之前看到GeekPwn的官微上也有一些关于工控的报名,这里也为大家分享一个从快速搭建环境(项目相对简单),到如何在该环境下快速PWN掉西门子PLC接管控制的案例,知其然,知其所以然。

0x1、前言

因为一系列安全事件的发生,工控安全这个概念在近些年被炒得火热,仿真演示平台的搭建和攻击效果的实现,可以直观的来反映一些环境中存在的缺陷和现有问题。这种直观的方式也更为受众所接受,同时也为防护和检测实现了基础环境。

0x2、系统搭建简介

轨道交通演示的硬件平台组成主要由西门子S7-300PLC、轨道交通模型(高铁模型)和外围配件组成(光电开关传感器等)。

软件部分采用监控组态软件(HMI/SCADA软件)使用以太网方式与西门子300PLC完成通讯,从而实现远程监视和控制。

0x3、环境设计思路

系统完成对高铁模型的控制(启停、轨道变换、加速减速)主要使用西门子S7-300的I/O输出模块(数字量和模拟量点)。

整体接入如下图:

整体接入图

运行轨迹的监控采用的是光电开关,当模型运行经过光电开关时开关量信号将会传送到PLC所关联的DI输入点上。

PLC程序运行点定义如图:

PLC程序运行点定义

因为场景控制逻辑相对简单,程序实现起来也比较简单核心梯形图如下:

核心梯形图

核心梯形图

最后使用组态软件通过以太网方式连接完成远程监控和控制组态:

使用组态软件通过以太网方式连接完成远程监控和控制组态

0x4、完成效果

视频:

视频:工控安全演示平台_轨道交通项目演示

实物图:

实物图

实物图

0x5、攻击效果实现(纯黑盒接入状态下的测试)

该场景西门子PLC使用了以太网TCP/IP方式与上位机组态软件通信(通信方式为TCP,PLC开放端口为102),通过对PLC协议和PLC与官方编程软件(西门子STEP7)通讯的分析可以快速实现多个攻击效果。

0x5.1、以太网远程操作PLC的运行状态

通过对关键操作的重放,例如强制切换PLC运行模式到STOP状态(此状态下程序不运行),该状态下,如果PLC正在轨道上运行,则可导致高铁模型停止运行。

如果PLC正在轨道上运行,则可导致高铁模型停止运行

如果PLC正在轨道上运行,则可导致高铁模型停止运行

Exp可以参照:http://www.exploit-db.com/exploits/19831/

0x5.2、基于通讯协议(S7)对PLC寄存器区数据的FUZZ

程序中定义的点是直接控制当前运行逻辑的,所以要远程接管控制该环境,可以直接远程篡改PLC内部点的数据,但因为是黑盒状态接入在不清楚各区点的定义的状态下,FUZZ就有必要了,加PLC对内部数据的寻址是通过区(输入I区、输出Q区、内存M区)和地址的方式,通过对协议掌握实现对PLC点的批量写入测试就变得非常简单了(有些PLC的点是通过标签名寻址,这样FUZZ会比较麻烦)。

基于通讯协议(S7)对PLC寄存器区数据的FUZZ

当然达到的效果可以直接影响控制当前运行停止、道岔切换等。

0x5.3、针对PLC程序的远程修改(类似Stuxnet震网攻击的实现)

可以通过远程下放西门子mc7(即西门子PLC运行程序)二进制文件,替换PLC中的程序直接接管PLC。

可以让上位机监控脱离控制,由下放的恶意程序直接接管控制。

具体流程就不讲了比较麻烦,如图

可以让上位机监控脱离控制,由下放的恶意程序直接接管控制。

0x6、攻击效果

远程替换程序后强制切换道岔、加速出轨视频:

视频:工控安全演示平台_轨道交通项目演示_Attack

0x7、安全防御与检测

0x7.1、基于DPI的深度包检测的实现

0x7.2、协议检测

0x7.3、深度功能防御实现

待续。。。。

[原文地址]

