一种新型的PLC攻击技术：Evil PLC Attack（邪恶PLC攻击）

近期，国外工业网络安全公司Claroty旗下的Team82研究团队开发了一种新型的工业网络攻击技术：Evil PLC Attack（邪恶PLC攻击）。该攻击可以将OT网络中重要的PLC设备武器化，以在工程师站中获得初始立足点，并进一步入侵OT和企业网络。其中，该技术的主要攻击目标是对PLC进行定期配置和故障排除的工程师，其工作内容是确保公用事业、电力、水和废水处理、重工业、制造和汽车等关键行业的流程的安全性和可靠性。

为此，Team82团队发布了《EVIL PLC ATTACK:WEAPONIZING PLCS》白皮书，并对七家市场领先的自动化公司（包括罗克韦尔自动化、施耐德电气、通用电气、贝加莱、新杰、OVARRO 和艾默生）进行了有效的概念验证攻击。Team82团队将深入描述工程师如何诊断PLC问题、编写字节码并将其传输到PLC执行，以及Team82如何概念化、开发和实施众多新技术以成功使用PLC在工程师的计算机上实现代码执行。

目前，Claroty公司根据披露要求，已将调查结果上报给七家受影响的自动化公司。以下是受影响的供应商和产品的列表，以及指向其各自建议和补救措施。截止本文截稿前，大多数供应商针对邪恶PLC攻击发布了修复程序、补丁或缓解计划。

根据团队研究人员对ICS平台的测试发现大多数涉及PLC的攻击场景都是围绕访问和利用控制器展开的。由于一个典型的工业网络可能有几十个PLC执行不同的操作，故PLC对于威胁行为者来说是极具吸引力的目标。例如，一个希望中断某个特定工艺流程的攻击者需要执行长时间的PLC枚举，以便找到目标PLC。

通过Team82团队的研究表明，Evil PLC Attack将PLC作为攻击工具而不是目标，攻击者引起PLC的故障引诱工程师连接受感染的PLC，这将迫使工程师使用工控软件作为故障排除工具进行连接。在这种情况下，可利用PLC来访问其维护者，即工程师站。一旦工程师站被入侵，PLC就会把恶意数据传输到工程师站。工程师站将解析这些数据，触发漏洞，执行恶意代码，并可入侵网络上的所有其他PLC。通过这种新型的攻击方式，攻击者可以轻松地改变任何PLC上的逻辑。

通过研究，Claroty人员尝试对多个主流ICS平台执行这种新的攻击向量，并且在每个平台上都发现了各种漏洞，这些漏洞使攻击者能够将PLC武器化，当执行上传程序时，研究人员专门制作的辅助数据将导致工程师站执行特定的恶意代码。

Team82团队认为邪恶PLC攻击是一种新的攻击技术，这种技术使用不一定是正常静态/离线项目文件一部分的数据使PLC武器化，并在工程连接/上传过程中执行恶意代码。邪恶PLC攻击技术与常规攻击手段的攻击目标不同，例如，臭名昭著的Stuxnet恶意软件便是悄悄地改变PLC的逻辑，从而造成物理损害。而该团队使用该技术将PLC为一个枢纽点来攻击编程和诊断它的工程师，并获得对OT网络更深入的访问。

值得注意的是，他们发现的所有漏洞都在工程软件方面，而不在PLC固件方面。在大多数情况下，存在漏洞是因为软件完全信任来自PLC的数据，而不进行广泛的安全检查。

Team82研究人员根据邪恶PLC攻击的载体，设计了三种不同的攻击场景，既可以进攻也可以进行防御，分别为武器化PLC以实现初始访问、攻击系统集成商和将PLC作为蜜罐武器化。

武器化PLC以实现初始访问

据调查，当前有成千上万的ICS设备暴露在互联网上，并且可以通过大多数公共互联网扫描服务（包括Shodan和Censys等）发现这些设备。这些面向互联网的设备通常缺乏安全性，任何人都可以访问它们，修改参数，甚至通过下载过程改变它们的行为和逻辑。

当关键基础设施允许公开访问时，攻击者将PLC作为攻击切入点。因此，为了实现对大多数PLC的入侵，唯一需要的工具是PLC供应商提供的商业工程软件。在过去的几年里，这种机会主义攻击者会识别面向互联网的PLC，使用商业工程软件连接到它们，并上传当前的项目，其中包括来自PLC的代码和设置。然后，攻击者将修改项目的逻辑，并执行下载过程来修改PLC逻辑。

