工控安全攻防演练场景实现分享（轨道交通）

之前看到GeekPwn的官微上也有一些关于工控的报名，这里也为大家分享一个从快速搭建环境(项目相对简单)，到如何在该环境下快速PWN掉西门子PLC接管控制的案例，知其然，知其所以然。

0x1、前言

因为一系列安全事件的发生，工控安全这个概念在近些年被炒得火热，仿真演示平台的搭建和攻击效果的实现，可以直观的来反映一些环境中存在的缺陷和现有问题。这种直观的方式也更为受众所接受，同时也为防护和检测实现了基础环境。

0x2、系统搭建简介

轨道交通演示的硬件平台组成主要由西门子S7-300PLC、轨道交通模型（高铁模型）和外围配件组成（光电开关传感器等）。

软件部分采用监控组态软件（HMI/SCADA软件）使用以太网方式与西门子300PLC完成通讯，从而实现远程监视和控制。

0x3、环境设计思路

系统完成对高铁模型的控制（启停、轨道变换、加速减速）主要使用西门子S7-300的I/O输出模块（数字量和模拟量点）。

整体接入如下图:

整体接入图

运行轨迹的监控采用的是光电开关，当模型运行经过光电开关时开关量信号将会传送到PLC所关联的DI输入点上。

PLC程序运行点定义如图：

PLC程序运行点定义

因为场景控制逻辑相对简单，程序实现起来也比较简单核心梯形图如下：

核心梯形图

最后使用组态软件通过以太网方式连接完成远程监控和控制组态：

0x4、完成效果

视频：

视频：工控安全演示平台_轨道交通项目演示

实物图:

实物图

0x5、攻击效果实现（纯黑盒接入状态下的测试）

该场景西门子PLC使用了以太网TCP/IP方式与上位机组态软件通信（通信方式为TCP，PLC开放端口为102），通过对PLC协议和PLC与官方编程软件（西门子STEP7）通讯的分析可以快速实现多个攻击效果。

0x5.1、以太网远程操作PLC的运行状态

通过对关键操作的重放，例如强制切换PLC运行模式到STOP状态(此状态下程序不运行)，该状态下，如果PLC正在轨道上运行，则可导致高铁模型停止运行。

Exp可以参照：http://www.exploit-db.com/exploits/19831/

0x5.2、基于通讯协议（S7）对PLC寄存器区数据的FUZZ

程序中定义的点是直接控制当前运行逻辑的，所以要远程接管控制该环境，可以直接远程篡改PLC内部点的数据，但因为是黑盒状态接入在不清楚各区点的定义的状态下，FUZZ就有必要了，加PLC对内部数据的寻址是通过区（输入I区、输出Q区、内存M区）和地址的方式，通过对协议掌握实现对PLC点的批量写入测试就变得非常简单了（有些PLC的点是通过标签名寻址，这样FUZZ会比较麻烦）。

基于通讯协议（S7）对PLC寄存器区数据的FUZZ

当然达到的效果可以直接影响控制当前运行停止、道岔切换等。

0x5.3、针对PLC程序的远程修改（类似Stuxnet震网攻击的实现）

可以通过远程下放西门子mc7（即西门子PLC运行程序）二进制文件，替换PLC中的程序直接接管PLC。

可以让上位机监控脱离控制，由下放的恶意程序直接接管控制。

具体流程就不讲了比较麻烦，如图

可以让上位机监控脱离控制，由下放的恶意程序直接接管控制。

0x6、攻击效果

远程替换程序后强制切换道岔、加速出轨视频:

视频：工控安全演示平台_轨道交通项目演示_Attack

0x7、安全防御与检测

0x7.1、基于DPI的深度包检测的实现

0x7.2、协议检测

0x7.3、深度功能防御实现

待续。。。。

[原文地址]

各种吐槽：

光的圆周率 (等级:二逼白帽子) | 2014-08-10 02:16

前排留名，这类系统一般都在物理隔离或者软隔离开的环境中？实际系统中对车体速度判定也应该是有一个安全阀值的吧？坐等更新

Ricter (j0j0) | 2014-08-10 02:49

前排留名ˊ_>ˋ

whking | 2014-08-10 04:01

很喜欢这类文章，让我等长见识了，谢谢～！@

hacker@sina.cn | 2014-08-10 04:16

太牛逼了完全无法直视给楼主点个感谢建议出书发扬光大然后一群黑客就被抓了 bibibibibibi....

hacker@sina.cn | 2014-08-10 04:20

点感谢提示乌云币不足，明明还有几百个，为何呢？

xy小雨 (对方不在服务区) | 2014-08-10 08:42

长姿势了

mramydnei | 2014-08-10 08:55

这个做的非常的赞！

YY-2012 (SM沐足桑拿推拿来前订房优惠多多一条龙服务噢) | 2014-08-10 09:10

西门子。。

从容 (有生之年报答帮过我的人，并有能力去帮助需要帮助的人) | 2014-08-10 10:25

硬件大神啊，敢问楼主是不是电子信息工程技术专业的博士生？

10#

一剑萧寒 | 2014-08-10 11:08

碉堡

11#

0749orz (你这个B装的真有意思，教我装B技巧与演练吧) | 2014-08-10 11:16

太牛逼了完全无法直视给楼主点个感谢建议出书发扬光大然后一群黑客就被抓了 bibibibibibi....

12#

小火苗 (好好学习，天天向上) | 2014-08-10 14:15

前排插入。

13#

Jumbo | 2014-08-10 17:51

我学数控的，跟这个搭界不

14#

从容 (有生之年报答帮过我的人，并有能力去帮助需要帮助的人) | 2014-08-10 18:44

@Jumbo 肯定有关系，因为以上实验的产品肯定是通过数控加工造出来的

15#

Jumbo | 2014-08-11 01:15

@从容嗯，我说西门子啥的跟我们有点熟悉呢，还有法兰克啥的，都是利用编程做工件，我试过，面板栏控制不严。可以进入我的电脑，CMD等等

16#

乌帽子 (和狗咬在一起的，终究还是狗！) | 2014-08-11 03:24

出轨好危险

17#

Z-0ne (一个很懒的人) | 2014-08-11 09:03

@从容 @Jumbo @光的圆周率这个高铁模型买来原来是自带一个类似遥控器的东西，可以控制加速和变轨的，后来给换成了由PLC来完成自动控制，主要是为了方便直观验证PLC上的一些缺陷是否会影响CPU上运行的正常逻辑，打个比方，常规的一些拒绝服务攻击也只是让PLC的以太网模块故障崩溃，导致与监控的上位机通信中断，但并不会对当前运行的逻辑造成影响。

18#

无敌L.t.H (‮……是就的挖肉肉那，洞狗为称洞的挖狗疯如假) | 2014-08-11 09:18

@Jumbo 我们这边烟厂工控里面还装有瑞星……

19#

核攻击 (统治全球，奴役全人类！毁灭任何胆敢阻拦的有机生物！) | 2014-08-11 14:06

。。。。。。

相关内容：

走进科学：银行ATM机真的安全吗？

某款网络摄像机直接获取帐号密码，视频监控设备配置信息泄露漏洞

讨论如何入侵演唱会无线话筒，hack掉演唱会无线麦的可能性

如果躲开支付宝风险监控，何才能做到不违反支付宝风控条件呢？

移动电源内置窃听器，在淘宝上买的充电宝内置远程定位、监听硬件后门！