各种吐槽:

1#

光的圆周率 (等级:二逼白帽子) | 2014-08-10 02:16

前排留名,这类系统一般都在物理隔离或者软隔离开的环境中?实际系统中对车体速度判定也应该是有一个安全阀值的吧?坐等更新

2#

Ricter (j0j0) | 2014-08-10 02:49

前排留名ˊ_>ˋ

3#

whking | 2014-08-10 04:01

很喜欢这类文章,让我等长见识了,谢谢~!@

4#

hacker@sina.cn | 2014-08-10 04:16

太牛逼了 完全无法直视 给楼主点个感谢 建议出书发扬光大 然后一群黑客就被抓了 bibibibibibi....

5#

hacker@sina.cn | 2014-08-10 04:20

点感谢提示乌云币不足, 明明还有几百个, 为何呢?

6#

xy小雨 (对方不在服务区) | 2014-08-10 08:42

长姿势了

7#

mramydnei | 2014-08-10 08:55

这个做的非常的赞!

8#

YY-2012 (SM沐足桑拿推拿来前订房优惠多多 一条龙服务噢) | 2014-08-10 09:10

西门子。。

9#

从容 (有生之年报答帮过我的人,并有能力去帮助需要帮助的人) | 2014-08-10 10:25

硬件大神啊,敢问楼主是不是电子信息工程技术专业的博士生?

10#

一剑萧寒 | 2014-08-10 11:08

碉堡

11#

0749orz (你这个B装的真有意思,教我装B技巧与演练吧) | 2014-08-10 11:16

太牛逼了 完全无法直视 给楼主点个感谢 建议出书发扬光大 然后一群黑客就被抓了 bibibibibibi....

12#

小火苗 (好好学习,天天向上) | 2014-08-10 14:15

前排插入。

13#

Jumbo | 2014-08-10 17:51

我学数控的,跟这个搭界不

14#

从容 (有生之年报答帮过我的人,并有能力去帮助需要帮助的人) | 2014-08-10 18:44

@Jumbo 肯定有关系,因为以上实验的产品肯定是通过数控加工造出来的

15#

Jumbo | 2014-08-11 01:15

@从容 嗯,我说西门子啥的跟我们有点熟悉呢,还有法兰克啥的,都是利用编程做工件,我试过,面板栏控制不严。可以进入我的电脑,CMD等等

16#

乌帽子 (和狗咬在一起的,终究还是狗!) | 2014-08-11 03:24

出轨好危险

17#

Z-0ne (一个很懒的人) | 2014-08-11 09:03

@从容 @Jumbo @光的圆周率 这个高铁模型买来原来是自带一个类似遥控器的东西,可以控制加速和变轨的,后来给换成了由PLC来完成自动控制,主要是为了方便直观验证PLC上的一些缺陷是否会影响CPU上运行的正常逻辑,打个比方,常规的一些拒绝服务攻击也只是让PLC的以太网模块故障崩溃,导致与监控的上位机通信中断,但并不会对当前运行的逻辑造成影响。

18#

无敌L.t.H (‮……是就的挖肉肉那,洞狗为称洞的挖狗疯如假) | 2014-08-11 09:18

@Jumbo 我们这边烟厂工控里面还装有瑞星……

19#

核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2014-08-11 14:06

。。。。。。

相关内容:

走进科学:银行ATM机真的安全吗?

某款网络摄像机直接获取帐号密码,视频监控设备配置信息泄露漏洞

讨论如何入侵演唱会无线话筒,hack掉演唱会无线麦的可能性

如果躲开支付宝风险监控,何才能做到不违反支付宝风控条件呢?

移动电源内置窃听器,在淘宝上买的充电宝内置远程定位、监听硬件后门!

