研究人员开发了针对PLC的恶意软件，可对工控系统进行攻击

研究人员开发了针对现代可编程逻辑控制器 (PLC) 的恶意软件，以证明可以针对此类工业控制系统 (ICS) 发起远程震网式攻击。

来自佐治亚理工学院的研究人员发表了一篇论文（https://www.ndss-symposium.org/wp-content/uploads/2024-49-paper.pdf），详细介绍了这个 ICS 安全项目。

对于传统 PLC，攻击者可以针对控制逻辑层或固件层。固件攻击可以提供高水平的设备控制并且难以检测，但恶意软件的部署可能具有挑战性。控制逻辑恶意软件更容易部署，也更容易检测。这两种情况都要求攻击者拥有对目标组织的工业网络的特权访问权限。

就现代 PLC 而言，许多都包含 Web 服务器，并且可以通过专用 API 和用作人机界面 (HMI) 的常规 Web 浏览器来远程配置、控制和监控它们。

虽然这些现代 PLC 可以为组织提供许多好处，但佐治亚理工学院的研究人员警告说，它们也可以显着扩大 ICS 的攻击面。

为了证明这些风险，研究人员开发了所谓的基于网络的 PLC 恶意软件，该恶意软件驻留在控制器的内存中，但由 ICS 环境中配备浏览器的设备在客户端执行。该恶意软件可能会滥用 PLC 的合法 Web API，导致工业流程中断或机械损坏。

这种新的 PLC 恶意软件易于部署且难以检测。初始感染可以通过物理或网络访问目标基于 Web 的 HMI 来完成，但恶意软件也可以通过使用跨源漏洞劫持 HMI 来直接通过互联网部署。

为了实现持久性，这种新型 PLC 恶意软件利用服务工作线程，允许 JavaScript 代码深入浏览器缓存并独立于安装它的网页执行。此外，文件从服务器删除后，它们将继续运行长达 24 小时。使用这种方法，恶意软件可以在固件更新、新的基于网络的 HMI 甚至硬件更换中幸存。

一旦部署完毕，恶意软件的功能就取决于所使用的合法的基于 Web 的 API 的功能，其中一些 API 非常强大。例如，它们可用于直接覆盖输入/输出值、滥用 HMI 输入、更改设定点和安全设置、欺骗 HMI 显示、更新管理员设置，甚至用于实时数据泄露。

研究人员表示，即使目标 PLC 位于隔离网络中，恶意软件也可以具有命令和控制 (C&C) 连接。

一旦攻击者执行了所需的任务，它就可以通过让恶意软件自我毁灭来掩盖其踪迹，用良性有效负载覆盖恶意有效负载，注销所有服务，甚至可能对设备进行出厂重置。

研究人员通过开发一款名为 IronSpider 的恶意软件来展示他们的工作，该恶意软件旨在针对 Wago PLC。模拟攻击涉及当目标操作员查看特制的广告横幅时，利用以前未知的漏洞来部署恶意软件。该恶意软件可以破坏工业电机造成损坏，同时欺骗 HMI 屏幕以显示正常值并避免引起怀疑。

去年，SecurityWeek在与参与该 PLC 恶意软件项目的佐治亚理工学院研究人员之一 Ryan Pickren 交谈后 描述了一些Wago PLC 漏洞。

IronSpider 与十多年前针对伊朗核计划的臭名昭著的 Stuxnet 恶意软件进行了比较。

“Stuxnet 通过修改控制铀浓缩离心机的变频驱动器的模拟输出信号来破坏伊朗核设施。这次破坏的直接结果是 1,000 多台离心机被物理破坏，设施的运行能力下降了 30%。”研究人员在论文中表示。

他们补充道：“我们的原型恶意软件 IronSpider 能够使用截然不同的方法实现基本相似的攻击。Stuxnet 通过控制逻辑恶意软件攻击 PLC，并通过受感染的工程工作站部署这些恶意软件 [...]。然而，IronSpider 使用基于网络的恶意软件，并通过恶意网站部署该恶意软件，而无需损害任何外围系统。”

虽然该攻击针对的是 Wago 产品，但研究人员确定此类 PLC 恶意软件也可用于攻击西门子、艾默生、施耐德电气、三菱电机和 Allen Bradley PLC。针对这些控制器的攻击涉及利用新发现或先前已知的漏洞。在某些情况下，攻击需要 FTP 密码、不安全协议或内部人员。

专家们创建了一个与供应商无关的框架，可用于构建和分析基于 Web 的 PLC 恶意软件。

“该框架使用广泛适用的策略来探索每个阶段，这些策略可用于大多数现代 PLC 模型，并概述了恶意前端代码如何通过有条不紊地损害 PLC 的 Web 属性来破坏 ICS 环境的完整性。该框架可以用作任何 PLC 供应商和模型的未来研究的基准。”研究人员解释道。

参考链接： https://www.securityweek.com/remote-stuxnet-style-attack-possible-with-web-based-plc-malware-researchers/

