仿伊朗核电欺骗攻击-PROFINET协议中间人攻击复现

仿伊朗核电欺骗攻击-PROFINET协议中间人攻击复现

   PROFINET是PROFIBUS国际组织推出的新一代基于工业以太网技术的自动化总线标准。对PROFINET协议分析后发现该协议容易遭受中间人攻击,攻击效果类似震网病毒,发起攻击后可向变频器发送错误的频率,并且响应给PLC正常的频率。
PART1.
试验环境


PLC:SIMATIC S7-1500

变频器:SIMATIC CU240E-2 PN

PART2.
协议分析


发现阶段:

交互流程

仿伊朗核电欺骗攻击-PROFINET协议中间人攻击复现

1、PLC(MAC地址:ec:1c:5d:02:52:53)发送组播,以在网络中宣告PLC。

2、变频器(MAC地址:00:1c:06:92:04:8c)接收到组播数据后,向PLC发送响应信息,其中包含变频器的一些基础信息和配置请求。

仿伊朗核电欺骗攻击-PROFINET协议中间人攻击复现

3、PLC向变频器发送IP配置信息。
仿伊朗核电欺骗攻击-PROFINET协议中间人攻击复现

协商阶段:

PLC(IP地址:192.168.2.22)和变频器(IP地址:192.168.2.23)通过PNIO-CM协议(依赖UDP)进行配置信息协商。

仿伊朗核电欺骗攻击-PROFINET协议中间人攻击复现

关键字段如下:

第一个PNIO-CM数据包指出了运行阶段中发送控制数据的设备MAC地址。

仿伊朗核电欺骗攻击-PROFINET协议中间人攻击复现

第二个PNIO-CM数据包指出了运行阶段中发送响应数据的设备MAC地址,以及控制指令标识符(0x8020)和响应指令标识符(0x8000)。

仿伊朗核电欺骗攻击-PROFINET协议中间人攻击复现

运行阶段:

运行阶段通过PNIO协议进行交互。

仿伊朗核电欺骗攻击-PROFINET协议中间人攻击复现

1、PLC发送给变频器的控制数据包含停止和运行两种状态,控制数据使用协商的控制指令标识符0x8020(红框)。停止状态的控制数据使用标识0x60(黄框),且控制指令(蓝框)和频率(绿框)均为0。

仿伊朗核电欺骗攻击-PROFINET协议中间人攻击复现

运行状态的控制数据使用标识0x80,控制指令为0x047f,频率为调节的频率数值。

仿伊朗核电欺骗攻击-PROFINET协议中间人攻击复现

2、变频器发送给PLC的响应数据只有一种状态,响应数据使用协商的响应指令标识符0x8000(红框)。响应数据中包含标识变频器当前运行状态的指令(蓝框),和变频器的当前转速(绿框)。

PLC发送停止状态命令后的响应:

仿伊朗核电欺骗攻击-PROFINET协议中间人攻击复现

PLC发送运行状态命令后的响应:

仿伊朗核电欺骗攻击-PROFINET协议中间人攻击复现

PART3.
攻击流程


1、发现阶段伪造ARP请求发送给PLC和变频器,使协商阶段数据流经攻击者机器。

2、协商阶段修改PLC和变频器交互数据中的关键MAC地址,使运行阶段数据流经攻击者机器。

3、修改运行阶段控制数据和响应数据中的频率字段,使PLC接收到正常的频率响应,以及变频器接收到伪造的频率。
PART4.
演示视频



PART5.
缓解建议


1、交换机Mac地址绑定。
2、基于流量监控,在发现阶段确认变频器IP与MAC映射,后续可识别出伪造的ARP请求。
SAFE
获取更多情报

联系我们,获取更多漏洞情报详情及处置建议,让企业远离漏洞威胁。
电话:18511745601

邮箱:shiliangang@andisec.com

漏洞分析回顾
仿伊朗核电欺骗攻击-PROFINET协议中间人攻击复现仿伊朗核电欺骗攻击-PROFINET协议中间人攻击复现

仿伊朗核电欺骗攻击-PROFINET协议中间人攻击复现

仿伊朗核电欺骗攻击-PROFINET协议中间人攻击复现

仿伊朗核电欺骗攻击-PROFINET协议中间人攻击复现


北京安帝科技有限公司是新兴的工业网络安全能力供应商,专注于网络化、数字化、智能化背景下的工业网络安全技术、产品、服务的创新研究和实践探索,基于网络空间行为学理论及工业网络系统安全工程方法,围绕工业网络控制系统构建预防、识别、检测、保护、响应、恢复等核心能力优势,为电力、水利、石油石化、轨道交通、烟草、钢铁冶金、智能制造、矿业等关键信息基础设施行业提供安全产品、服务和综合解决方案。坚持IT安全与OT安全融合发展,坚持产品体系的自主可控,全面赋能客户构建“业务应用紧耦合、用户行为强相关、安全风险自适应、网络弹性稳增强”的主动防御和纵深防御相结合的安全保障体系。截至2021年底,公司主要产品已应用于数千家“关基”企业,其中工业网络安全态势感知平台已部署4000余家客户,虚实结合工业网络靶场服务超过50家客户。

仿伊朗核电欺骗攻击-PROFINET协议中间人攻击复现

点击“在看”鼓励一下吧

仿伊朗核电欺骗攻击-PROFINET协议中间人攻击复现

原文始发于微信公众号(安帝Andisec):仿伊朗核电欺骗攻击-PROFINET协议中间人攻击复现

版权声明:admin 发表于 2022年11月17日 下午12:03。
转载请注明:仿伊朗核电欺骗攻击-PROFINET协议中间人攻击复现 | CTF导航

相关文章

暂无评论

暂无评论...