户外物理渗透:终端机,客户端的web测试思路

使用WiFi真的有那么危险吗?安全科普:教你增强自己的无线网络安全

黑客讲故事:攻下隔壁女生路由器后,我都做了些什么,无线路由器被蹭网后,入侵女神

女黑客Oona,分析直升机现场拍摄警车追捕画面中的信号声,绘出飞机飞行轨迹

WIFI蜜灌之路由上的会话劫持

指纹门控的安全,户外物理设备入侵,如何入侵绕过指纹识别安全锁、门控系统

揭露一个飞机退改签的诈骗:借口机票退改签要退款,索要银行卡号,套取个人信息

新型“变色龙”:可以通过空气传播的Wifi网络病毒

玩转无线 -- GNURADIO 简单运用

已更新Iwork10测评!求推荐一款便携式户外物理移动渗透终端设备!!!

求推荐一款便携式户外物理移动渗透终端设备!!!

视频监控的一种通杀问题?大部分视频监控系统客户端无需密码?

一基友再遇奇葩无线网络环境,顺便求二级/三级/四级ISP的盈利方式?

Hikvision IP Cameras Multiple Vulnerabilities,海康威视IP摄像机的多个漏洞

Hikvision IP Cameras Multiple Vulnerabilities, 海康威视IP摄像机的多个漏洞

穷举海康威视监控密码的小程序,入侵海康威视IP摄像机

已获得网络出口引擎管理员权限,试问监控全网HTTP密码传输可能性?

【TED】Markham Nolan:如何辨别网上信息真伪,神级人肉,物理社工

教你怎样关闭Windows的摄像头指示灯(含视频)

走近科学:破解苹果MacBook摄像头进行秘密监控

利用声学密码分析攻击破译4096位RSA加密算法

FreeBuf2014贺岁视频: 极客教你如何劫持无人机

国外成功使用电视棒接收玉兔登陆信号

物理攻击?那些年我们忽略掉的一些社会工程学手段

ATM 机里装着什么?ATM 机的结构是什么?ATM 的构造原理?

利用ZoomEye探索互联网hikvision摄像头

好心人捡万元留"缺位"号码 猜86个电话找到拾主

关于伪基站的一些问题:信号覆盖范围?设备成本?是否违法?教程资料?

社工思路讨论:如何根据蛛丝马迹来找到具体的人或者物?

伪基站是怎么定位的呢?定位并抓捕伪基站、圈地短信、垃圾短信犯罪团伙!

【讨论】伪基站、圈地短信设备是怎么做出来的?

GSM Hackeing 之 SMS Sniffer 学习

讨论:通过无线路由渗透入侵内网电脑,如何从无线路由器到个人PC机?

为什么所有的无线频率都是2.4GHz?

谈谈时事:电话“诈”弹导致多地机场飞机被迫返航,论如何打电话不被追踪

如何发现系统中的异常,交易系统异常行为监控机制讨论

阴谋论:政府通过手机基站的电子精神控制

俺在国外当会棍 -- WIFI 篇

俺在国外当会棍 -- 开锁篇,旺财看“黑客锁匠大会”

Windows下的无线热点蜜罐

未来利用大脑频率杀死人类猜想(讨论)

求黑产大牛目测,一位妹纸的亲身经历,身份证号+手机号洗你银行卡

怪异!10086短信接口泄露?10086发博彩、赌博短信

黑阔如何攻击地铁理论,仅作讨论,请勿实践,后果自负!

小米云服务同步“wlan设置”的安全性,小米已收集了32万wifi明文密码

电影/电视剧/纪实片 信用卡信息泄漏猜想

移动自助终端未授权访问-通杀丽江

昨天从忘记带钥匙里学到的,欢乐讨论:各种开锁、物理黑客

“伪基站”任意冒用手机号短信诈骗

如何保护自己之防非IP方式追查,黑钱提线,赃物收货。。。。

为抓小偷 俄警方在地铁安装能读取乘客手机信息的设备,这是啥技术?

由Code Jam和地铁带票出站漏洞想到的

山西破获首起“伪基站”案件

物理设备安全大牛 Barnaby Jack 挂了...

