攻防有道：SchneiderTM221 PLC攻击实验

图1-SchneiderTM221 PLC

具体实验组网拓扑图如下，其中工业防火墙串联PLC，实验首先将工业防火墙设为调试模式进行攻击实验，即防火墙对流量不拦截，测试防火墙防护能力时将防火墙设为工作模式，防火墙对攻击流量进行拦截。

图2-实验箱组网逻辑拓扑图

1.1 通过plcscan工具，能够确认该PLC具体型号为TM221CE24R，使用modbus协议

图3-Plcscan确认PLC具体型号

使用防火墙的防护效果：防火墙的黑名单事件已识别此次扫描并进行拦截

图4-开启防火墙后plcscan扫描防护墙的日志

plcscan扫描后无法识别modbus。

图5-开启防火墙后plcscan扫描失败

1.2 通过nmap的modicon-info脚本扫描502端口，也可以列出PLC的具体信息，服务为modbus

图6-Nmap脚本确认PLC具体型号

使用防火墙的防护效果：使用珞安科技工业防火墙，自带黑名单，重新使用nmap扫描，从防火墙端的黑名单事件可以看出，匹配到探测流量后将流量抛弃。

图7-开启防火墙后nmap扫描防火墙的日志

Nmap扫描后已无法识别modbus

图8-开启防火墙后nmap识别modbus失败

既然使用了modbus协议，首先考虑使用smod进行渗透测试。Smod是一个模块化的Modbus渗透测试框架，可以用来测试Modbus协议所需的各种诊断和攻击功能。这是一个使用Python和Scapy的完整的Modbus协议实现。这个软件可以在python 2.7.x下的Linux / OSX上运行。Smod安装后有如下modules：

图9-Smod主要功能

2.1 暴力破解PLC的UID及枚举功能

通过smod框架首先爆破出UID，再通过UID枚举出PLC的功能。同时爆破出的UID还可以进行读取线圈、读取保持寄存器等操作。

图10-Smod枚举UID

Modbus PLC的功能进行枚举（/modbus/scanner/getfunc），携带上UID

图11-Smod枚举功能码

使用防火墙的防护效果：防火墙对爆破的流量进行了识别且丢弃，黑名单事件如下：

图12-开启防火墙后，smod枚举时防火墙记录的日志

图13-防火墙记录的黑名单信息

在防护墙防护后，爆破UID的速度变得很慢，在枚举功能时smod框架直接报错。

图14-防火墙开启后smod框架枚举失败

2.2 读取线圈

图15-Smod读取线圈

2.3 保持寄存器进行读取（/modbus/function/readHoldingRegister）

图16-Smod读取保持寄存器

此为PLC的正常功能，防火墙默认并未做限制，未识别到安全事件。

3.1 Synflood攻击

SYN攻击利用TCP建立连接时3次握手，通过原始套接字发送源地址虚假的SYN报文，使目标主机永远无法完成3次握手，占满了系统的协议栈队列，资源得不到释放，进而拒绝服务。使用如下命令进行Synflood dos攻击：

图17-Hping3进行synflood攻击

可以看到dos攻击产生效果，PLC无响应，wireshark抓包发现发送了大量TCP的包

图18-Hping3进行synflood攻击流量

图19Hping3进行synflood攻击后HMI与PLC已无法通信

使用防火墙的防护效果：

防火墙对synflood攻击进行了识别且丢弃，在攻击防护事件中有如下记录：

图20-synflood攻击防火墙日志记录

防火墙开启后流量峰值明显下降

图21-synflood攻击开启防火墙峰值下降

重放攻击（Replay Attacks）又称重播攻击、回放攻击，是指攻击者发送一个目的主机已接收过的包，来达到欺骗系统的目的，主要用于身份认证过程，破坏认证的正确性。以下为重放攻击的步骤:

1.攻击机接入交换机，PLC串联防火墙后接入交换机。

2.使用MachineExpert-Basic配置选择TM221CE24R后，选择试运行，添加正确IP后点登录。

3.点击控制器到PLC（上传），即将PLC的程序下载到本地电脑。

图22-通过MachineExpert-Basic连接PLC并上传程序到本地

4.点击停止控制器，启动控制器，分别抓包，从大量包中分析出停止及启动PLC的程序。

启动PLC发包为hex: 589600000006015a2540ff00

停止PLC发包为hex: 1a7b00000006015a2741ff00

5.点击编程，主任务中存在编程后的程序，可以通过手动改变M点位和I点位的开关来达到调试PLC的目的，如开启LED灯，开启电机，关闭电机等。

图23-通过MachineExpert-Basic连接PLC并调试程序

6.通过wireshark抓包得到改变各个状态的数据，从大量包中获取数据编写脚本。得到modbus_exploit3.py

7.运行modbus_exploit3.py 对应命令，可通过重放攻击改变实验箱状态，如PLC启动、PLC停止、流水灯启动、流水灯停止、电机开启、电机关闭等

图24-重放攻击脚本

图25-重放攻击实验

重放攻击的流量属于正常的业务流量，防火墙识别了协议，但并未拦截，需单独配置规则拦截。

图26-防火墙协议分析抓取到了流量

使用peach进行FUZZ测试，抓取写单个寄存器（0x06）的流量编写peach的xml文件，未能发现问题，且peach的用例运行较慢。

图27-peach fuzz写单个寄存器的配置文件

图28-peach运行截图及fuzz结果

更改peach配置，改为fuzz功能码90，且monitor使用WindowsDebugger，速度变快，在fuzz过程中，出现实验箱灯光闪烁、电机转动等现象，FUZZ两天未能发现漏洞。

图29-peach fuzz 90功能码且改变monitor的配置文件

使用防火墙的防护效果：开启防火墙后，FUZZ时产生大量规约告警事件，防火墙对无效的流量进行了告警

图30-防火墙对无效的fuzz流量进行告警

且对部分fuzz流量进行了丢弃

图31-防火墙对部分黑名单流量进行丢弃

具体测试步骤如下：

1.设定kali的ip为192.168.2.32

2.在主机192.168.2.30上执行arp –a

可以查看接口192.168.2.30下面25和32的物理地址

3.在kali上执行右侧命令。

4.重新执行arp –a，可以看到192.168.2.25的物理地址已经修改为和192.168.2.32一样了。

图32-kali进行arp欺骗实验

 图33-Arp欺骗成功，PLC的物理地址已修改

通过上述实验，可以发现施耐德TM221CE24R型号PLC使用modbus协议，因工控协议缺乏安全验证机制，可以很轻易的实现攻击，如UID的爆破、功能码的枚举、重放攻击等。另外DOS攻击也是针对PLC攻击的有效手段。FUZZ是发现工控协议漏洞的一种手段，但效率有待提高。可以成功对PLC的地址进行ARP欺骗，混淆网络设备。

但也发现，通过珞安科技工业防火墙可以对上述攻击进行有效防护，在默认规则情况下，能防护住nmap、plcscan的探测，也能阻止功能码的枚举。对于DOS攻击也能进行一定的消减，丢弃大量攻击流量。对于FUZZ过程中的异常流量，能够有效识别并给出告警。但对于正常的读取线圈、读取保持寄存器或者正常功能的重放攻击不能拦截，需写入对应规则。综合来看，防护效果明显。

珞安科技工业防火墙通过对主流工业协议进行解析，综合运用工控威胁特征识别技术、机器自学习与可信白名单技术，提供传统防火墙的网络层控制和状态监控能力的同时，能够有效抵御各类针对工控系统的网络攻击和恶意破坏，为生产控制系统的稳定运行提供安全保障。