中國西門子專業(yè)西北地區(qū)代理商        中國西門子專業(yè)西北地區(qū)代理商

潯之漫智控技術(shù)有限公司  上海詩慕自動化設(shè)備有限公司
本公司銷售西門子自動化產(chǎn)品,，*,，質(zhì)量保證，價格優(yōu)勢
西門子PLC,西門子觸摸屏,，西門子數(shù)控系統(tǒng),，西門子軟啟動，西門子以太網(wǎng)
西門子電機(jī),，西門子變頻器,，西門子直流調(diào)速器，西門子電線電纜
我公司大量現(xiàn)貨供應(yīng),，價格優(yōu)勢,，*，德國*

在Black Hat2011,，Dillon Beresford等人在他們的報告《Exploiting Siemens Simatic S7 PLCs》中演示了如何通過西門子S7Comm協(xié)議的權(quán)限缺失漏洞來遠(yuǎn)程操作PLC,。在Black Hat2015，Johannes Klick 等在他們的報告《Internet-facing PLCs – A New Back Orifice》中演示攻擊者如何通過代理,，來發(fā)現(xiàn)內(nèi)網(wǎng)中更多的PLC設(shè)備,。本文將展示的是一種新型的PLC蠕蟲病毒，該病毒可以不借助上位PC機(jī),，僅通過PLC之間進(jìn)行互相傳播,。該病毒的實現(xiàn)思路，適用于多個廠家的PLC設(shè)備,，并且可以在一定規(guī)則范圍內(nèi)相互進(jìn)行傳播,。本文采用西門子PLC舉例進(jìn)行說明。

　　西門子PLC簡介

　　PLC全稱為Programmable Logic Controller,，即可編程邏輯控制器,，是一種采用一類可編程的存儲器,，用于其內(nèi)部存儲程序，執(zhí)行邏輯運算,、順序控制,、定時、計數(shù)與算術(shù)操作等面向用戶的指令,，并通過數(shù)字或模擬式輸入/輸出控制各種類型的機(jī)械或生產(chǎn)過程,。西門子作為 PLC*、S7-300,、S7-400系列的PLC采用早期的西門子私有協(xié)議S7Comm進(jìn)行通信,。S7Comm協(xié)議已被研究者*掌握，并且在github上可以下載到該協(xié)議的插件,。S7-1200系列固件版本為V3.0以下的PLC采用西門子新一代的S7Comm-Plus協(xié)議進(jìn)行通信,。該協(xié)議采用了一些特殊編碼規(guī)范，并且做了抗重放攻擊的防護(hù),。但是其安全防護(hù)仍然較弱,，已被基本破解。S7-1200系列固件版本為V3.0以上,，以及S7-1500系列的PLC,，采7Comm-Plus協(xié)議，該協(xié)議對比之前S7Comm-Plus協(xié)議,，采用了加密算法,，目前仍未被研究透徹。

　　西門子PLC通過Step7以及WinCC軟件進(jìn)行組態(tài),，TIA Portal V13,。其中使用Step7進(jìn)行下位機(jī)組態(tài)，WinCC進(jìn)行上位機(jī)組態(tài),。

　　在Step7組態(tài)軟件中,，用戶通過編寫POU程序塊來完成工業(yè)現(xiàn)場的控制以及工藝流程的實現(xiàn)。西門子POU程序塊包括：

　　OB(Organization Block )：組織塊,，為用戶程序的入口程序塊

　　FB(Function Block)：功能函數(shù)塊,，實現(xiàn)一些封裝好的函數(shù)功能

　　FC(Function)：函數(shù)塊，為用戶編寫的程序

　　DB(Data Block)：數(shù)據(jù)塊,，用來存放全局變量

　　SFB(System Function Block)：系統(tǒng)功能函數(shù)庫,，系統(tǒng)內(nèi)部封裝的函數(shù)塊

　　SFC(System Function)：系統(tǒng)函數(shù)庫，系統(tǒng)內(nèi)部封裝的函數(shù)

　　Step7程序塊的組態(tài)語言包括LD(梯形圖),，F(xiàn)BD(功能塊圖),、SCL(結(jié)構(gòu)化控制語言)、STL(語句列表),。

　　西門子PLC在進(jìn)行程序下裝的過程中,，首先會在下裝前停止PLC的運算,，下裝程序完成后再重新啟動PLC,。

　　病毒的實現(xiàn)

　　對于病毒的實現(xiàn)流程,，首先選擇IP嘗試建立連接，如果連接建立成功,，則檢查目標(biāo)PLC是否已被感染,。如連接未建立成功，或目標(biāo)PLC已被感染,，則選擇新IP重新嘗試建立連接,。如目標(biāo)PLC未被感染，則停止目標(biāo)PLC,，下裝病毒程序,，后重新啟動目標(biāo)PLC。流程如圖1所示,。

　　病毒實現(xiàn)流程

　　尋找目標(biāo)

　　所有的西門子PLC通過102端口進(jìn)行TCP通信,，因此可以通過嘗試建立102端口的TCP通信來進(jìn)行目標(biāo)的尋找。Step7組態(tài)軟件中提供了兩個FB塊,，TCON以及TDISCON,，如圖2所示。TCON用來建立TCP連接,，其中REQ輸入管腳通過上升沿信號觸發(fā),，CONNECT輸入管腳配置TCON建立連接的如對端IP、對端端口號,，本機(jī)端口號,，通信方式等相關(guān)參數(shù)。TDISCON用來斷掉TCP連接,，REQ上升沿觸發(fā),。