G110西门子0.12KW变频器6SL3211-0KB11-2BB1

6SL3211-0KB11-2BB1 SINAMICS G110-CPM110 交流驱动，带集成滤波器 B 200-240V+10/-10% 1AC 47-63Hz RS-485-接口 (USS-协议) CT：0.12kW；VT：0.12kW CT-过载：150% 60S 150x 90x 101（高x宽x深） IP20；带扁平散热器； 仅适用于散热板安装 环境温度 -10+50°C 无 BOP 无模拟输入端

SIEMENS西门子

*，质量保证，保修一年

专业销售及维修西门子各类工控自动化配件;

：S7-200CN、S7-200SMART、S7-300、S7-400、 S7-1200、S7-1500、ET200、LOGO逻西门子可编程控制器辑控制模块

西门子HMI人机界面：触摸屏

西门子变频器：MM420、MM430、MM440、G110、G120、6SE70

西门子工业以太网：通讯网卡、通讯电缆、通讯接头、总线连接器 工控机、交换机、自动化软件等系型号齐全，快速报价，买我们的产品无忧所值，我们的产品都承诺质保一年，让您买的省心舒心，用的放心！

摘要：众说周知，工业生产过程是通过可编程逻辑控制器（PLC）来控制的。 现在市场上许多PLC 都配置了以太网口并且可以用 IP 进行通信。 我们将以西门子 SIMATIC S7-1200 机器为例展示一个蠕虫范例。此蠕虫不需要依赖 PC 电脑去扩散。该蠕虫仅仅活跃并运行在 PLC 当中。它可以通过网络扫描来寻找新的目标（新的 PLC），然后攻击这些目标并将自身拷贝到这些新的 PLC 中，而

且目标 PLC 上运行原主程序不会发生任何改变。这些 PLC 目标一旦感染该蠕虫后会再次进行扫描感染。我们将分析蠕虫对目标的影响以及提出可能的缓解技术。 

1.  介绍 

  IT 系统在当今工业生产发展至关重要的一部分。 可以说，没有现代化的通信网络，就不可能有现代化的工业生产。然而不幸的是，正由于工业系统对当今 IT 系统和通信网络的依赖，使得用户也暴露于被攻击的危险之中，而这早已是 IT 界久知的问题。IT 攻击可能对工业系统造成多种伤害。比如他们可以造成工业生产的中断以及高额的经济损失，与此同时还可能对生活环境以及生命健康造成负面影响。其攻击的威力在 STUXNET 蠕虫上得到了充分的展示。西门子的可编程控制器(PLC)受到恶意篡改以阻碍伊朗核燃料铀浓缩。通过利用微软操作系统漏洞，该蠕虫感染进入到铀浓缩工厂的电脑当中，PLC 的软件被恶意篡改以摧毁铀浓缩离心机。该蠕虫需要一台 PC 电脑来进行传播并且通过 PC 电脑来攻击 PLC。这篇文章将将阐述一种可以在 PLC 之间传播的蠕虫。不需要任何 PC 电脑。蠕虫可能通过一个已经被感染过的 PLC 而被引入到工业工厂中，蠕虫接下来便会通过自我复制来感染到其他 PLC 中，并且在修改目标 PLC 并执行感染时添加到 PLC 用户程序中…。这篇文章描述的蠕虫是基于西门子 SIMATIC  S7-1200v3，该蠕虫通过结构化文本（ST）编写而成，该语言是一种用于开发 PLC 软件的编程语言。 

2.  相关工作 

  2015 年在美国 BlackHat 大会上，Klick 公司展示了一款在 PLC 上运行的恶意软件。他们使用PLC 的一个通信特征实现了代理服务。我们将用同样的通信特性来实现了一个可以传送一个蠕虫程序的协议。通过使用该协议，该蠕虫可以从一个 PLC 直接传到另一个 PLC 中。这个蠕虫不需要更多系统去支持。我们没有用更加闻名的 SIMATIC S7-300，取而代之的是，我们的工作成果基于新的 S7-1200v3。PLC 使用的协议也与旧版不同。该文章也将会介绍这种新型的协议。 

3.  PLC 体系结构 

  PLC 使用简单系统结构构建而成。他们基于中央处理器（CPU）?？?，加上数字输入和输出的?？樽槌?。CPU 处理 PLC 操作系统以及运行用户程序。此外 CPU 还负责与其他设备通讯以及管理过程图（Process image）。

  过程图（Process image）储存着所有的输入和输出的状态。用户程序不能直接操作物理的输入输出，而是通过操作过程图像而实现的。用户程序的运行是一个循环。每次循环的起始和结束的时候，CPU 会刷新过程图像。循环上限指的是循环时间。如果（一个循环运行的时间）超过循环上*，PLC 会停止用户程序运行并抛出一个异常。 

 Figure 1. Zyklus eines PLCs 

  用户程序通过POU（程序组织单元）构造而成。这些单元（程序组织单元）包含了控制PLC的使用说明，因而可控制工业生产。SIMATIC S7-1200支持以下的POU： 

• Organisation block (OB): 用户程序主入口 

• Data block (DB): 全局存储器 

• Function (FC): 功能 

• Function block (FB): 有稳固局部储存器的功能 

  此外有几个西门子提供的给用户自定义的POU功能也可找到。这篇文章运用了系统POU  TCON和TDISCON。使用这些POU，PLC可以初始化或者销毁任意系统的TCP连接。也可以通过TRCV和TSEND来接收和发送缓冲区数据。 

4.  电脑蠕虫 

电脑蠕虫从1988年就已经出现并且是恶意软件中有名的一种。蠕虫多种但都基本架构相同。所有的蠕虫攻击都可以归为一下几个阶段：可能目标的搜索，感染目标，在目标上执行，添加恶意功能。在PLC上蠕虫也同样支持这些工功能。这篇文章将展示每个必须组件的实现方法。 

5.  在 S7 1200 上实现一个蠕虫 

5.1  体系结构 

  这个蠕虫的编写与其他限制性蠕虫软件一样。在开发过程中，必须满足特定的PLC的限制条件，尤其是循环上限。蠕虫每几微秒就必须中断其执行，并在接下来的每次循环中能够继续执行。为了满足这个要求，我们通过状态机来设计该蠕虫。当前的状态被存在全局变量里面，在每次循环开始开始时，蠕虫的相关代码将会被调用。所以永远不会超过循环上限的时间。 

  如图2中所展示的步骤，蠕虫首先初始化一个连接来连接可能目标。一旦建立了连接，蠕虫会检测目标是否已经被感染，如果没有感染，蠕虫将暂停目标机上的用户主程序的执行，使其能够传输自己的代码。用户程序暂停后蠕虫将自己复制到目标PLC上，完成后启动目标PLC，接下来蠕虫再测试下一个可能的目标。 

   Figure 2. Execution sequence of the worm 

5.2  目标侦查 

  蠕虫先扫描可能的目标，西门子的PLC可以通过102/tcp端口来识别。这个端口仅仅能够被外部防火墙关闭，并且其他普通的服务不会使用这个端口。

  S7-1200用POU TCON管理TCP连接。这个POU的的用法在图3的第3行进行了展示。任意一个IP地址和端口在第9行代码中被传递。一旦POU被调用，PLC会试图建立连接，并且这两者是异步发生的。在之后的循环当中会对当前的连接状态进行验证。返回值DONE(Zeile 5)信号表示该连接是否被建立，如果为true，继续感染。如果IP地址和端口无法找到是不会有错误提示的。蠕虫需要在每次循环中通过递增计数器来检测超时。 

G110西门子0.12KW变频器6SL3211-0KB11-2BB1