【攻击测试】西门子PLC探测与S7-300密码破解

plcjiemi

工业控制系统（ICS）是工业基础设施的核心，亦是国家基础设施的重要组成部分，其被广泛用于炼油、化工、电力、电网、水厂、交通、水利等工业领域。ICS对可用性和实时性要求高，系统生命周期长，成为信息战的重点攻击目标。
目前，我国在工业控制系统网络安全技术研究以及产业发展等相关领域正处于快速发展阶段，防护能力和应急处置能力相对较低，尤其工控系统普遍使用施耐德（法国）、西门子（德国）、发那科（日本）等国外品牌，关键系统的安全性受制于人，使之极易成为外界渗透攻击的目标。

本文解析PLC设备指纹提取与流量分析的方法，以及探讨提高PLC安全性的有效措施。

1-PLC指纹提取

在流量中捕获到信息6ES7 511-1AK02-0AB0，PLC为 S7-1500，属于S7comm-plus协议通信，这里我们采用ISF工控框架中的s7comm_plus_scan.py模块进行探测，结果如下图所示：

发现了S7-1200，版本号为v4.2，采用的S7comm-plus加密方式，还发现了一些IP也开启了102端口，顺便也用s7comm_scan.py模块扫一下，结果如下所示：


获取到了S7-300PLC，关于S7系列PLC设备的102端口检测、cpu版本检测，都属于Siemens PLC 指纹提取，方法有很多，本文不再赘述。


2-S7密码爆破

通过指纹提取后，得知网络内存在PLC。我们先用脚本或者模拟器尝试连接，探测PLC是否设置了读写权限密码，以S7-300为例，该PLC已设置了密码的读写保护，如下图所示：

PLC密码即使启用了读/写保护，也允许用户在未输入密码的情况下执行某些操作，例如读取SZL列表或读取和写入标记区域。如果用户执行了其他操作（例如读取或写入对象/功能/数据块），PLC将报权限错误，并告知用户需要携带密码。
在正常操作过程中，需要读/写特权的客户端在通信设置后通过SZL读取（SZL ID：0x0132 SZL索引：0x0004）查询实际和分配的保护级别，如下图所示：

抓取对PLC进行读写操作的数据包，并采用wireshark分析，如下图所示:

小提示：除了在左上角输入s7comm在显示过滤器中搜索外，通过第二行的搜索功能来搜索关键字Security（String类型），找到了交互密码的数据包。

点开发送密码的数据包，密码是Data值，如下图所示:

如果直接将十六进制转换成十进制是无法匹配的，需要找到密码的加密规则。
密码破解成功，如下图所示:

s   左边是八位密码的破解方法；
s   右边是我用scapy模块解包，提取含有读写密码的数据包，比对后发现是匹配的；
由此我们发现规律，请求包携带读写密码包的长度都为91字节，所以这里我们的搜索条件为“ip.addr==xxx.xxx.xxx.xxx and ip.len == 77”，“77”为ip本身到报文末尾的总长度，如下图所示:


3-S7读取寄存器的值

获取到PLC的IP，我们可以通过模拟器登录PLC获取或修改数据，如下图所示:

利用Snap7 Client Demo模拟器读取OB块的信息，如下图所示:

除了使用模拟器，还可利用代码读取PLC数据。
由于S7-300/400请求的数据包是固定的，通过重放攻击抓取模拟器发出的请求放到代码里使用socket模块即可；
如果是对S7-1200的读写操作，直接使用python-snap7模块即可。

下图是三个模拟器组件相对应的PLC组件：

总结

Shodan搜索引擎可定位全球范围内不安全的工业设备和工控系统，为攻击者锁定攻击目标提供了便利。当前大多数工控设备仍然使用着通用用户名（“admin”）与密码（“1234”）在毫无安全防护的状态下运行，甚至对于S7设备对外展示“if you can ping the device you can own it”，这无疑给攻击者打开了大门。

基于本文提及的PLC攻击测试方法，简单执行以下操作，即可提高PLC的安全性：
1. 利用conpot执行端口映射并修改默认配置即可加大攻击者进行102端口检测与PLC版本匹配的难度；
2. PLC设备使用强密码，或有效利用系统的时钟功能，即可加大攻击者密码爆破的难度；

面对日益复杂的网络环境，企业需要构建传统网络与工控网络一体化的防御方案。星河Salaxy工业安全管理中心处理工业现场的各类安全数据，对攻击行为和其他异常威胁行为进行识别、存证与预警，为工业企业安全保驾护航。