西门子PLC举例说明-新型PLC蠕虫病毒应对策略 .doc

西门子PLC举例说明:新型PLC蠕虫病毒应对策略 plc全称为Programmable Logic Controller，即可编程逻辑控制器，是一种采用一类可编程的存储器，用于其内部存储程序，执行逻辑运算、顺序控制、定时、计数与算术操作等面向用户的指令，并通过数字或模拟式输入/输出控制各种类型的机械或生产过程。西门子作为全球PLC市场占有率最高的PLC设备厂家，其产品系列主要包括S7-200、S7-300、S7-400、S7-1200、S7-1500等。其中S7-200、S7-300、S7-400系列的PLC采用早期的西门子私有协议S7Comm进行通信。S7Comm协议已被研究者完全掌握，并且在github上可以下载到该协议的插件。S7-1200系列固件版本为V3.0以下的PLC采用西门子新一代的S7Comm-Plus协议进行通信。该协议采用了一些特殊编码规范，并且做了抗重放攻击的防护。但是其安全防护仍然较弱，已被基本破解。S7-1200系列固件版本为V3.0以上，以及S7-1500系列的PLC，采用了最新的S7Comm-Plus协议，该协议对比之前S7Comm-Plus协议，采用了加密算法，目前仍未被研究透彻。 西门子plc通过Step7以及WinCC软件进行组态，目前最新版本为TIA Portal V13。其中使用Step7进行下位机组态，WinCC进行上位机组态。 在Step7组态软件中，用户通过编写POU程序块来完成工业现场的控制以及工艺流程的实现。西门子POU程序块包括： OB(Organization Block )：组织块，为用户程序的入口程序块 FB(Function Block)：功能函数块，实现一些封装好的函数功能 FC(Function)：函数块，为用户编写的程序 DB(Data Block)：数据块，用来存放全局变量 SFB(System Function Block)：系统功能函数库，系统内部封装的函数块 SFC(System Function)：系统函数库，系统内部封装的函数 Step7程序块的组态语言包括LD(梯形图)，FBD(功能块图)、SCL(结构化控制语言)、STL(语句列表)。 西门子PLC在进行程序下装的过程中，首先会在下装前停止PLC的运算，下装程序完成后再重新启动PLC。 病毒的实现 对于病毒的实现流程，首先选择IP尝试建立连接，如果连接建立成功，则检查目标PLC是否已被感染。如连接未建立成功，或目标PLC已被感染，则选择新IP重新尝试建立连接。如目标PLC未被感染，则停止目标PLC，下装病毒程序，最后重新启动目标PLC。流程如图1所示。 病毒实现流程 寻找目标 所有的西门子PLC通过102端口进行TCP通信，因此可以通过尝试建立102端口的TCP通信来进行目标的寻找。Step7组态软件中提供了两个FB块，TCON以及TDISCON，如图2所示。TCON用来建立TCP连接，其中REQ输入管脚通过上升沿信号触发，CONNECT输入管脚配置TCON建立连接的如对端IP、对端端口号，本机端口号，通信方式等相关参数。TDISCON用来断掉TCP连接，REQ上升沿触发。 nbsp; 图3为尝试建立连接的FC块，首先使用TCON块建立连接，如果建立成功，即输出管脚DONE为TRUE时，则置状态字con_state为20，继续下一步病毒的传播感染操作。如连续200次建立连接不成功，则置状态字con_state为0。 使用TCON块尝试建立连接 如连接未成功建立或病毒传播完成，即状态字con_state为0时，则使用TDISCON做断开连接操作，如果输出管脚ERROR或输出管脚DONE为TRUE时，将TCON输入管脚CONNECT中的对端IP末位加一，并使用该新IP再次尝试建立连接。实现过程如图4所示。 使用TDISCON进行连接的断开并更改IP 成功建立连接后，首先判断目标PLC是否已经感染该病毒，通过TSEND功能块发送相关数据报文，并对返回的报文进行判断，如未被感染，则继续执行病毒的传播过程，如已感染，则置状态字con_state为0，重新更换IP尝试建立连接。 检测目标PLC是否已感染病毒 传播感染 正常情况下，博途软件会对PLC进行程序的下装操作，而下装过程正式利用了西门子私有的S7协议。在西门子PLC简介章节中提到西门子S7Comm协议以及早期的S7Comm-Plus协议已可以被研究者熟悉利用。因此在传播感染阶段，可以根据S7协议的内容，通过伪造博途软件下装程序的报文，可以实现PLC到PLC的程序传输操作。也就是说已感染病毒的PLC向目标PLC发送下装程序块的报文，而目标PLC识别到报文后，误以为是博途软件对其进行下装，最后会将报文中的相关功能块存储在PLC中。 Step7组态软件中