【一】武器化的PLC

知名工業(yè)網(wǎng)絡安全公司Claroty旗下的Team82研究團隊開發(fā)了一種稱為Evil PLC攻擊的新技術，其中PLC 被武器化并用于損害工程師站。在工程師站上立足的攻擊者可以訪問連接該機器的OT網(wǎng)絡上的任何其他設備，包括其他 PLC。攻擊的目標是從事工業(yè)網(wǎng)絡、PLC配置和故障排除的工程師，他們的工作是確保公用事業(yè)、電力、水和廢水、重工業(yè)、制造和汽車等關鍵行業(yè)的流程的安全性和可靠性。Team82團隊發(fā)布的題為《邪惡PLC攻擊：將PLC武器化》的白皮書稱，邪惡PLC攻擊的研究成果對7家自動化公司進行了有效的概念驗證利用，包括羅克韋爾自動化、施耐德電氣、通用電氣、貝加萊、辛杰、OVARRO和艾默生。這篇論文描述了工程師如何診斷PLC問題，編寫字節(jié)碼并將其傳輸?shù)絇LC執(zhí)行，以及Team82如何概念化、開發(fā)和實現(xiàn)許多新技術，以成功地使用PLC在工程師的機器上實現(xiàn)代碼執(zhí)行。

Team82研究人員8月13日在一篇博客文章中寫道，使用其完整的研究方法，他們能夠找到以前未報告的漏洞，這些漏洞使其能夠在上傳過程發(fā)生時將受影響的PLC武器化并攻擊工程師站。根據(jù)Team82的協(xié)調披露政策，所有調查結果都報告給了七家受影響的供應商。此外，他們補充說，大多數(shù)受影響的公司都修復或減輕了Team82在其各自產品中發(fā)現(xiàn)的漏洞。

Claroty研究人員表示，Evil PLC Attack將PLC變成了工具而不是目標。通過將一個 PLC武器化，攻擊者可能反過來危害工程師的工作站，這是與過程相關信息的最佳來源，并且可以訪問網(wǎng)絡上的所有其他PLC。通過這種訪問和信息，攻擊者可以輕松地更改任何PLC上的邏輯。?

該項攻擊技術的訣竅是引誘工程師連接到受感染的PLC。最直接的方法是在PLC上造成故障。這是工程師使用其工程工作站應用程序作為故障排除工具來響應和連接的典型場景。這是Team82獨創(chuàng)的方法，通過在七個工程工作站平臺中的每一個發(fā)現(xiàn)漏洞，這些漏洞使其能夠以一種在執(zhí)行上傳過程時將PLC武器化的方式——上傳過程涉及傳輸從 PLC到工程工作站的元數(shù)據(jù)、配置和文本代碼——研究人員專門制作的輔助數(shù)據(jù)將導致工程工作站執(zhí)行他們的惡意代碼。

Claroty透露，該技術使用不一定屬于正常靜態(tài)/離線項目文件的數(shù)據(jù)將LC 武器化，并在工程連接/上傳過程中啟用代碼執(zhí)行。通過這種攻擊媒介，目標不是 PLC，例如臭名昭著的Stuxnet惡意軟件會偷偷改變PLC邏輯以造成物理損壞。相反，他們希望使用PLC 作為支點來攻擊對其進行編程和診斷的工程師，并獲得對OT網(wǎng)絡的更深入訪問。

值得注意的是，他們發(fā)現(xiàn)的所有漏洞都在工程工作站軟件上，而不是在PLC固件中。他們補充說，在大多數(shù)情況下，存在漏洞是因為軟件完全信任來自PLC的數(shù)據(jù)，而無需執(zhí)行廣泛的安全檢查。

【二】三種攻擊場景 Team82研究人員為Evil PLC攻擊確定了三種不同的攻擊場景。其中包括將PLC武器化以實現(xiàn)初始訪問、攻擊移動集成商以及將PLC武器化為蜜罐。Claroty研究人員確定，攻擊者可以使用武器化的PLC在內部網(wǎng)絡上獲得初步立足點，甚至進行橫向移動。暴露在互聯(lián)網(wǎng)上的PLC通常缺乏身份驗證和授權等安全性，并通過Shodan和Censys搜索發(fā)現(xiàn)。能夠以這種方式訪問PLC的攻擊者能夠通過惡意下載程序修改參數(shù)或其行為和邏輯。

