2024工業(yè)控制系統(tǒng)可編程控制器梯形圖邏輯炸彈

工業(yè)控制系統(tǒng)可編程控制器梯形圖邏輯炸彈概述

傳統(tǒng)的企業(yè)IT環(huán)境，攻擊者代碼的注入通常要困難得多。(PLCC)（和)（處）。

(CPS[6,16,24–26]（等CPSCPS（IEC61131?3PLCBt實CLLB。

（C3LLBCBBC向ABC除了介紹邏輯層的漏洞之外，我們還討論了對策并提出了兩種檢測技術(shù)。關(guān)鍵詞(ICSICS(SCADA(PLCPLC

（SWaTtestbed4節(jié)CStuxnet[7我們的貢獻總結(jié)如下：PLC(LLBLLBC3C3]PLCPLC

本研究的結(jié)構(gòu)如下：第2部分，我們概括介紹CPS系統(tǒng)、PLC和IEC61131?3。C（CUSBPLC

3456LLB78此設(shè)置與惡意軟件場景的主要區(qū)別在于歷史學(xué)家轉(zhuǎn)變L1網(wǎng)絡(luò)流程1流程2進程nPLC1aPLC1bPLC2aPLC2b聚氯乙烯L0網(wǎng)絡(luò)L0網(wǎng)絡(luò)L0網(wǎng)絡(luò)里約里約里約...執(zhí)行器傳感器圖例。 圖例(ICSLad?derLogicPLC（（））ICS（（

由于PLC的用途及其所處理任務(wù)的重要性質(zhì)，其防?惡意操縱的安全性至關(guān)重要。PLCPLC（PLCPLC（ControlLogix用CC置。因此，我們假設(shè)在本工作的剩余部分中可以實現(xiàn)遠(yuǎn)程或本地重新編程訪問。C3CC2?（?（?（）PLC（/(IOPLC）。ICS（Modbus/TCP和Modbus/NLadderLogicStudio(PLCPLC(ICS堅固的特性，能夠承受包括酷熱、寒冷、灰塵和極端潮濕等惡劣條件。考慮到它們廣泛

（（線）2（“Studio5000Studio5000LogixDesigner（x0圖圖進程[2]PLCStudio5000PCRSLinxWindowsICSy（ControlLogix和o0x和oControlLogix5571PLCPLC（a)PLCb//PLC下面我們討論第二個動作，上傳修改后的固件。PLC.dmk(.bin(.der).nvs/件的加載地址。

圖（）（RocklRSA（（PLC

（.derPLC（4PLC/PLCPLC圖3更詳細(xì)地解釋了這個過程PLC（APLCPLCPLC/（邏輯下載到PLC上內(nèi)部激活法學(xué)學(xué)士

動 統(tǒng)

LLBPLC（）/部 息圖)PLCPLC

（）（）。LLB12LLBLLB。C（PLC的Studio5000）。 面型第3.1目（（例(DoS)PLCPLCPLC（PLCPLC（因）（（）。

如，通過建立中間人功能）。MitMPLCSCADA61131?3器。工廠操作員在設(shè)計時配置PLC的邏輯。（的PLC(DoSPLCPLCPLCIDS（

PLCLLB（t）

LLBPLC/（圖1（圖6）（PLC/）。

LLBLLBPLCFIFOPLC3.2炸彈分類梯形邏輯炸彈大致可按兩個標(biāo)準(zhǔn)進（）（

3.4觸發(fā)

歷史學(xué)家

L1網(wǎng)絡(luò)1a.將‘0’寫入PLC閥門標(biāo)簽

1b.將‘1’寫入PLC閥門標(biāo)簽

流程1PLC1a PLC1b將‘1’

L0網(wǎng)絡(luò)里約

圖d攻擊者

執(zhí)行器

彈的構(gòu)造，并演示了如何使用它們來?擾ICS的功能。圖O到HMI數(shù)從HMI到O在特定輸入處觸發(fā)。ICS（參4.1節(jié)）PLC的輸入。當(dāng)水箱中的水位達到特定水?時，炸彈可能會引爆。SWaT臺7（SWaT臺。觸發(fā)序列。（FSM

