OT网络深层攻防技术专题之二:PLC攻击技术最新进展

OT网络深层攻防技术专题之二:PLC攻击技术最新进展

时间:2024-10-22 作者:安帝科技 原创


编者按
俄乌战争加快了工业控制系统网络攻击的技战法创新,黎以冲突中的传呼机对讲机爆炸案刷新了对传统网络战的认知,人工智能、大模型降低了攻击者的时空成本。定向ICS恶意软件,PLC武器化、C2化,RTU勒索,OT网络深度横向移动,LOTL攻击,层出不穷;信息战、网络战、情报战到混合战,屡见不鲜,“关基”安全防护从未如此紧迫。
疫情之后网络安全行业并未如预期迎来高光时刻,卷死、死卷成了常态。卷未必是坏事,卷出思路来尝试,卷出时间来思考……OT网络安全如何回归工业本质,如何直面底层防御盲区?如何遏制网络攻击向动能攻击转化?如何守住关基安全最后一公里?强调关注“业务、人员和供应链”者有之,强调安全能力前置的“设计安全和默认安全”者有之,强调系统工程回归的“弹性工程和知情工程”者有之,强调关注“工业风险和安全运营”者有之,倡导内生的“内置安全、内嵌安全、出厂安全”者有之,等等。10月初,“五眼”联盟会同其日、韩、德、荷盟友推出了OT网络安全的六条原则,着重重申并强调了功能安全、业务理解、OT数据、分区隔离、供应链安全、人员意识,以保障OT环境功能安全、网络安全和业务连续性。
OT网络安全深层次问题是什么?ICS攻击技战术发展态势如何?未来产品、服务、解决方案走向何处?安帝科技试图对这些问题进行系统思考,尝试探寻自己的解决方案和发展路径。期望与业内同仁共同探讨,共同探索,共同成长。

ICS攻击技术最新进展

PLC(可编程逻辑控制器)是自动化和控制制造、能源、交通等多个行业设备的核心组件。随着工业4.0和物联网(IoT)技术的兴起,云化PLC、虚拟PLC纷纷涌现并投入应用,PLC产品的发展不仅增强了其传统的控制功能,还融入了数据分析、远程监控和智能决策等先进能力。然而,技术的演进同样带来了新的安全威胁。传统上我们所理解和认知的对PLC的攻击,主要是通过感染PLC破坏工业操作;实施拒绝服务攻击,使PLC无法正常工作;操纵篡改,改变生产过程;数据泄露,盗取敏感信息;设置逻辑炸弹,预置条件触发破坏;直接的物理破坏,直接损毁硬件等等。据安帝科技研究团队跟踪,发现了若干针对PLC的攻击新技术,例如DM-PLC、Evil PLC和PLC的C2化,这些攻击技术的策略、目的、实现方式不尽相同。DM-PLC通过建立隐蔽监控网络并利用“死亡开关”机制对物理过程产生直接影响,而不是通过加密数据来实施勒索。Evil PLC则将PLC作为攻击跳板,攻击和入侵其他网络系统。PLC设备被用作C2服务器,已在现实中成为攻击案例。这些进展颠覆了过去人们对PLC攻击的认识,即直接针对PLC本身,而新型的攻击是隐蔽地利用PLC实施更加复杂和持久的攻击,这不仅对OT环境的安全构成严重威胁,还对物理世界的安全带来严峻挑战。

一、PLC之勒索化

通常的勒索软件攻击,是一种恶意软件攻击,即攻击者通过加密受害者的文件或系统,限制其访问,并要求支付赎金以恢复访问权限。在OT网络中,目前已经出现了针对工业控制设备如PLC、RTU的勒索。

1、PLC勒索的概念
针对可编程逻辑控制器(PLC)的网络勒索攻击,通常认为是攻击者通过入侵OT(操作技术)环境中的PLC系统,锁定其控制功能或加密与其相关的数据,进而威胁受害者支付赎金以恢复正常操作。此类攻击利用PLC在工业自动化中的核心地位,对生产流程、设备运行及安全性造成严重影响。
文献研究中可查的PLC勒索软件,有典型的LogicLocker和ICS-BROCK。LogicLocker通过利用在Shodan上发现的PLC漏洞,进行横向和纵向移动,锁定受影响的PLC,加密PLC的配置,然后部署一个“逻辑炸弹”。ICS-BROCK检测并利用OT网络中的基于Windows的漏洞,通过地址解析协议(ARP)识别PLC,锁定受影响的PLC,部署一个“逻辑炸弹”,并对工程工作站进行加密。二者的后果可能是操作人员无法访问、监控PLC,从而造成工业过程或生产的中断。