機會主義攻擊者識別面向互聯(lián)網(wǎng)的PLC，使用商業(yè)工程師站軟件連接到它們，并上傳當前項目，其中包括來自PLC的代碼和設置，Claroty博文然后，攻擊者將修改項目的邏輯，并執(zhí)行下載程序以更改 PLC 邏輯。此類事件的一個例子是2020對以色列供水系統(tǒng)的攻擊，攻擊者利用可訪問的 PLC并試圖向供水系統(tǒng)注入氯氣。 研究表明，攻擊者可以使用面向互聯(lián)網(wǎng)的PLC滲透整個OT網(wǎng)絡的支點。攻擊者不僅可以簡單地連接到暴露的PLC并修改邏輯，還可以武裝這些PLC并故意造成故障，將工程師引誘到他們那里。作為一種診斷方法，工程師將執(zhí)行一個會危及他們機器的上傳程序，這將促成攻擊者在OT網(wǎng)絡上站穩(wěn)了腳跟。

Claroty還發(fā)現(xiàn)，攻擊者可以將系統(tǒng)集成商和承包商作為進入世界各地許多不同組織和站點的一種手段?，F(xiàn)代OT管理通常涉及與許多不同網(wǎng)絡和 PLC 交互的第三方工程師和承包商。在這種攻擊場景中，系統(tǒng)集成商是PLC和工程師站之間的樞紐，負責監(jiān)督眾多OT網(wǎng)絡。? 研究人員說，攻擊者會將PLC定位在一個遠程、安全性較低的設施中，該設施已知由系統(tǒng)集成商或承包商管理。然后攻擊者將PLC武器化并故意在PLC上造成故障。

通過這樣做，受害工程師將被引誘到PLC進行診斷。通過診斷過程，集成商將執(zhí)行上傳程序并讓他們的機器受到威脅。他們補充說，在獲得集成商機器的訪問權限后，攻擊者可以反過來攻擊甚至武器化其他組織內部新訪問的PLC，從而進一步擴大他們的控制范圍。 Claroty確定，防御者可以使用蜜罐PLC來吸引和攻擊可能的攻擊者，從而威懾和挫敗潛在的攻擊者。從防御的角度來看，攻擊向量很有用，可以用來誘捕攻擊者。鑒于攻擊者經常使用與工程師相同的商業(yè)工具，防御者可以故意設置面向公眾的武器化PLC，并允許攻擊者與之交互。這些PLC將充當蜜罐，吸引攻擊者與之交互。

? 然而，如果攻擊者落入陷阱并在枚舉過程中從誘餌PLC執(zhí)行上傳，則武器化代碼將在攻擊機器上執(zhí)行。研究人員補充說，這種方法可用于在枚舉的早期檢測攻擊，也可能阻止攻擊者瞄準面向互聯(lián)網(wǎng)的PLC，因為他們需要保護自己免受他們計劃攻擊的目標的侵害。 Claroty表示，要達到100%的補丁級別，尤其是在關鍵基礎設施中，并不容易，因此提供了額外的緩解措施，有助于降低Evil PLC攻擊的風險。武器化是第一步，因此，研究人員建議盡可能限制對PLC的物理和網(wǎng)絡訪問。毫無疑問，此類設備不應從外部訪問或在線公開。但內部訪問也應僅限于授權的工程師和操作員。

Claroty建議落實網(wǎng)絡分段和網(wǎng)絡衛(wèi)生，以確保與PLC的連接僅限制對一小部分工程師站的訪問，從而大大減少了網(wǎng)絡中的攻擊面。它還建議使用客戶端身份驗證來驗證客戶端和工程師站的身份。目前，一些供應商實施這樣的通信協(xié)議，而不是允許任何工程師站與 PLC 通信，只有一組特定和預定義的工程師站能夠與PLC交互，通過要求工程師站向PLC 出示證書。

隨著Evil PLC攻擊向量向PLC執(zhí)行下載/上傳程序，監(jiān)控OT網(wǎng)絡流量并特別檢測這些類型的事件非常重要，如果這樣的程序在意外情況下發(fā)生，它可能表明有漏洞利用的企圖。此外，隨著攻擊者和防御者進一步研究這種新的攻擊向量，將會發(fā)現(xiàn)更多類似上面所示的漏洞，并且OT供應商將修補這些漏洞。與OT軟件保持同步很重要，這將防止利用這些1-day漏洞的攻擊。

參考資源：

1.https://industrialcyber.co/vulnerabilities/evil-plc-attack-weaponizes-plcs-to-exploit-engineering-workstations-breach-ot-and-enterprise-networks/

2.https://claroty-statamic-assets.nyc3.digitaloceanspaces.com/resource-downloads/team82-evil-plc-attack-research-paper.pdf

編輯：黃飛

?