【一】武器化的PLC

知名工業(yè)網(wǎng)絡(luò)安全公司Claroty旗下的Team82研究團(tuán)隊(duì)開發(fā)了一種稱為Evil PLC攻擊的新技術(shù)，其中PLC 被武器化并用于損害工程師站。在工程師站上立足的攻擊者可以訪問(wèn)連接該機(jī)器的OT網(wǎng)絡(luò)上的任何其他設(shè)備，包括其他 PLC。攻擊的目標(biāo)是從事工業(yè)網(wǎng)絡(luò)、PLC配置和故障排除的工程師，他們的工作是確保公用事業(yè)、電力、水和廢水、重工業(yè)、制造和汽車等關(guān)鍵行業(yè)的流程的安全性和可靠性。Team82團(tuán)隊(duì)發(fā)布的題為《邪惡PLC攻擊：將PLC武器化》的白皮書稱，邪惡PLC攻擊的研究成果對(duì)7家自動(dòng)化公司進(jìn)行了有效的概念驗(yàn)證利用，包括羅克韋爾自動(dòng)化、施耐德電氣、通用電氣、貝加萊、辛杰、OVARRO和艾默生。這篇論文描述了工程師如何診斷PLC問(wèn)題，編寫字節(jié)碼并將其傳輸?shù)絇LC執(zhí)行，以及Team82如何概念化、開發(fā)和實(shí)現(xiàn)許多新技術(shù)，以成功地使用PLC在工程師的機(jī)器上實(shí)現(xiàn)代碼執(zhí)行。

Team82研究人員8月13日在一篇博客文章中寫道，使用其完整的研究方法，他們能夠找到以前未報(bào)告的漏洞，這些漏洞使其能夠在上傳過(guò)程發(fā)生時(shí)將受影響的PLC武器化并攻擊工程師站。根據(jù)Team82的協(xié)調(diào)披露政策，所有調(diào)查結(jié)果都報(bào)告給了七家受影響的供應(yīng)商。此外，他們補(bǔ)充說(shuō)，大多數(shù)受影響的公司都修復(fù)或減輕了Team82在其各自產(chǎn)品中發(fā)現(xiàn)的漏洞。

Claroty研究人員表示，Evil PLC Attack將PLC變成了工具而不是目標(biāo)。通過(guò)將一個(gè) PLC武器化，攻擊者可能反過(guò)來(lái)危害工程師的工作站，這是與過(guò)程相關(guān)信息的最佳來(lái)源，并且可以訪問(wèn)網(wǎng)絡(luò)上的所有其他PLC。通過(guò)這種訪問(wèn)和信息，攻擊者可以輕松地更改任何PLC上的邏輯。?

該項(xiàng)攻擊技術(shù)的訣竅是引誘工程師連接到受感染的PLC。最直接的方法是在PLC上造成故障。這是工程師使用其工程工作站應(yīng)用程序作為故障排除工具來(lái)響應(yīng)和連接的典型場(chǎng)景。這是Team82獨(dú)創(chuàng)的方法，通過(guò)在七個(gè)工程工作站平臺(tái)中的每一個(gè)發(fā)現(xiàn)漏洞，這些漏洞使其能夠以一種在執(zhí)行上傳過(guò)程時(shí)將PLC武器化的方式——上傳過(guò)程涉及傳輸從 PLC到工程工作站的元數(shù)據(jù)、配置和文本代碼——研究人員專門制作的輔助數(shù)據(jù)將導(dǎo)致工程工作站執(zhí)行他們的惡意代碼。

Claroty透露，該技術(shù)使用不一定屬于正常靜態(tài)/離線項(xiàng)目文件的數(shù)據(jù)將LC 武器化，并在工程連接/上傳過(guò)程中啟用代碼執(zhí)行。通過(guò)這種攻擊媒介，目標(biāo)不是 PLC，例如臭名昭著的Stuxnet惡意軟件會(huì)偷偷改變PLC邏輯以造成物理?yè)p壞。相反，他們希望使用PLC 作為支點(diǎn)來(lái)攻擊對(duì)其進(jìn)行編程和診斷的工程師，并獲得對(duì)OT網(wǎng)絡(luò)的更深入訪問(wèn)。

值得注意的是，他們發(fā)現(xiàn)的所有漏洞都在工程工作站軟件上，而不是在PLC固件中。他們補(bǔ)充說(shuō)，在大多數(shù)情況下，存在漏洞是因?yàn)檐浖耆湃蝸?lái)自PLC的數(shù)據(jù)，而無(wú)需執(zhí)行廣泛的安全檢查。

【二】三種攻擊場(chǎng)景 Team82研究人員為Evil PLC攻擊確定了三種不同的攻擊場(chǎng)景。其中包括將PLC武器化以實(shí)現(xiàn)初始訪問(wèn)、攻擊移動(dòng)集成商以及將PLC武器化為蜜罐。Claroty研究人員確定，攻擊者可以使用武器化的PLC在內(nèi)部網(wǎng)絡(luò)上獲得初步立足點(diǎn)，甚至進(jìn)行橫向移動(dòng)。暴露在互聯(lián)網(wǎng)上的PLC通常缺乏身份驗(yàn)證和授權(quán)等安全性，并通過(guò)Shodan和Censys搜索發(fā)現(xiàn)。能夠以這種方式訪問(wèn)PLC的攻擊者能夠通過(guò)惡意下載程序修改參數(shù)或其行為和邏輯。