六方云分享：工控安全厂商看工控艾默生智能平台

前言：

工业自动控制领域的巨头企业艾默生一直以来都是工控硬件和软件的中坚力量。智能平台离散控制产品作为艾默生重要产品之一，在中国占有很大份额。

然而，由于市场需求的不断变化以及技术发展的迅速进展，艾默生公司的智能平台产品也在不断演变。在这种情况下，我们需要更加全面和深入地了解智能平台产品，包括已停产型号、在售型号，以及它们所使用的编程软件和通信协议等。

本文将会介绍艾默生智能平台的历史和发展，对智能平台如何从GE公司到艾默生进行详细说明，对其已经停产和在市售的智能平台型号进行详细说明，并且通过实验来测试智能平台的通信协议。同时，我们还将讨论PLC的编程软件以及如何在实际应用中应对智能平台存在的安全威胁。

一、背景介绍

1、艾默生DAUT

艾默生是一家全球性的技术与软件公司，为全球重要行业提供创新性解决方案。工控产品及解决方案主要归艾默生DAUT。

艾默生DAUT（Discrete Automation technology）总部位于美国密苏里州圣路易斯市。DAUT在工业控制和自动化领域有着广泛的应用，其控制系统部门生产了多个PLC产品系列，包括PACSystems RX3i、VersaMax PLC、VersaMax micro等。主要应用于石油和天然气行业、采矿与金属行业、电力和可再生能源行业、船舶行业、水处理行业、地铁和隧道行业、智能制造行业等。

2、GE Intelligent Platforms

美国通用电气公司（General Electric Company，简称GE）是由托马斯·爱迪于1892年创立的，主要经营领域包括航空、电力、医疗、铁路、石油天然气等，业务遍及全球，其中GE智能平台（部门）主要有工控产品及解决方案。。

GE智能平台总部设在美国弗吉尼亚州的夏洛茨维尔的全球性企业，隶属于GE，主要为用户提供自动化控制的软件、控制及通讯解决方案以及军工及航空航天嵌入式系统，GE智能平台是全球范围内自动化和嵌入式计算领域的软件、硬件、服务和专业技术供应商。

3、 GE Fanuc介绍

GE Fanuc是GE公司控制系统部门的一部分，成立于1998年。其主要业务涵盖工业自动化、控制系统、PLC和组态软件等领域。其产品可用于包括自动化、过程自动化、国防、汽车制造、通讯、医疗和航空航天等各种工业领域。

GE Fanuc在世界上率先推出PAC系统，作为新一代控制系统。

二、产品体系

通过对背景分析，把产品系列统计如下：

通过历史背景分析，多次出现PAC，那么PAC和PLC区别？

PACs和PLCs主要区别体现在产品的牢固性和可靠性，具体来说，PLC的性能主要依赖于硬件，程序的执行主要依赖硬件芯片来实现，导致系统的功能前景和开放性受到限制，PLC为专有操作系统，相比于通用实时操作系统，其实时可靠性与功能性受到限制，这就导致了PLC整体性能的专用性和封闭性。

PACs的性能是基于其轻便控制引擎，采用标准、通用、开放的实时操作系统，嵌入式硬件系统设计，而不依赖硬件芯片，其软件性能优于PLCs. PAC的性能是基于其轻便控制引擎，标准、通用、开放的实时操作系统，嵌入式硬件系统设计以及背板总线。

3 智能平台产品系列体系

通过上面的了解，现在的艾默生的智能平台产品家族又有哪些呢，哪些已经停产，哪些目前还在使用呢。在这里六方云为大家整理了以下表格。

本文通过对标准原产品体系中的PAC、PLC产品系列（如下图）依据产品性能按照大型PLC、中型PLC、小型PLC进行分类，因为PAC系统的的PACSystem RX7i和RX3i性能优越，可支持大点数的I/O点数，通常支持的I/O点数为几万点，分为大型PLC。Versamax Micro PLC因其支持的I/O点数较少，通常支持的I/O点数为几百点，分类为小型PLC；VersaMax支持的I/O点数通常为几千点，分类为中型PLC。

三、工控安全研究

上面介绍了PAC和PLC的区别，在协议方面会有区别吗？工控安全实验室针对艾默生PAC和PLC分别进行协议研究，在PAC的选取上，因为目前 RX7i已经停产，只有RX3i还在市场上销售，工控安全实验室选取RX3i作为研究对象。

【六方云工控安全实验室RX3iPLC】

在PLC研究中，工控安全实验室选取中型PLC，在中型PLC中目前只有VersaMax PLC还在使用，而Series 90-70以及90-30已经停产，因此，工控安全实验室选取VersaMax作为研究对象。

【六方云工控安全实验室Versmax PLC】

1.编程软件介绍

通过艾默生专有的编程软件PME对PLC设置IP以及进行编程。下面为大家介绍一下PME软件。

PME介绍

PME用于对艾默生PLC编程的软件，主要用于对PLC进行编程，控制启停等操作，下图为PME的软件截图。

2、通讯协议研究

我们按照普度模型搭建研究环境，分别以VersaMaxPLC和PACSystme RX3i为对象，通过PC安装的PME软件与PLC、PAC设备进行通信，并通过攻击PC对PLC进行身份鉴别攻击。

