码保护。
  对于PLC已经有密码保护的情况,块SDB0有一个密码,要更新/删除密码,在进行任何更改之前,用户应始终提供旧密码。当合法用户使用新密码更新PLC时,PLC无法用新密码直接覆盖SDB0。这意味着PLC首先需要清除此块以前的内容中,然后将新密码写入该块。这个有趣的发现触发了这样一个想法:在用新密码更新旧密码期间,我们可以使用捕获旧的加载过程序列来操纵密码的设置。我们使用Wireshark作为网络嗅探器记录TIA门户和PLC之间的整个密码修改过程,过滤生成的数据包,只保留负责删除块SDB0内容的数据包,忽略将新密码写入SDB0的数据包。这样

最低0.47元/天 解锁文章
linux plc网络攻击,PLC攻击类型研究分析
weixin_33728774的博客
05-04 3153
引言本文章结合作者在工控攻击以及协议分析方面的研究,对工控攻击类型进行分析。当前接入互联网的PLC越来越多,暴露的攻击路径也越来越多,导致其更加容易遭受到攻击。本文主要对PLC攻击进行简要的分析研究,为之后的安全防御措施的提出提供理论基础。一、攻击类别本文主要将针对PLC攻击分为如下四种类型扫描、探测攻击DDospayload inject中间人攻击二、攻击阐述2.1 扫描、探测攻击攻击目的:...
通过Wireshark抓包分析PROFINET网络通讯报文之二
gongkongzhuanjia的博客
08-23 3602
在系统启动之前,控制器会对网络中的所有PROFINET设备进行寻址,在寻址完成之后进行主从站的配置写入,当我们使用工程工具将工程配置下载到控制器与网络内所连接的从站设备时,主从站设备开始尝试通讯连接,在建立连接之前一般存在三个步骤:“检查名称”、“检查IP”与“设置IP”,三个步骤依次进行。在建立连接时,基于从工程工具下载的组态数据,控制器会先发出“DCPIdentify.req”报文检查所组态的名称是否存在,如果具有所请求名称的相应IO现场设备做出回应,则进行下一步骤,如图-
工控安全| 西门子S7-300攻击分析
weixin_43977912的博客
01-10 2287
一、概述 随着等保2.0的普及,工控安全大家也越来越重视,研究工控安全的小伙伴也越来越多。工控安全主要包括工控设备私有协议的安全分析,工控设备固件系统安全以及工控设备应用程序安全等。西门子PLC广泛应用于工业控制系统,本文主要描述西门子PLC系列S7-300攻击过程与思路,并介绍演示一些适合小伙伴们学习的工控工具和框架。如有错误之处,欢迎指正,共同学习进步。 二、环境描述 前几天疫情待在家,PLC的设备拿不到,但是咱的任务不能落下呀,我在网上找了一个好用的S7模拟器,压缩包打开如下: 其实我们需要用到的
基于PN-DCP协议开发PROFINET快速配网拓展功能
最新发布
a2435662352的博客
03-21 656
这个快速配网拓展功能基于PN-DCP协议(PROFINET Discovery and basic Configuration Protocol)开发,基于协议拼接一个完整的数据帧,通过RAW_Socket的方式将数据帧发到数据链路层中。第一阶段主要实现:发现网络中所有支持PN-DCP协议的设备并获取它们的信息、设置网络中支持PN-DCP协议的设备的IP地址和设备名称。由于网络上只有基于Python开发的PN-DCP功能库,因此在这里基于C++从组装帧开始实现这个功能。拓展功能与PNConfigLib结合一
一种针对西门子S7-300控制器的远程攻击工具的报告
jiangdie666的博客
11-04 990
2022-ARemoteAttackToolAgainstSiemensS7-300ControllersAPracticalReport
一种能够实现恶意代码植入时间和攻击时间不同步的新型PLC注入攻击
weixin_43915129的博客
04-13 685
A New Injection Threat on S7-1500 PLCs Disrupting the Physical Process Offline 文章目录一、摘要二、相关技术介绍(一)PLC的物理架构(二)S7commplusV3协议介绍三、攻击过程介绍(一)补丁阶段----PATCHING PHASE(二)攻击阶段----ATTACK PHASE四、应对策略 一、摘要 本文介绍了一种新型的攻击注入技术,能够在不连接到目标或其所在网络的情况下发起攻击。选择进行攻击测试的Siemens的最新PL
命令注入攻击实验
m0_63645854的博客
04-10 165
分别完成 DVWA 中命令注入攻击的三个级别的攻击任务。2. medium 级别。3. high 级别。
PROFINET协议-DCP实践
遥远的星星
12-20 8060
这里就上篇文章《Profinet协议解析-DCP》内容进行实践,通过实验验证各操作的准确性,并且也介绍一些基本的通信分析方法,不必使用昂贵的抓包工具(某东200左右),使之成为人人触手可及的实验方式。 搞这个东西的,基本都属于工控行业。,目前国内的工控业属于比较苦逼的行业,当然只限于研发相关岗位,毕竟这是那部分干活的人,说好听点就是为工控业崛起而奋斗。所以吧大家手上也没有多少money,就提供一种简陋的方式,公司有工具的另说。有人可能会问为什么不让公司提供或购买?话说当采购流程这个...
