随着“互联网+制造”的工业4.0概念的提出，独立、隔离的传统工控领域迎来了新的大数据互联时代。与此同时，工控安全的问题，也随着互联，被更广泛的暴露在了Internet中。在Shodan、ZoomEye等搜索中，可以很容易的搜索到真实工控现场工控设备的IP地址，并且可以利用组态软件访问到对应的设备。近几年来，越来越多的工控设备被暴露在了互联网上。

在Black Hat2011，Dillon Beresford等人在他们的报告《Exploiting Siemens Simatic S7 PLCs》中演示了如何通过西门子S7Comm协议的权限缺失漏洞来远程操作PLC。在Black Hat2015，Johannes Klick 等在他们的报告《Internet-facing PLCs – A New Back Orifice》中演示攻击者如何通过现货，来发现内网中更多的PLC设备。本文将展示的是一种新型的PLC蠕虫病毒，该病毒可以不借助上位PC机，仅通过PLC之间进行互相传播。该病毒的实现思路，适用于多个厂家的PLC设备，并且可以在一定规则范围内相互进行传播。本文采用西门子PLC举例进行说明。

西门子PLC简介

PLC全称为Programmable Logic Controller，即可编程逻辑控制器，是一种采用一类可编程的存储器，用于其内部存储程序，执行逻辑运算、顺序控制、定时、计数与算术操作等面向用户的指令，并通过数字或模拟式输入/输出控制各种类型的机械或生产过程。西门子作为PLC*zui高的PLC设备厂家，其产品系列主要包括S7-200、S7-300、S7-400、S7-1200、S7-1500等。其中S7-200、S7-300、S7-400系列的PLC采用早期的西门子私有协议S7Comm进行通信。S7Comm协议已被研究者*掌握，并且在github上可以下载到该协议的插件。S7-1200系列固件版本为V3.0以下的PLC采用西门子新一代的S7Comm-Plus协议进行通信。该协议采用了一些特殊编码规范，并且做了抗重放攻击的防护。但是其安全防护仍然较弱，已被基本。S7-1200系列固件版本为V3.0以上，以及S7-1500系列的PLC，采用了的S7Comm-Plus协议，该协议对比之前S7Comm-Plus协议，采用了加密算法，目前仍未被研究透彻。

西门子PLC通过Step7以及WinCC软件进行组态，目前版本为TIA Portal V13。其中使用Step7进行下位机组态，WinCC进行上位机组态。

在Step7组态软件中，用户通过编写POU程序块来完成工业现场的控制以及工艺流程的实现。西门子POU程序块包括：

OB(Organization Block )：组织块，为用户程序的入口程序块

FB(Function Block)：功能函数块，实现一些封装好的函数功能

FC(Function)：函数块，为用户编写的程序

DB(Data Block)：数据块，用来存放全局变量

SFB(System Function Block)：系统功能函数库，系统内部封装的函数块

SFC(System Function)：系统函数库，系统内部封装的函数

Step7程序块的组态语言包括LD(梯形图)，FBD(功能块图)、SCL(结构化控制语言)、STL(语句列表)。

西门子PLC在进行程序下装的过程中，首先会在下装前停止PLC的运算，下装程序完成后再重新启动PLC。

病毒的实现

对于病毒的实现流程，首先选择IP尝试建立连接，如果连接建立成功，则检查目标PLC是否已被感染。如连接未建立成功，或目标PLC已被感染，则选择新IP重新尝试建立连接。如目标PLC未被感染，则停止目标PLC，下装病毒程序，zui后重新启动目标PLC。