保护自己之手机定位信息收集

技术讨论: 楼宇广告终端 怎么破? 入侵户外广告大屏幕!

请教关于手机IMEI定位的问题

(视频)USRP 来Sniffing 无线键盘,27Mhz keyboard sniffing

(视频)USRP 来 Sniffing 无线键盘,27Mhz keyboard sniffing

浅谈大型网络入侵检测建设

全面披露华硕十款无线路由器 - AiCloud启用单位的多个漏洞

我们是如何通过一张照片定位到疯狗位置的

钟馗之眼(ZoomEye):网络空间搜索引擎

黑市交易 – 女性肉鸡价格比男性贵100倍

麻省理工发明可以穿墙透视的WiFi雷达

如何用ZoomEye(钟馗之眼)批量获得站点权限

使用电视棒接收飞机信号简单的实现方法

使用电视棒接收飞机信号 简单的实现方法

超级短信DDOS 女生一天收上万条10086短信 还有近50万条等着她

讨论如何通过航空飞机的互联网入侵、劫持飞机上的乘客,入侵劫持卫星

R820T电视棒+软件无线电跟踪飞机飞行轨迹(SDR&ADS-B)

rtl-sdr,RTL2832+E4k tuner电视棒跟踪飞机轨迹ADS-B/TCAS/SSR

rtl-sdr,RTL2832+E4k tuner电视棒跟踪飞机轨迹 ADS-B/TCAS/SSR

电视棒跟踪飞机轨迹教程(ADS-B), SDR GPS 飞机追踪

rtl-sdr,RTL2832电视棒跟踪飞机轨迹教程(ADS-B), SDR GPS 飞机追踪

"棱镜门"披露我国电信公司遭入侵 专家称确有可能

揭秘美国网军:纯铜包裹建筑防信号外泄

黑客改造脑波耳机,让您可以通过思想控制建筑物

美8名犯罪分子在3个月内从ATM取款机盗取4500万美元现金

[技术实现]美国国安局如何实现海量用户数据的监控?

视频: Dtac:将宠物变成了WiFi热点,泰国运营商将宠物变成WiFi热点

“棱镜”计划曝光:直接接入谷歌苹果微软后台服务器,我们还安全吗?

户外物理设备入侵之:入侵并“调教”中控指纹语音考勤系统(打卡机)

视频: 可以用手势控制的Wi-Fi:WiSee

WIFI信号可用于识别身体姿势

公共无线安全——FakeAP之WiFi钓鱼

GNU Radio USRP OpenBTS 小区短信 区域短信

一种牛逼的短信群发技术 GNU Radio 小区短信 区域短信 免费发 无法拦截

观“深圳地铁 带票出站漏洞”有感,地铁站台多次刷卡,会有何反应?

观“深圳地铁 带票出站漏洞”有感,地铁站台多次刷卡,会有何反应?

监听空中的无线电,监听polices对讲机

周末湖边 Sniffing ADS-B,Hack 私人小型机场

一种猥琐方式的对攻击者定位(观315有感)

视频: ATM 的那点事! ATM 漏洞, Hack for fun! 利用磁卡导致ATM关机

嘿嘿,发现个ATM 漏洞, 利用磁卡导致ATM关机

如何用Android智能手机劫持一架飞机(PPT下载)

最彪悍的“黑客”攻破千家银行从未失手

物理黑客户外硬件入侵之:某咖啡厅的广告展示终端……

陌陌猥琐流定位妹纸精准位置 有图有真相 + 安卓工具

[讨论]如何入侵一个户外的电子显示屏

Inception能入侵全盘加密的计算机,修改物理机器内存/任意密码进入

关于迅雷突破物理带宽速度的讨论

android软件外加监控,隐私安全?!爆个一键root内幕!