图1:上图是DM-PLC的攻击场景,下图是DM-PLC的隐蔽监控网络

2、PLC的新型勒索
有研究者提出了一种新颖的PLC勒索攻击,称之为DM-PLC(Dead Man’s PLC),它与传统的勒索软件在实施勒索策略方面有所不同。DM-PLC不依赖于加密来实施勒索,而是通过建立一个隐蔽的监控网络,并在检测到任何偏差或超过赎金支付时限时,触发类似于“死亡开关”的机制,直接对物理过程产生影响。DM-PLC主要针对操作技术(OT)环境中的可编程逻辑控制器(PLC)进行攻击,其核心目标是通过控制PLC来影响物理设备和过程,而不是直接对计算机文件进行加密。
第一步:准备DM-PLC
识别并验证当前PLC项目:通过工程师站(EW)的在线功能,验证与PLC的连接,并确认项目文件与PLC上运行的代码一致。
识别PLC间关系:使用EW的设备和网络视图,了解PLC之间的通信关系。
识别核心代码块:了解PLC代码的执行周期和可中断的核心代码块。
第二步:部署DM-PLC
建立PLC间通信:在PLC之间建立通信,使用PUT/GET等库函数实现数据的发送和接收。
建立工程工作站与PLC间的通信:使用Snap7等开源库,实现EW与PLC之间的数据交换。
引入设备状态检查器:部署监控逻辑,以确保所有设备正常通信,一旦检测到异常则触发警报。
引入支持操作过程中断的代码:开发恶意代码块,当触发警报时,将所有输出设置为“ON”状态。
阻止受害者撤销所有更改:使用PLC密码保护和EW的磁盘加密,阻止受害者恢复更改。
第三步:激活DM-PLC
激活DM-PLC:在EW上激活DM-PLC,通过设置一个“启用”变量,使DM-PLC在所有PLC上生效。
DM-PLC勒索攻击的独特之处在于,一是利用现有功能:DM-PLC仅使用OT环境中的现有功能,如PLC的通信库和口令保护。二是构建专门的隐蔽监控网络:创建PLC和EW之间的隐蔽通信网络,用于监控攻击状态和检测任何偏差。三是响应和恢复策略的弹性:DM-PLC设计为能够抵抗OT环境中常见的响应和恢复实践。四是多层次要求:满足可部署性、与现有操作代码并行运行、不影响现有操作、抗干扰、包含篡改检测、能够执行广泛操作影响、需要密钥来交还控制权等要求。五是分阶段实施:从准备、部署到激活DM-PLC,每个阶段都有明确的目标和操作步骤。

3、PLC新型勒索的示例
研究者的实验室构建了验证环境,使用了两台PLC(西门子ET200S和S7-1200型号)和一台运行西门子TIA Portal V17编程代理的工程工作站(EW),构建了一个模拟OT环境的网络,其中包括PLC和EW之间的通信连接。PLC使用的是Siemens的TIA Portal编程软件,攻击者通过该软件与PLC进行交互。
在DM-PLC准备阶段,首先使用TIA Portal软件,攻击者找到并验证了控制PLC的当前项目文件。其次通过TIA Portal的“设备和网络”视图,攻击者确定了PLC之间的网络连接和通信协议。最后攻击者分析了PLC的程序,找到了执行操作的核心代码块。
DM-PLC部署阶段,在使用Siemens提供的PUT和GET通信库函数,在PLC之间建立了数据传输的通信会话。利用开源的Snap7库,攻击者在EW和PLC之间建立了通信,以便进行数据的读写。部署了一个监控系统,通过轮询和状态检查,确保所有设备都按照攻击者的预期运行。攻击者编写了恶意代码,当检测到异常或超过赎金支付时限时,该代码会触发,导致PLC输出异常。最后攻击者通过设置PLC口令和使用传统勒索软件技术对EW上的文件进行加密,以防止受害者恢复系统。
攻击者在EW上激活DM-PLC后,研究者测试了DM-PLC的功能,包括在网络断开、赎金支付时限到期和模拟受害者支付赎金的情况下的反应。结果显示DM-PLC能够按预期工作,即在检测到异常或时限到期时触发恶意操作,而在模拟支付赎金后能够停止攻击。