16CCPLC(SCADAHis?torian計時器。LLBTON特定內(nèi)部條件。PLC（

Do)（）DoS攻擊中式)DoSPLC[15]PLC（）。3.5在PLC邏輯中隱藏LLB檢測原始邏輯（在我們的例C

DoSPLCLLBStuxnet[7B就隱藏：實際的惡意邏輯已隱藏在附加指令中。已添加一條新指令圖創(chuàng)造的，其結(jié)構(gòu)與真實世界非常相似D2A和輸出：目的地。它也被恰當(dāng)?shù)孛ˋDDD梯形邏輯的頂部概述（其中包含許多）D梯級。但在這個附加指令中，真正的炸彈（PLC操作。有關(guān)此內(nèi)容的更多詳細(xì)信息，請參閱圖8.ICSPLC（

圖子程序C傳感器數(shù)據(jù)可能會導(dǎo)致系統(tǒng)故障[14]。（圖1構(gòu)造：由于這是概念驗證，我們決定（）有效載荷是一個簡單的ADD塊，它采用真正的傳感器LLB（9）。隱蔽性：對于這次攻擊，我們還使用了不同的PLC調(diào)用大量子程序。我們假設(shè)以這種方式調(diào)用子程序是為了保持良好的可讀性梯形邏輯的維護者。但是，該結(jié)構(gòu)具有大量的子程序，可以通過攻擊者隱藏LLB。我們通過隱藏LLB測試了此漏洞。

一個觸發(fā)子程序，在每個周期執(zhí)行梯形邏輯（見圖10）。LLLB可能同樣有害，但更難檢測。特別是，此類LLB可用于數(shù)據(jù)記錄和導(dǎo)出關(guān)于系統(tǒng)的敏感信息。FIFOFFL11LBT中.csvSD在我們的攻擊者模型中，攻擊者可以偶爾訪問（對PLC的物理訪問），SDPLC攻擊IDoS2.603.843.414.09表（）表（）PLC的I/O/1所示（C‘x’

SD卡上LLB我們現(xiàn)在討論另一種效果類似的攻擊DoS攻擊。PLC

LLB的難度LLB構(gòu)造：這里我們設(shè)法在PLC上造成兩個主要故障。FIFO緩沖12。

o0和C（VPNStackOverflowPLC（13）。

CO隱藏：這些LLB可以隱藏在附加指令或子程序內(nèi)。4.6攻擊分析理想情況下，應(yīng)該有一個指標(biāo)來衡量LLBLLB(RALOCO

跳起來接旗幟。BLLB代碼后使用Add_on說明進行游戲。第二個挑戰(zhàn)是獲取通過某種邏輯讀取的連接模擬傳感器的真實值。為了解決圖22（5圖kLLB（8）LLB，（）。如果可以的話修復(fù)我。PLC“PLC（）LLBPLCFFLPLC

表B隊伍第一顆炸彈第二顆炸彈第三顆炸彈（LLB（LLB測o0（及5.2CTF在本節(jié)中，我們討論針對LLB攻擊。具體來說，我們討論a)基于網(wǎng)絡(luò)的對策，以及b)正在運行的代碼的集中驗證。析的。 中。PLC本身PLC的方（/

HTTP服務(wù)器黃金參考L1網(wǎng)絡(luò)轉(zhuǎn)變惡意復(fù)制PLC黃金參考L1網(wǎng)絡(luò)轉(zhuǎn)變惡意復(fù)制PLCL0網(wǎng)絡(luò)里約攻擊者執(zhí)行器傳感器圖措施CLS（TLSHTTP）。定期邏輯驗證。PythonStudio5000.L5K文件（）KSoup(BSPBSPHTMLLnPSKPLCdiff1SC（.L5K文.L5K從服務(wù)器獲取帶有序列號的黃金樣本。如果diff(本地.L5K,黃金引用.L5K)否則，如果本地邏輯較新則CLSendifendifPLCICSPLCPLC（o（）。PLC(IDS)來監(jiān)控流量IDSPLC]HMI和C（將SIP（（）。)SC)CCLS14提交黃金樣品。所有授權(quán)工程師在更改PLC上運行的邏輯時，都必須將每個PLC的最新版本邏輯CLSPLCCLS（

TalkAssetCentre保護PLC/RSLinxRSLogix5000CLSFactoryTalkAssetCenterCLS臺/PLC

[19PLC61131?3對ICS的一般威脅。[1,4,17,23]。

件]“Tripwire”UnixTripwire工具（）CLS在]MorrisMODBUSAPLC。

exStudio5000PLC(.L5K)。ICSICS/SCADA系

PLC[5](S?IDS)IDS（）]PLC的攻擊2010[7這導(dǎo)致人們