据The Hacker News消息，工业安全公司 Claroty安全研究人员发现了一种名为“Evil PLC”的新型攻击技术。该技术的巧妙之处在于，可将可编程逻辑控制器 ( PLC ) 武器化，以在工程工作站中获得初步立足点，随后入侵运营技术 (OT) 网络。

Claroty公司表示，目前受影响的工程工作站软件包括罗克韦尔自动化、施耐德电气、通用电气、贝加莱、新杰、OVARRO 和艾默生在内的多家巨头企业。

PLC是种专门为在工业环境下应用而设计的数字运算操作电子系统。它采用一种可编程的存储器，在其内部存储执行逻辑运算、顺序控制、定时、计数和算术运算等操作的指令，通过数字式或模拟式的输入输出来控制各种类型的机械设备或生产过程。

简单来说，它是控制关键基础设施部门制造过程的工业设备的关键组件。除了编排自动化任务外，PLC 还配置为启动和停止流程并生成警报。因此，PLC 提供的根深蒂固的访问权限使机器成为十多年来复杂攻击的焦点，从Stuxnet 到 PIPEDREAM（又名 INCONTROLLER），攻击目标是造成物理中断，这在业界较为常见。

但在 Evil PLC 攻击中，控制器充当达到目的的手段，允许攻击者破坏工作站，访问网络上的所有其他 PLC，甚至篡改控制器逻辑。

Claroty在报告中指出，“这些工作站应用程序通常是运营技术网络和企业网络之间的桥梁，能够破坏和利用工程工作站漏洞的攻击者可以轻松进入内部网络，在系统之间横向移动，并进一步访问其他PLC和敏感系统。”

此时，攻击者的思路呼之欲出，它们可以PLC作为支点来攻击编程和诊断它的工程师，并获得对 OT 网络的更深入访问，或入侵系统窃取数据，或植入恶意软件、后门程序等等。

具体攻击方法如下：

攻击者会识别面向互联网的PLC并故意引发故障，以引诱那些没有防备心理的工程师使用工程工作站软件进行故障排除，并和那些已经被攻击者植入恶意软件的PLC进行连接，这也就让攻击者建立了一个攻击的桥头堡。

随后，当工程师执行上传操作以检索现有 PLC 逻辑的工作副本时，攻击者就可以利用此前植入的恶意软件在工作站上执行恶意代码。因此，攻击者创造了一种全新的攻击场景，即修改存储在PLC上未使用的数据，以此操纵工程软件。由于软件完全信任来自PLC的数据，因此也无需执行广泛的安全检查，这给了攻击者可趁之机。

当下，面向公众的工业控制系统 ( ICS ) 设备缺乏安全保护，从而使攻击者更容易通过流氓下载程序更改其逻辑。为缓解此类攻击，建议将 PLC 的物理和网络访问权限限制在授权工程师和操作员范围内，实施身份验证机制以验证工程师站，监控 OT 网络流量是否存在异常活动，并及时更新补丁。

最后，Claroty也指出，Evil PLC也可以用来防御，即将其作为一个蜜罐，引诱攻击者连接到诱饵 PLC，从而导致攻击者机器受到危害。

参考来源：https://thehackernews.com/2022/08/new-evil-plc-attack-weaponizes-plcs-to.html