二、PLC之武器化

以色列工业网络安全公司在2022年一份研究报告中,提出并验证了一种称为邪恶PLC(Evil PLC)的一种新型网络攻击技术,它与传统针对PLC(可编程逻辑控制器)的攻击方法不同,不是将PLC作为攻击目标,而是将PLC作为攻击工具和跳板,利用失陷PLC来攻击和入侵其他网络系统。
1、PLC武器化的通用概念
PLC武器化(Weaponizing PLCs)是指通过操纵或修改可编程逻辑控制器(PLC)的配置、代码或数据,将其转变为一个攻击工具,用以发起网络攻击或实现未授权的网络访问。这种攻击方法涉及在PLC中植入恶意代码或逻辑,以便在工程师或维护人员使用工程工作站(EWS)与PLC进行通信、配置、故障排除或执行上传/下载操作时,恶意代码被触发执行,导致攻击者能够控制工程工作站、窃取敏感数据、破坏系统功能或进一步渗透目标网络。
PLC武器化通常利用如下方式实现,一是恶意编程:通过编写或修改PLC的程序代码,植入恶意逻辑。二是伪装数据:在PLC中存储看似正常的数据,但实际上包含恶意代码或指令。三是利用漏洞:利用工程工作站软件中存在的安全漏洞,当工程师执行常规操作时触发恶意代码的执行。四是社会工程:诱使工程师下载或上传含有恶意内容的项目文件。
PLC武器化的目的可能是为了实现初始网络入侵、横向移动、数据泄露、破坏关键基础设施或其他恶意目的。这种攻击方式对工业控制系统(ICS)和关键基础设施构成了严重威胁,因为它直接作用于控制工业过程的核心设备。
2、邪恶PLC的攻击场景
对于每个目标供应商平台,即不同品牌型号的PLC设备,需要其完整的生态系统,这主要包括工程师站软件、工程师站项目文件、专有协议(PLC和工程师站)、PLC固件和逻辑代码(字节码,文本代码)。
假设条件包括,PLC和工程工作站(EWS)之间的通信不受限制。EWS软件需要存在安全漏洞,以便攻击者可以利用这些漏洞执行恶意代码。攻击者需要能够访问目标PLC所在的网络。必须能够执行上传(upload)或下载(download)过程。
基于上述假设条件,可以想象的邪恶PLC攻击场景至少有如下两类:
一是将PLC武器化以实现初始访问:攻击者可以使用武器化的PLC来在内部网络上获得初步立足点,甚至是横向移动。
目前,利用Shodan和Censys在内的大多数公共互联网扫描服务,可以确定有数十万台ICS设备暴露在互联网上。这些面向互联网的设备通常缺乏安全性,允许任何人访问它们,修改参数,甚至通过下载程序改变它们的行为和逻辑。Team82的研究表明,攻击者可以利用面向互联网的PLC作为支点,渗透整个OT网络。攻击者不是简单地连接到暴露的PLC并修改逻辑,而是可以武器化这些PLC并故意造成错误,从而引诱工程师使用它们。作为一种诊断方法,工程师将执行一个上载程序,这将危及他们工作站。攻击者进一步控制工作站,在OT网络上站稳了脚跟。

图2:由PLC武器化感染工程师站

二是攻击系统集成商:攻击者可以针对系统集成商和承包商,作为进入世界各地许多不同组织和站点的手段。
因为OT网络管理中,第三方工程师和承包商管理OT网络,它需要与许多不同的OT网络设备和PLC交互。这给这个新的攻击向量提供了另外另一个应用场景。即攻击者可以攻陷并利用这些系统集成商作为支点,以大幅扩大他们的控制和影响范围。
攻击者在一个远程的、不太安全的设施中定位了PLC,已知该设施由系统集成商或承包商管理。然后攻击者将PLC武器化,故意使PLC出现故障。这样,统集成商或承包商的工程师就会被引诱到可编程控制器前进行诊断。通过诊断过程,集成商将做一个上传程序,从而使他们的机器被控制。在进入集成商的机器后,通过设计可以访问许多其他PLC,攻击者可以反过来攻击甚至武器化其他组织内的更多可访问的PLC,进一步扩大他们的控制范围。

图3:PLC武器化攻击集成商的设备(工程师站和其它PLC)