关于手机的隐私保护。。

关于X卧底的通话监听、短信记录、定位追踪等侵犯隐私的行为讨论

远程入侵QQ好友所在网吧监控系统,人脸识别、定位坐标,定点打击

也谈新旧SIM卡耗电之争——从手机处理STK异常说起

dSploit—Android网络渗透套件测试小记(含视频)

实时抓取移动设备上的通信包(ADVsock2pipe+Wireshark+nc+tcpdump)

FBI备忘录显示黑客成功入侵了商业HVAC工控系统

android 手机系统、平台渗透测试神器 dSploit

交换机里能否添加后门?

看新闻学知识之手机千里追回

西安丢iPhone定位在北京民警辗转2400公里追回

三星智能电视被曝安全漏洞 黑客能控制摄像头

电话诈骗手段升级 听按键音破译银行密码

TP-LINK 路由器后门,TPLINK 存在一个 Shell 调试后门

一种可能的针对云端的监控

公共WiFi免费蛋糕能否长久 成本谁来埋单

如果大量短信攻击会不会造成拒绝服务,导致手机接不进电话?

手机连接不明WiFi网购 网友账户内1200元被盗

武汉公安开发尖端人像识别系统 可瞬间辨认嫌疑人 全国摄像头寻人

终端机常见绕过沙盘方法、突破终端机屏幕锁定限制方法大全

美国极超音速飞机90分钟飞越半球,时速可达4000千米,飞行在太空边缘

单反刷成安卓/ios,手机 psp kindle,连文曲星 计算器 空调遥控器也不放过

试验无线网络监听 网络账户密码也可被获取

美国电视节目用波音飞机做坠机实验,让飞机多一些撞击试验

视频:FPSRussia的俄式军火秀 遥控武装四桨直升机[中英双语字幕]

免费 WiFi 是“披着羊皮的狼”,女子蹭网引来20多名警察

网曝银行卡密码“漏洞”

浦发ATM机两地曝系统故障 用户调侃自助盗号机

王鹏你妹“占领”北京地铁五号线屏幕,关于“王鹏你妹”的真相

北京地铁5号线所有电视屏显示“王鹏你妹”官方回应

谷歌获智能手表专利:原理似谷歌眼镜(图)

Flightradar24 网站“直播”天上“堵飞机” 看全球实时航班

尺子和锤子的力平衡 - 创意的平衡尺

街机、捕鱼机、上分器、解码器、打码器、写码器、无线、遥控

美国试点超级无线网络 覆盖范围达数公里

电话机真的可以用嘴巴模拟拨号音来拨号?

用音响打电话,揭秘柯南电话拨号,如果电话键失灵了,直接用音响打电话

用音响打电话,揭秘柯南电话拨号,如果电话键失灵了,直接用音响打电话

如何从按键音中听出360总裁周鸿祎的手机号码 + 详细剖析

iPhone 短信欺骗漏洞攻击器、伪造短信号码工具、伪装发件人攻击器

Never trust SMS: iOS text spoofing,永远不要相信短信:iOS的文字欺骗

iPhone 短信欺骗漏洞披露,伪造短信号码、自定义短信手机号

视频:Sight 未来视网膜成像技术 科幻微电影

德安全专家破解GSM加密算法 GSM网络破解 监听全球40亿部手机

黑客在Defcon建立私人电话网络 - DEFCON 忍者 GSM 网络

支付宝错发中奖短信 送236台iPad2

视频:纸飞机驱动模组,电子纸飞机

网监如何爆菊?网警是如何通过层层VPN加密代理找到你的!

视频:如何动手改造iPhone添加无线充电功能

黑客6人组有人分析有人谈判 监控ATM机视频锁定嫌疑人

瑞典研发新技术可让WiFi每秒传输2.5TB数据

拉斯维加斯国际黑客大会(DefCon 2012黑客会议)本周开战

男子侵入上海移动平台群发广告短信牟利获刑

802.11b 无线网络固件级攻击、802.11b Firmware-Level Attacks

谷歌放出首个由Google眼镜拍摄的视频 720P格式

视频:1秒钟可复制银行卡?这不是骗局[财经夜行线]

