近期,国外工业网络安全公司Claroty旗下的Team82研究团队开发了一种新型的工业网络攻击技术:Evil PLC Attack(邪恶PLC攻击)。该攻击可以将OT网络中重要的PLC设备武器化,以在工程师站中获得初始立足点,并进一步入侵OT和企业网络。其中,该技术的主要攻击目标是对PLC进行定期配置和故障排除的工程师,其工作内容是确保公用事业、电力、水和废水处理、重工业、制造和汽车等关键行业的流程的安全性和可靠性。
为此,Team82团队发布了《EVIL PLC ATTACK:WEAPONIZING PLCS》白皮书,并对七家市场领先的自动化公司(包括罗克韦尔自动化、施耐德电气、通用电气、贝加莱、新杰、OVARRO 和艾默生)进行了有效的概念验证攻击。Team82团队将深入描述工程师如何诊断PLC问题、编写字节码并将其传输到PLC执行,以及Team82如何概念化、开发和实施众多新技术以成功使用PLC在工程师的计算机上实现代码执行。
目前,Claroty公司根据披露要求,已将调查结果上报给七家受影响的自动化公司。以下是受影响的供应商和产品的列表,以及指向其各自建议和补救措施。截止本文截稿前,大多数供应商针对邪恶PLC攻击发布了修复程序、补丁或缓解计划。
根据团队研究人员对ICS平台的测试发现大多数涉及PLC的攻击场景都是围绕访问和利用控制器展开的。由于一个典型的工业网络可能有几十个PLC执行不同的操作,故PLC对于威胁行为者来说是极具吸引力的目标。例如,一个希望中断某个特定工艺流程的攻击者需要执行长时间的PLC枚举,以便找到目标PLC。
通过Team82团队的研究表明,Evil PLC Attack将PLC作为攻击工具而不是目标,攻击者引起PLC的故障引诱工程师连接受感染的PLC,这将迫使工程师使用工控软件作为故障排除工具进行连接。在这种情况下,可利用PLC来访问其维护者,即工程师站。一旦工程师站被入侵,PLC就会把恶意数据传输到工程师站。工程师站将解析这些数据,触发漏洞,执行恶意代码,并可入侵网络上的所有其他PLC。通过这种新型的攻击方式,攻击者可以轻松地改变任何PLC上的逻辑。
通过研究,Claroty人员尝试对多个主流ICS平台执行这种新的攻击向量,并且在每个平台上都发现了各种漏洞,这些漏洞使攻击者能够将PLC武器化,当执行上传程序时,研究人员专门制作的辅助数据将导致工程师站执行特定的恶意代码。
Team82团队认为邪恶PLC攻击是一种新的攻击技术,这种技术使用不一定是正常静态/离线项目文件一部分的数据使PLC武器化,并在工程连接/上传过程中执行恶意代码。邪恶PLC攻击技术与常规攻击手段的攻击目标不同,例如,臭名昭著的Stuxnet恶意软件便是悄悄地改变PLC的逻辑,从而造成物理损害。而该团队使用该技术将PLC为一个枢纽点来攻击编程和诊断它的工程师,并获得对OT网络更深入的访问。
值得注意的是,他们发现的所有漏洞都在工程软件方面,而不在PLC固件方面。在大多数情况下,存在漏洞是因为软件完全信任来自PLC的数据,而不进行广泛的安全检查。
Team82研究人员根据邪恶PLC攻击的载体,设计了三种不同的攻击场景,既可以进攻也可以进行防御,分别为武器化PLC以实现初始访问、攻击系统集成商和将PLC作为蜜罐武器化。
武器化PLC以实现初始访问
据调查,当前有成千上万的ICS设备暴露在互联网上,并且可以通过大多数公共互联网扫描服务(包括Shodan和Censys等)发现这些设备。这些面向互联网的设备通常缺乏安全性,任何人都可以访问它们,修改参数,甚至通过下载过程改变它们的行为和逻辑。
当关键基础设施允许公开访问时,攻击者将PLC作为攻击切入点。因此,为了实现对大多数PLC的入侵,唯一需要的工具是PLC供应商提供的商业工程软件。在过去的几年里,这种机会主义攻击者会识别面向互联网的PLC,使用商业工程软件连接到它们,并上传当前的项目,其中包括来自PLC的代码和设置。然后,攻击者将修改项目的逻辑,并执行下载过程来修改PLC逻辑。
Claroty的研究表明,攻击者可以利用面向互联网的PLC作为一个枢纽点,渗透整个OT网络。攻击者不仅可以简单地连接到暴露的PLC并修改逻辑,还可以武装这些PLC并故意造成一个故障,从而将工程师引诱到这些PLC上。在诊断过程中,工程师将上传一个包含恶意代码的程序,使攻击者获得初始立足点。之后,攻击者可以在OT网络内进行横向移动,威胁其他设备。
攻击系统集成商