3、邪恶PLC攻击的示例
邪恶PLC攻击的实施有十个关键步骤,分别是设置测试环境、构建“Hello World”程序、项目文件探索、逆向工程、上传/下载程序、协议分析、寻找差异、寻找漏洞、武器化和利用。据Team82的报告,他们成功地在七个市场领先的自动化公司的PLC平台上实施了邪恶PLC攻击,包括Rockwell Automation、Schneider Electric、GE、B&R、Xinje、OVARRO和Emerson。他们发现所有这些平台的工程工作站软件都存在漏洞,使得攻击者能够在执行上传操作时,利用这些漏洞执行恶意代码。
下面以Rockwell Automation Micro800系列PLC为例,说明邪恶PLC攻击的实证过程。
Rockwell Automation Micro800系列PLC广泛应用于智能制造和过程自动化中。工程师使用Connected Components Workbench (CCW)软件进行配置、编程和维护。通信协议方面,CCW通过Common Industrial Protocol (CIP)与Micro800 PLC通信,使用TCP端口44818。工程师通过CCW创建包含基本配置、元数据和一系列程序的项目。
最为关键的步骤是,Team82研究了CCW从PLC上传下载过程中的数据传输,发现项目文件中包含多种文件,其中.annex文件包含.NET序列化数据,存在不安全的反序列化漏洞。这使得他们能够对该型PLC实施武器化,即通过下载过程将恶意项目文件植入PLC中,当工程师执行上传操作时,CCW会解析这些文件,触发漏洞,执行攻击者代码。
基于上述对PLC上传/下载过程的理解以及挖掘到的的.annex文件中的.NET序列化漏洞,攻击者使用ysoseril.net库创建恶意序列化对象,替换原有对象,打包进项目文件,通过下载过程植入PLC。即工程师执行上传操作后,CCW解析感染的.annex文件,触发漏洞,执行攻击者代码。一旦攻击成功,工程师的机器被植入了演示用勒索软件,证明了邪恶PLC攻击的可行性。

