freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

仿伊朗核电欺骗攻击-PROFINET协议中间人攻击复现
2023-01-31 16:27:27
所属地 北京

PROFINET是PROFIBUS国际组织推出的新一代基于工业以太网技术的自动化总线标准。对PROFINET协议分析后发现该协议容易遭受中间人攻击,攻击效果类似震网病毒,发起攻击后可向变频器发送错误的频率,并且响应给PLC正常的频率。

PART1.试验环境

PLC:SIMATIC S7-1500

变频器:SIMATIC CU240E-2 PN

PART2.协议分析

发现阶段:

交互流程

v2-769c2447c15ebf25ad6ff64b8906df08_720w.webp

1、PLC(MAC地址:ec:1c:5d:02:52:53)发送组播,以在网络中宣告PLC。

2、变频器(MAC地址:00:1c:06:92:04:8c)接收到组播数据后,向PLC发送响应信息,其中包含变频器的一些基础信息和配置请求。

v2-03d25b475b746d91de850f188fd57b3c_720w.webp

3、PLC向变频器发送IP配置信息。

v2-489418b93d4654063e541e02240e5129_720w.webp

协商阶段:

PLC(IP地址:192.168.2.22)和变频器(IP地址:192.168.2.23)通过PNIO-CM协议(依赖UDP)进行配置信息协商。

v2-f122371b21eb3e8b9110a3b136bbe25e_720w.webp

关键字段如下:

第一个PNIO-CM数据包指出了运行阶段中发送控制数据的设备MAC地址。

v2-1915f0dde6b997449e058949eaf692dc_720w.webp

第二个PNIO-CM数据包指出了运行阶段中发送响应数据的设备MAC地址,以及控制指令标识符(0x8020)和响应指令标识符(0x8000)。

v2-f8c2675f3c67fc377eb4af67656a44e5_720w.webp

运行阶段:

运行阶段通过PNIO协议进行交互。

v2-b54ab291f3d519278920b6d3325b4558_720w.webp

1、PLC发送给变频器的控制数据包含停止和运行两种状态,控制数据使用协商的控制指令标识符0x8020(红框)。停止状态的控制数据使用标识0x60(黄框),且控制指令(蓝框)和频率(绿框)均为0。

v2-a7a20841e5141e5d9c42047baaadd3e3_720w.webp

运行状态的控制数据使用标识0x80,控制指令为0x047f,频率为调节的频率数值。

v2-2883fa2a7ac9501ce44c3f0147baea16_720w.webp

2、变频器发送给PLC的响应数据只有一种状态,响应数据使用协商的响应指令标识符0x8000(红框)。响应数据中包含标识变频器当前运行状态的指令(蓝框),和变频器的当前转速(绿框)。

PLC发送停止状态命令后的响应:

v2-6a9ea780f82620f6e4beb48a0428be45_720w.webp

PLC发送运行状态命令后的响应:

v2-3290ccc67d4a60aa71c5532d14639dff_720w.webp

PART3.攻击流程

1、发现阶段伪造ARP请求发送给PLC和变频器,使协商阶段数据流经攻击者机器。

2、协商阶段修改PLC和变频器交互数据中的关键MAC地址,使运行阶段数据流经攻击者机器。

3、修改运行阶段控制数据和响应数据中的频率字段,使PLC接收到正常的频率响应,以及变频器接收到伪造的频率。

PART4.演示视频

https://mp.weixin.qq.com/s?__biz=MzU3ODQ4NjA3Mg==&mid=2247531591&idx=1&sn=41fbf4dfa7234e08a4c342ada9c90150&chksm=fd769610ca011f068ce363eaf1e52b43da091b60269ffbe216254f1da0588a811888d6e93bed&token=251993400&lang=zh_CN#rd

PART5.缓解建议

1、交换机Mac地址绑定。

2、基于流量监控,在发现阶段确认变频器IP与MAC映射,后续可识别出伪造的ARP请求。

本文作者:, 转载请注明来自FreeBuf.COM

# 中间人攻击
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录