Team82团队在检查现代OT管理程序时,发现在大多数情况下,许多不同的OT网络和PLC交互均由第三方工程师和承包商负责管理。考虑到这一点,攻击者可以利用这些系统集成商作为重要枢纽点,作为进入世界各地许多不同组织和网站的手段,从而大大扩展了该攻击技术的覆盖范围。
在实际攻击过程中,攻击者会将PLC定位在一个远程的、安全性低的设施中,并且这个设施明确由系统集成商或承包商负责管理。然后攻击者将PLC武器化,并故意导致PLC出现故障,将受害者工程师引诱到该PLC。在诊断过程中,工程师将上传一个包含恶意代码的修复程序,从而使攻击者获取内部访问权限。在获得设备访问权限后,攻击者可以反过来攻击甚至武器化其他组织内部相邻的PLC,进一步扩大他们的控制范围。
将PLC作为蜜罐武器化:
研究人员在技术测试过程中,发现这种新的攻击载体可以作为蜜罐使用,为可能的攻击者设置陷阱,从而保护组织的OT网络。
已知攻击者与工程师可使用相同的工程软件工具,防御者可以有目的性地建立面向公共环境的PLC蜜罐,并允许攻击者与它们交互,这些PLC将充当诱饵,吸引攻击者与它们交互。
研究人员表示,如果攻击者掉入陷阱,并在枚举过程中从PLC蜜罐上执行上传操作,则武器化代码将在攻击者的机器上执行。此方法可用于在枚举的早期阶段检测攻击,也可以阻止攻击者针对面向互联网的PLC。
Claroty在白皮书中说明,为了达到100% 的修补级别,特别是在关键的基础设施,是不容易的,因此需要额外的缓解步骤,以减少邪恶PLC攻击的风险。
在邪恶PLC攻击技术中,武器化是第一步,因此,研究人员建议尽可能限制对PLC的物理和网络访问。毫无疑问,这些设备不应允许被外部访问或在线公开,同时内部访问也仅限于被授权的工程师和操作员。
Claroty研究人员提出了5点安全防护措施,以有效降低该技术带来的安全风险:
(1)落实网络分段限制
通过对OT网络进行严格分段来限制外部或内部的PLC访问途径,并且只允许少数工程师站进行连接,将大大减少了来自网络的攻击面。
(2)客户端认证
使用客户端认证机制来验证客户端(工程工作站)的身份,目前,一些供应商实施这种通信协议,其中不允许任何工程师站与 PLC 通信,只有一组特定和预设的工程师站能够与PLC交互,并且要求工程师站向PLC提供数字证书。
(3)使用PKI
使用完整的公钥基础设施(PKI)系统来验证和加密客户端、工程工作站和服务器、PLC之间的所有通信。相互身份验证,通常称为相互TLS,有助于显著降低有人入侵 OT资产的风险。然而,现实情况是,许多 ICS 产品线尚未实现 PKI。
(4)网络流量监控
Evil PLC攻击主要操作均涉及在PLC执行下载/上传程序,因此,监视OT网络流量并特别检测这些类型的事件非常重要,如果发现相关事件或流量数据,则表明有人正试图利用它,现场人员应及时进行阻断与拦截。
(5)保持更新
随着攻击者和防御者对新型攻击技术的进一步研究,将会发现更多类似的漏洞,并且供应商将会提供相关补丁修补这些漏洞。因此,保证工程软件同步更新,将有效防止这些1day漏洞的攻击。
参考资源:
1.https://industrialcyber.co/vulnerabilities/evil-plc-attack-weaponizes-plcs-to-exploit-engineering-workstations-breach-ot-and-enterprise-networks/
2.Claroty Team82, Evil PLC Attack: Weaponizing PLCs, August 2022
3.https://claroty.com/team82/research/evil-plc-attack-using-a-controller-as-predator-rather-than-prey
公司简介
Company Profile
浙江国利网安科技有限公司(简称“国利网安”)是一家专注工业企业信息安全、工业互联网安全和工业数据安全,集研发、生产和销售为一体的创新型高新技术企业,为我国工业企业和关键基础设施安全提供业界领先的产品及解决方案。
公司核心研发团队自2010年起潜心工控攻防和产品化研究,自主研制完成全面覆盖安全防护、安全监测、安全检测、安全运维、安全靶场、安全服务、工业数据及应急响应等功能的工控安全产品。
国利网安始终坚持“为客户创造价值”的企业价值观,以提升工业企业和国家关键基础设施安全防护能力为己任,致力于成为中国工控网络安全的一流企业。
原文始发于微信公众号(国利网安):一种新型的PLC攻击技术:Evil PLC Attack(邪恶PLC攻击)