Claroty的研究表明，攻击者可以利用面向互联网的PLC作为一个枢纽点，渗透整个OT网络。攻击者不仅可以简单地连接到暴露的PLC并修改逻辑，还可以武装这些PLC并故意造成一个故障，从而将工程师引诱到这些PLC上。在诊断过程中，工程师将上传一个包含恶意代码的程序，使攻击者获得初始立足点。之后，攻击者可以在OT网络内进行横向移动，威胁其他设备。

攻击系统集成商

Team82团队在检查现代OT管理程序时，发现在大多数情况下，许多不同的OT网络和PLC交互均由第三方工程师和承包商负责管理。考虑到这一点，攻击者可以利用这些系统集成商作为重要枢纽点，作为进入世界各地许多不同组织和网站的手段，从而大大扩展了该攻击技术的覆盖范围。

在实际攻击过程中，攻击者会将PLC定位在一个远程的、安全性低的设施中，并且这个设施明确由系统集成商或承包商负责管理。然后攻击者将PLC武器化，并故意导致PLC出现故障，将受害者工程师引诱到该PLC。在诊断过程中，工程师将上传一个包含恶意代码的修复程序，从而使攻击者获取内部访问权限。在获得设备访问权限后，攻击者可以反过来攻击甚至武器化其他组织内部相邻的PLC，进一步扩大他们的控制范围。

将PLC作为蜜罐武器化:

研究人员在技术测试过程中，发现这种新的攻击载体可以作为蜜罐使用，为可能的攻击者设置陷阱，从而保护组织的OT网络。

已知攻击者与工程师可使用相同的工程软件工具，防御者可以有目的性地建立面向公共环境的PLC蜜罐，并允许攻击者与它们交互，这些PLC将充当诱饵，吸引攻击者与它们交互。

研究人员表示，如果攻击者掉入陷阱，并在枚举过程中从PLC蜜罐上执行上传操作，则武器化代码将在攻击者的机器上执行。此方法可用于在枚举的早期阶段检测攻击，也可以阻止攻击者针对面向互联网的PLC。

Claroty在白皮书中说明，为了达到100% 的修补级别，特别是在关键的基础设施，是不容易的，因此需要额外的缓解步骤，以减少邪恶PLC攻击的风险。

在邪恶PLC攻击技术中，武器化是第一步，因此，研究人员建议尽可能限制对PLC的物理和网络访问。毫无疑问，这些设备不应允许被外部访问或在线公开，同时内部访问也仅限于被授权的工程师和操作员。

Claroty研究人员提出了5点安全防护措施，以有效降低该技术带来的安全风险：

（1）落实网络分段限制

通过对OT网络进行严格分段来限制外部或内部的PLC访问途径，并且只允许少数工程师站进行连接，将大大减少了来自网络的攻击面。

（2）客户端认证

使用客户端认证机制来验证客户端(工程工作站)的身份，目前，一些供应商实施这种通信协议，其中不允许任何工程师站与 PLC 通信，只有一组特定和预设的工程师站能够与PLC交互，并且要求工程师站向PLC提供数字证书。

（3）使用PKI

使用完整的公钥基础设施(PKI)系统来验证和加密客户端、工程工作站和服务器、PLC之间的所有通信。相互身份验证，通常称为相互TLS，有助于显著降低有人入侵 OT资产的风险。然而，现实情况是，许多 ICS 产品线尚未实现 PKI。

（4）网络流量监控

Evil PLC攻击主要操作均涉及在PLC执行下载/上传程序，因此，监视OT网络流量并特别检测这些类型的事件非常重要，如果发现相关事件或流量数据，则表明有人正试图利用它，现场人员应及时进行阻断与拦截。

（5）保持更新

随着攻击者和防御者对新型攻击技术的进一步研究，将会发现更多类似的漏洞，并且供应商将会提供相关补丁修补这些漏洞。因此，保证工程软件同步更新，将有效防止这些1day漏洞的攻击。

参考资源：

1.https://industrialcyber.co/vulnerabilities/evil-plc-attack-weaponizes-plcs-to-exploit-engineering-workstations-breach-ot-and-enterprise-networks/

2.Claroty Team82, Evil PLC Attack: Weaponizing PLCs, August 2022

3.https://claroty.com/team82/research/evil-plc-attack-using-a-controller-as-predator-rather-than-prey