PROFINET协议解析-DCP
热门推荐
遥远的星星
12-15 1万+
目录 一 设置 Set(请求) 二 设置Set(应答) 三 识别 Identify(请求) 四 识别 Identify(应答) DCP全称Discovery and basic Configurat10n Protocol,发现和配置协议,如图1所示,其工作在OSI七层中的第二层-数据链路层,所以主要的识别站点的ID就是MAC地址。DCP在PROFINET中设置(Set),识别(ldentify),Hello,获取(Get)四大功能。下面将以Set和Identify为例分别介绍。 ...
二、Profinet常用的通信协议
EtherCAT
02-24 555
Profinet发现和配置协议(PN-DCP):IO-Supervisor根据IO-Controller的硬件配置为连接分配一个参考,并给出具体的IP地址,这个阶段与ARP一起完成。Profinet输入输出提供商状态(PNIO-PS):类似于PNIO,其中服务状态被添加到交换中,这对于IO-控制器和IO-设备之间的循环实时和等时实时数据包来说是可选的。Profinet输入输出(PNIO):是使用Profinet-IO版本2或3在IO控制器和IO设备之间发送循环实时和同步实时数据包的应用。
ICSFUZZ:操纵I/O、二进制代码重用以及插桩,来Fuzzing工业控制应用程序
qq_40229814的博客
03-10 800
介绍了国际上目前FUZZING PLC的优秀工作
西门子网络拓扑中文手册
08-12
主要讲述如何使用STEP7制作西门子网络进行硬件拓扑工作
西门子通讯协议
12-19
This is an addendum to the costumer bulletin entitled Communication Connections between the ADVIA 1650 Workstation and a Host Computer, PN TN9-0155-16, issued in February 2001.
PLC攻击(一):应用层攻击
qq_40229814的博客
11-16 1481
这三个工作有一个核心共同点,那就是都是PLC控制逻辑指令恶意利用,加上网络攻击中的中间人攻击方式,达到了对PLC应用层的攻击
工业控制应用程序二进制的秘密
m0_62396648的博客
07-01 572
调试器处理程序之后是导入库F/FBS的子程序。每个静态链接的F/FB(function block)由两个子例程组成:一个子例程执行其主要功能(staticlib),另一个子例程初始化其本地内存(staticlib init)。与PLC编程器直接开发的代码相对应的用户自定义F/FB以类似的方式放置在每个F/FB的静态链接库之后 :首先是执行其主要功能的子程序(FB),然后是其初始化子程序(FB INIT)。倒数第二个子例程是主函数,在Codesys中名为PLC_PRG。
西门子S7系列中间人攻击:防御和流量异常检测(三)
weixin_43977912的博客
02-11 1476
前言: 互联与共享成为工业控制系统新的发展方向,工控系统与企业办公网和互联网逐渐相连,工业控制网络环境变得越来越开放。工业控制系统需从设备安全和信息数据安全两方面保障系统稳定运行,从 ICS 自身结构看,由于通信协议相对简单、操作系统和软件没有相应的防护措施,这些漏洞都可被利用进行破坏性的操作 ;从外部网络环境看,ICS 广泛使用 TCP/IP 等通信协议,导致传统的 IT 系统攻击行为蔓延到工控网络,致使工业控制系统面临更大的安全威胁。 前两篇我主要讲述了中间人攻击的方式和对PLC的控制操作,今天来谈一下
S7Comm Plus 协议研究
hhd1988的专栏
09-28 8247
1、概述 最近入手了一个新版本西门子S7-1200PLC,固件版本为V4.2.3,通信协议为S7comm-Plus,已经全面支持通信过程的认证和数据加密。其实,早在2016年4月PLC蠕虫被提出之后,V4.0及其之后的固件版本已全面启用S7comm-Plus协议,安全性有较大的提升,简单粗暴的重放攻击再也不那么凑效了。2019年8月的blackhat大会上,以色列研究人员成功开发出模拟TIA Portal的伪工作站,可成功与新版本的西门子PLC(S7-1200、S7-1500)进行交互,并进行启/停、逻辑
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值