Softwares

PLC 和 HMI 密码恢复软件中的网络安全风险

Daniel RadcliffJanuary 29, 2023

0 30 1 minute read

Dragos 研究并分析了一套解码 PLC 和 HMI 密码的软件，以及这对机器和工厂的安全级别可能产生的影响。

互联网为骗子和网络罪犯提供了无限的非法赚钱机会。通常的嫌疑人：勒索软件、商业电子邮件盗窃、互联网欺诈和网络钓鱼在信息安全界是众所周知的。但在一次例行的漏洞评估中，Dragos 发现了一种针对研究人员、工程师和工业运营商的小规模技术。

木马的历史与“破译”密码的木马

各种社交网站上的多个帐户宣传允许从 PLC 和 HMI 终端破解项目文件密码的软件。买家可以使用供应商提供的针对特定行业系统的可执行文件来恢复忘记的密码。

像这样的广告，“谁会买这个？” 任何信息安全专业人士都警告不要从不受信任的一方下载和运行软件。以下面的例子：一位名叫 Troy 的工程师在他的前同事 Hector 在一家电气公司工作 30 年后退休时晋升为高级工程师。 Troy 需要更新 Hector 在 Automation Direct 的 DirectLogic 06 PLC 中编写的部分梯形图程序。 PLC编程软件启动DirectSOFT后会出现密码提示。

Troy 不知道密码，Hector 几个月前离开了，现在正在一艘无限期停用的船上度假。 Troy 在网上搜索答案，当他看到 PLC 密码破解软件的广告时，他决定试一试。 Troy 的安全意识同事 Cassandra 警告不要将这种不必要的风险引入 OT 环境。但特洛伊坚称这是一项紧急任务。您购买软件并在您的工程工作站上运行它。

Troy 成功恢复了 PLC 密码，但片刻之后发现工程工作站的系统运行异常。

密码恢复和 Sality 恶意软件感染

特洛伊叫龙树对密码“破解”软件进行逆向工程，确定它从未破解过密码，而是利用了固件中的一个漏洞，允许它根据命令恢复密码。此外，该软件是一个恶意软件发起者，用 Sality 恶意软件感染机器，并将主机变成 Sality 的对等僵尸网络中的对等点。

开发

Dragos 研究人员证实，恶意软件植入程序中嵌入的密码恢复漏洞通过串行链路成功恢复了 Automation Direct 的 DirectLogic 06 PLC 的密码。从用户的角度来看，他们只需要从 Home windows 机器连接到 PLC，然后指定要与之通信的 COM 端口并单击“READPASS”按钮。一两秒后，密码将显示给用户，如图 1 所示。

先前对 DirectLogic PLC 的研究已导致成功的黑客技术。然而，Dragos 发现这个漏洞并没有像历史上流行的漏洞利用框架那样破解密码的散列版本。相反，恶意软件将特定的字节流发送到 COM 端口。

捕获漏洞发送的串行流量允许 Dragos 研究人员在恶意软件之外重新创建它。该恶意软件包含仅串行版本的漏洞利用程序，要求用户从工程工作站 (EWS) 到 PLC 建立直接串行连接。 Dragos 研究人员能够通过以太网成功重现该漏洞，显着增加了该漏洞的严重性。此漏洞已分配为 CVE-2022-2003，并已负责任地报告给 Automation Direct。他们发布了固件更新来解决这个问题。 [fuente: Aviso de ICS-CERT (ICSA-22-167-03), Aviso de ICS-CERT (ICSA-22-167-02)].

盐度恶意软件

Sality 是一个点对点僵尸网络，用于密码破解和加密货币挖掘等分布式计算任务。 Sality 感染可能会危及未知对手对 EWS 的远程访问。尽管 Dragos 有能力扰乱工业流程，有经济动机，并且不直接影响操作技术 (OT) 流程，但他认为敌人有一定的信心。

Sality 使用进程注入和文件感染来维持主机上的持久性。它滥用 Home windows 的自动运行功能，通过通用串行总线 (USB)、网络共享和外部存储驱动器分发自身的副本。这个特定的 Sality 实例还删除了剪贴板劫持恶意软件，该恶意软件每半秒检查一次剪贴板中的加密货币地址格式。如果看到，黑客会将地址替换为威胁参与者的属性。这种实时劫持是从想要转移资金的用户那里窃取加密货币的有效方式，增加了我们对竞争对手出于经济动机的信心。

为了不被检测到，Sality 会删除内核驱动程序并启动服务并杀死它们以识别可能的安全产品，例如防病毒系统或防火墙。根据各种在线报告，Sality 可以对与防病毒相关的 URL 执行 Web 协议 (IP) 过滤，并丢弃包含某些已知链接到防病毒供应商网站的关键字的传出数据包。

这可能会对监管产生影响：因为 Sality 会阻止任何传出连接，防病毒系统将无法接收违反 CIP-007-6 可靠性标准的更新。尽管 Sality 多次试图隐藏起来，但很明显已经发生了感染。中央处理器 (CPU) 水平上升到 100%，并触发了多个 Home windows Defender 警报。