機(jī)會(huì)主義攻擊者識(shí)別面向互聯(lián)網(wǎng)的PLC，使用商業(yè)工程師站軟件連接到它們，并上傳當(dāng)前項(xiàng)目，其中包括來(lái)自PLC的代碼和設(shè)置，Claroty博文然后，攻擊者將修改項(xiàng)目的邏輯，并執(zhí)行下載程序以更改 PLC 邏輯。此類事件的一個(gè)例子是2020對(duì)以色列供水系統(tǒng)的攻擊，攻擊者利用可訪問(wèn)的 PLC并試圖向供水系統(tǒng)注入氯氣。 研究表明，攻擊者可以使用面向互聯(lián)網(wǎng)的PLC滲透整個(gè)OT網(wǎng)絡(luò)的支點(diǎn)。攻擊者不僅可以簡(jiǎn)單地連接到暴露的PLC并修改邏輯，還可以武裝這些PLC并故意造成故障，將工程師引誘到他們那里。作為一種診斷方法，工程師將執(zhí)行一個(gè)會(huì)危及他們機(jī)器的上傳程序，這將促成攻擊者在OT網(wǎng)絡(luò)上站穩(wěn)了腳跟。

Claroty還發(fā)現(xiàn)，攻擊者可以將系統(tǒng)集成商和承包商作為進(jìn)入世界各地許多不同組織和站點(diǎn)的一種手段?，F(xiàn)代OT管理通常涉及與許多不同網(wǎng)絡(luò)和 PLC 交互的第三方工程師和承包商。在這種攻擊場(chǎng)景中，系統(tǒng)集成商是PLC和工程師站之間的樞紐，負(fù)責(zé)監(jiān)督眾多OT網(wǎng)絡(luò)。? 研究人員說(shuō)，攻擊者會(huì)將PLC定位在一個(gè)遠(yuǎn)程、安全性較低的設(shè)施中，該設(shè)施已知由系統(tǒng)集成商或承包商管理。然后攻擊者將PLC武器化并故意在PLC上造成故障。

通過(guò)這樣做，受害工程師將被引誘到PLC進(jìn)行診斷。通過(guò)診斷過(guò)程，集成商將執(zhí)行上傳程序并讓他們的機(jī)器受到威脅。他們補(bǔ)充說(shuō)，在獲得集成商機(jī)器的訪問(wèn)權(quán)限后，攻擊者可以反過(guò)來(lái)攻擊甚至武器化其他組織內(nèi)部新訪問(wèn)的PLC，從而進(jìn)一步擴(kuò)大他們的控制范圍。 Claroty確定，防御者可以使用蜜罐PLC來(lái)吸引和攻擊可能的攻擊者，從而威懾和挫敗潛在的攻擊者。從防御的角度來(lái)看，攻擊向量很有用，可以用來(lái)誘捕攻擊者。鑒于攻擊者經(jīng)常使用與工程師相同的商業(yè)工具，防御者可以故意設(shè)置面向公眾的武器化PLC，并允許攻擊者與之交互。這些PLC將充當(dāng)蜜罐，吸引攻擊者與之交互。

? 然而，如果攻擊者落入陷阱并在枚舉過(guò)程中從誘餌PLC執(zhí)行上傳，則武器化代碼將在攻擊機(jī)器上執(zhí)行。研究人員補(bǔ)充說(shuō)，這種方法可用于在枚舉的早期檢測(cè)攻擊，也可能阻止攻擊者瞄準(zhǔn)面向互聯(lián)網(wǎng)的PLC，因?yàn)樗麄冃枰Ｗo(hù)自己免受他們計(jì)劃攻擊的目標(biāo)的侵害。 Claroty表示，要達(dá)到100%的補(bǔ)丁級(jí)別，尤其是在關(guān)鍵基礎(chǔ)設(shè)施中，并不容易，因此提供了額外的緩解措施，有助于降低Evil PLC攻擊的風(fēng)險(xiǎn)。武器化是第一步，因此，研究人員建議盡可能限制對(duì)PLC的物理和網(wǎng)絡(luò)訪問(wèn)。毫無(wú)疑問(wèn)，此類設(shè)備不應(yīng)從外部訪問(wèn)或在線公開。但內(nèi)部訪問(wèn)也應(yīng)僅限于授權(quán)的工程師和操作員。

Claroty建議落實(shí)網(wǎng)絡(luò)分段和網(wǎng)絡(luò)衛(wèi)生，以確保與PLC的連接僅限制對(duì)一小部分工程師站的訪問(wèn)，從而大大減少了網(wǎng)絡(luò)中的攻擊面。它還建議使用客戶端身份驗(yàn)證來(lái)驗(yàn)證客戶端和工程師站的身份。目前，一些供應(yīng)商實(shí)施這樣的通信協(xié)議，而不是允許任何工程師站與 PLC 通信，只有一組特定和預(yù)定義的工程師站能夠與PLC交互，通過(guò)要求工程師站向PLC 出示證書。

隨著Evil PLC攻擊向量向PLC執(zhí)行下載/上傳程序，監(jiān)控OT網(wǎng)絡(luò)流量并特別檢測(cè)這些類型的事件非常重要，如果這樣的程序在意外情況下發(fā)生，它可能表明有漏洞利用的企圖。此外，隨著攻擊者和防御者進(jìn)一步研究這種新的攻擊向量，將會(huì)發(fā)現(xiàn)更多類似上面所示的漏洞，并且OT供應(yīng)商將修補(bǔ)這些漏洞。與OT軟件保持同步很重要，這將防止利用這些1-day漏洞的攻擊。

參考資源：

1.https://industrialcyber.co/vulnerabilities/evil-plc-attack-weaponizes-plcs-to-exploit-engineering-workstations-breach-ot-and-enterprise-networks/

2.https://claroty-statamic-assets.nyc3.digitaloceanspaces.com/resource-downloads/team82-evil-plc-attack-research-paper.pdf

編輯：黃飛

?