截取数据包如下：

我们可以看出Wireshark对艾默生PLC的协议并没有解析，通过资料我们可以查到艾默生PLC采用SRTP TCP/IP协议，即Service Request transport Protocol. SRTP TCP/IP协议是GE的专有以太网通讯协议，底层基于TCP/IP协议。

接下来对SRTP协议进行安全验证，本文选用最简单的身份鉴别攻击进行尝试，以Versmax PLC为研究对象，通过Python构造SRTP协议通讯连接，与PLC进行通讯，进行身份鉴别攻击。

通过部署wireshark截取通讯数据，PLC响应Python构造的请求，并将信息返回过来。

▲wireshark抓取设备CPU型号CPUE05

▲实际设备CPU型号为CPUE05与wireshark抓取PLC上CPU型号一致

四、总结

六方云工控实验室专家认为，SRTP协议作为一种常用于工业自动化控制领域的实时数据传输协议，其确实存在安全性不足的问题。攻击者可以通过简单的身份鉴别攻击，结合钓鱼网站、挂马网站等攻击形式，进一步滥用此漏洞，这可能会导致工业控制网络连接变得不再安全，并造成重要数据的泄露。

针对此类威胁，建议采用专业的工业防火墙系统进行防护。六方云工业防火墙能够智能识别和防护各种恶意攻击，提供黑、白名单策略相结合的防护机制以及深度解析工控协议功能，来有效地防止已知和未知的恶意攻击行为，从而极大地降低了工控系统面临的安全风险。

▲图为六方云工业防火墙对SRTP协议的防护界面

六方云工业防火墙支持对SRTP协议功能码的深度防护，尤其是值域控制，敏感操作，上传，下载，启停等重点功能码。

除此之外，还可以增强身份验证和访问控制等安全措施，如使用强密码、多因素认证等方式来保障系统的安全性。同时在设计、部署和维护工控系统时，需要遵循相关行业标准和最佳实践，以确保系统的安全性和可靠性。

相关问答

艾默生plc通讯方法?

艾默生PLC(可编程逻辑控制器)通常使用多种通讯方法与其他设备进行数据交换。其中常见的方法包括以太网通讯、串口通讯(如RS232、RS485)、Modbus通讯、Profibu...

dcs用什么语言?

每一家DCS支持的语言是不一样的,总体来说有5种。1.指令表编程语言,与汇编语言类似,满足IEC61131.3标准,跟PLC的指令表语言有点区别。2.结构化文本编程语言...

艾默生PLC的运行指示灯闪烁但继电器不动作请问是什么原因?

答:正常情况下,OMRON的电源灯应该是常亮的,如果闪动,原因有以下几点:1电源有接触不好的地方,或者电压波动很大。2外围电路有短路的地方。3PLC电...答:...

华为有没有意向开发plc呢?

华为之前有变频器,也算是工控行业了,毕竟变频器和通信电源没什么本质区别,后来战略调整卖给了艾默生。目前看华为并没有再涉足工控行业了,所以暂时应该也不会...

诸位老表能否告诉我!!湖北AS系列台达可编程控制器plc，台达...

[回答]一般比较流行的品牌有三菱、台达、西门子、欧姆龙(台达是仿造三菱的)浙大、艾默生等等,各个厂家的又根据PLC的输入输出端口不同、或者说通信功能不...

PLC技术在城市轨道交通中的应用的背景?

轨道交通行业中分两部分使用PLC,一部分是车站部分,另一部分是车辆部分。在车站部分,PLC主要应用于轨道交通的综合监控系统、环控系统、设备监控系统、电...

国产plc有什么牌子可以信的过的，质量过得硬的?

台湾的有:永宏、台达、盟立、FAMA(现属于盟立)、安控、士林、丰炜、智国、台安大陆:德维深、和利时、KDN、淅大中控、淅大中自、信捷、爱默生、兰州全志、科...

德壮曼是家什么公司?

公司主要经营的产品有:※交流伺服:日本安川Σ-II系列和ΣI系列产品和松下伺服系统※变频器:安川G7/F7/V7/J7/L7、三菱A500/F500/E500/S500、富士.东元、台...

诸位大神求推荐一下!!用PLC控制显控触摸屏画面切换?显控一...

[回答]自动化程度高,PLC自动控制,达到工厂设备的无人化管理的效果,只需通过触摸屏设定参数,即可让气压稳定在设定状态。备注:该自动系统还可以用西门子S7-...

在自动化领域，你经常会使用哪些科技巨头的产品?

PLC国产品牌经常用到的有台达、信捷。国外品牌经常用到的有三菱、松下、欧姆龙、西门子。触摸屏及文本显示器国产品牌经常用到的有威纶通、昆仑通态。国外...