美国秘密研制新概念网路武器 可攻击离线电脑 无线电信号渗透

手机全息投影、初音、Miku、立体投影,制作方法已放出,图文+视频

从技术角度深入剖析:改号软件,电话号码任意显示,伪造来电显示

华裔黑客 BITcrash44 凭借一台 iPhone4 拿下时代广场大屏幕

视频:国外黑客无线入侵、遥控电子路桥系统

视频:国外黑客无线入侵保时捷911,并且远程操控、遥控

视频:国外黑客利用一部诺基亚N95手机入侵火车站电子屏,并且现场直播

视频:国外黑客入侵高速公路交通电子屏

大屏系统被黑 泰国国会现场直播不雅照

视频:漂浮在空中的水珠、静止的水滴,适合做成展品的视错觉,超炫!!

《地铁大逃杀》国产荒诞动画神作,大力推荐,音效、视效都一流

美军投资新型隐形眼镜 可将信息投射到眼球上

利用电磁波进行入侵、原子级的黑客入侵、利用电磁波毁坏物理设备

电视机会收到邻居游戏机画面?小霸王信号干扰?红白机功率这么强悍?

Google开发扩展现实眼镜 基于Android系统运行

黑客攻击漏洞 让 ATM 机自动吐钱

伪造免费 WiFi 盗你账号密码

瑞星:ATM出现漏洞 银行:哪有这回事?

瑞星提醒:农行、建行ATM出现漏洞 可被黑客利用攻击内网

末世入侵行动 (Fire Sale!) 末日入侵行动

视频:德国牛人!手工打造电力驱动的载人多浆式直升飞机!

视频:看牛人是怎么玩遥控飞机的 - 变矩螺旋桨倒飞

视频:鬼佬的室内四轴定位系统,震惊,飞机模型能玩到如此地步!

浙大实验室现最萌饮水机 揭开“饮水机娘”的神秘面纱

视频:360度全景球形可投掷照相机 360度全景球形相机

黑客入侵南非银行系统 盗走670万美金 黑客入侵、盗取

ATM Skimmers - ATM Hacker - 自动提款机黑客

GSM蜂窝基站定位基本原理浅析

用黑客方式找回失窃的电脑 - GSM基站定位 - Wifi热点定位

不要偷黑客的东西 - Why you don't steal from a hacker

纪念集成电路之父、英特尔创始人罗伯特·诺伊斯84周年诞辰

【视频】发射到121000英尺(36880.8米)摄影机拍摄地球

物理攻击、抓频攻击 - 利用雷达来进行扫描网络弱点

金山截获国内首个QQ群蠕虫病毒

1970年左右发现最早黑客技术——哨子

美国号称世界最快飞机试飞时失去联系

北京东城警方强装WIFI监控软件遭质疑

【视频】NRF24L01无线射频模块实现无线视频通讯实例

【视频】NRF24L01无线射频模块 实现无线视频通讯实例

美“赤脚大盗”科尔顿面临6年监禁 曾偷5架飞机

美国“末日飞机”曝光 面临大灾难可保护首脑 可抗核武器袭击、核辐射

CMCC【中国移动】无线热点破解思路

破解无线wifi密码后不能上网的问题解析

苹果iPhone和谷歌Android手机被曝"定位"用户

能直接在眼球上投影图像的隐形眼镜,智子?

无银行卡,密码10万元1分钟转走,超级黑客?

“冒死爷”爆料:通往2010广州亚运会的死亡之路

扫描指定IP网段存在的网络摄像头、监控设备

【计算机常识】双机无线wifi互联教程

【视频】永远不会掉下来的纸飞机 - 折纸滑翔机

【技巧】用无线路由实现无线桥接

【工具】无线破解/渗透工具 Beini-1.2.1

渗透某餐厅无线点餐服务器

全套手机秘籍/手机指令

视频:黑客实战入侵,黑客入侵大楼灯光控制系统,黑客们的游戏,户外物理入侵

深入剖析黑客窃取网上银行的基本方法