图4 Rockwell Automation Micro800系列PLC遭勒索演示

三、PLC之C2化

2024年7月8日,俄罗斯网络安全公司Solar旗下的4RAYS网络威胁研究中心发布研究报告,揭露了名为”Lifting Zmiy”的亲乌克兰黑客组织对俄罗斯政府和私营公司的一系列网络攻击。该黑客组织入侵了俄罗斯工业自动化企业Tekon-Avtomatika的PLC设备,并在其上部署了控制与通信(C2)服务器,这些控制器不仅用于工业自动化,还控制电梯等关键设备。这是首次发现的将PLC设备变身C2服务器的案例。
1、何谓PLC的C2化?
通常意义上,C2服务器(Command and Control Server),也称为C&C服务器,是指在网络攻击中,攻击者用来远程控制受感染计算机或设备(称为“节点”或“肉鸡”)的服务器。C2服务器是攻击者与被控制设备之间通信的中心枢纽,用于发送命令、接收数据、更新恶意软件、获取信息等。C2服务器是网络攻链条中的关键组成部分,常被用于各种网络犯罪活动,包括数据盗窃、勒索软件、分布式拒绝服务攻击(DDoS)等。它通常与域名、IP地址、以及访问它的协议(如HTTP/HTTPS、FTP、DNS、SMTP)等关联,由某个计算机/服务器来承载,网络安全专家和防御者需要不断研究C2服务器的特征和行为。PLC的C2化,就是用PLC设备代替了前述计算机/服务器,使其成为了攻击者的通信枢纽。
2、PLC之C2化的基本条件
将一个PLC设备变成C2服务器,需要哪些基础必须的条件呢?首先,该PLC需要具备计算功能,即其有操作系统;其二,攻击者对该PLC具备控制权限,即对其有完全的控制权限;其三,需要域名和IP地址,即需要注册一个或多个域名和IP地址作为通信的入口点。最后,该PLC要支持访问的协议,即通信协议,能够配置其支持多种通信协议(HTTP/HTTPS、FTP、SMTP、DNS),即攻击者能够与其正常通信,远程的被控制端也能与其正常通信。
聪明的或老道的攻击者,还可能采取一些对抗追踪的技术手段,如域名的DGA技术或频繁更换域名和IP地址,支持多协议诉访问方式,加密笔混淆以隐藏恶意通信,最小化或适时清除日志,甚至采用Tor或VPN的匿名服务,等等,增加追查的成本和难度。如“Lifting Zmiy”黑客攻击的案例中就使用了星链的IP地址。
3、PLC被C2化攻击的实例
俄罗斯网络安全公司Solar的网络威胁研究中心在2024年7月揭露的名为”Lifting Zmiy”的亲乌克兰黑客组织的一系列网络攻击中,黑客组织通过三个关键步骤实现了对俄罗斯产Tekon-Avtomatika的PLC设备(控制器不仅用于工业自动化,还控制电梯等关键设备)的C2化。
一是通过暴力破解与暗网购买,获取初始访问凭据和权限;在Solar公司调查的案例中,基础设施是通过暴力破解口令而被黑客入侵,也有一些控制器使用默认口令的情况。但很难说Lifting Zmiy是积累了对各个组织的访问权限,还是从通过购买泄露凭证获得了设备访问权限。但多主动攻击行动的时间上看,都经过了较长时间(有时是几个月),表明该组织可能从第三方获得了一些访问凭证。
二是获取PLC的Root权限,配置为C2实施长期隐蔽;Tekon-Avtomatika PLC设备运行Linux系统,具有一个模块,允许加载和执行自定义的LUA脚本插件。这种设计提供了极大的灵活性,但也带来了安全风险。由于LUA插件能够以root权限运行,它们能够执行任何bash命令,这为攻击者将PLC变身C2创造了条件。研究人员分析发现反向SSH样本后,他们提取了相应的C2地址,该地址指向受感染的Tekon-Avtomatika PLC。利用已发现的类似模式,研究者又在受感染的设备上发现了更多C2服务器。研究者总共发现了23个C2服务器,其中16个是Tekon-Avtomatika PLC。截至2024年6月,23个C2中仍有14个处于活跃状态,这些活跃的C2中有8台部署在受感染的PLC上。
三是攻击者使用了SpaceX的卫星互联网IP;研究人员检测到的IP地址的Whois记录显示,这些IP属于提供商Starlink Services, LLC,该公司是SpaceX的一个部门,在全球范围内提供宽带卫星互联网服务。Lifting Zmiy黑客组织通过利用SpaceX的Starlink基础设施,实现了在全球范围内的匿名和灵活攻击,受益于其动态IP地址和高速连接,同时规避了传统网络安全措施基于IP地址所归属的物理地址的检测,确保了行动的隐蔽性和高效率。
Lifting Zmiy黑客的真实目标并非那些PLC控制的电梯或其它自动化设备,而是其它目标,其“项庄舞剑、意在沛公”的战术得益于其技术、资源、能力的融合,这颠覆了业界对传统OT网络攻击的典型认知,即突破并控制OT设备是为了攻击其它IT设备。
小结

本文描述的三种PLC攻击技术表明,攻击者正采取多样化的策略来武器化和滥用PLC。DM-PLC通过建立隐蔽监控网络并利用“死亡开关”机制直接干预物理过程,而不是通过加密手段进行勒索。Evil PLC攻击则将PLC作为攻击跳板,以攻击其他IT或OT网络系统。Lifting Zmiy黑客组织的行动表明失陷入的PLC设备不直接对自动化设备造成危害(当然攻击者完全可以这样做),而是被用作C2服务器,进一步攻击其它系统,这加剧了威胁检测和追踪的难度。这些攻击技术和手段颠覆了传统上通过IT网络和系统突破ICS设备的认知,而且PLC设备也可能成为跳板、C2服务器。

因此,OT网络攻击技术的演进凸显了加强对PLC设备安全保障的极端重要性。加强网络监控和访问控制,确保PLC设备的软件和固件及时更新,采用多因素认证和加密通信,以及实施严格的物理和网络安全政策。此外,组织应制定全面的网络安全应急响应计划,并对员工进行安全意识培训,以识别和防御潜在的网络威胁。

参考文献
【1】Richard Derbyshirea,b, Benjamin Greenb,Charl van der Walta,David Hutchison,Dead Man’s PLC: Towards Viable Cyber Extortion for Operational Technology,https://arxiv.org/abs/2307.09549
【2】Team82, Claroty Research Team,EVIL PLC ATTACK: WEAPONIZING PLCS,RESEARCH PAPER,https://claroty.com/team82/research/white-papers/evil-plc-attack-weaponizing-plcs
【3】https://rt-solar.ru/solar-4rays/blog/4506/
【4】https://medium.com/@bertinjoseb/post-auth-rce-based-in-malicious-lua-plugin-script-upload-scada-controllers-located-in-russia-57044425ac38