管中窥豹之工控设备解密 – 作者:Gootime-安全小百科

管中窥豹之工控设备解密 – 作者:Gootime

一、概述

随着工业自动化程度的提高，两化融合、智能制造2025的推行，工业控制系统承载着关键工业信息基础设施（如关系国计民生的水、电、气、热等行业）的运转工作。作为工业控制系统的核心组件，工业控制设备安全是工控安全的重中之重。

二、工控黑产之解密产业链介绍

2.1近年来公开报道的设备解密黑产事件

首例工程机械黑产案：三一重工内鬼勾结价值十亿泵车“失踪”，如图2-2、图2-3所示。

2.2市场需求

1、为了获取先进技术，仿制设备，或者旧设备升级改造

2、为了突破设备厂商的使用限制。

3、其他用途

2.3解密从业者剖析

从解密的市场需求情况来看，一种是工控设备使用者迫于无奈，多数人为工控从业者，最初是为了更好的完成项目而进行研究学习，后期发觉有利可图后进行非法牟利，

还有就是安全研究人员，厂商或者用户付费让其进行研究。

2.4获利方式

主要通过网站推广或者淘宝等电商渠道进行售卖，如图2-4所示。输入PLC解密，百度搜索结果450多万条。

以某网站***息为例，大致可以看到黑产从业者的接单流程及收费情况：

三、常见工业设备的加密介绍

工业设备种类繁多，不同厂商或不同型号设备的加解密方式均不同，下面列举了几个常见PLC的加密方式。

3.1西门子S7-200加密介绍

西门子S7-200系列作为最通用的小型PLC，被破解研究的也最透彻，其通过编程软件的系统块功能来进行加密，共有4级密码，其中1级与2级密码用的很少，常用3级密码和4级密码，如下图所示：

3.2西门子S7-300加密介绍

西门子S7300主要有2种加密方式：

加密方式一：通过MMC加密：硬件组态中打开CPU的属性的保护选项，选第三个设置（读写保护），设置密码后保存编译重新下载硬件组态就可以了。

加密方式二：功能块的保护

单个功能块只能保护，不能加密码，需要注意加密后的源文件一定要保存好，如果丢失或删除了源文件就无法打开自己的程序了。

如何实现程序块保护：

1．打开程序编辑窗口LAD/FBD/STL；

2．将要进行加密保护的程序块生成转换为源代码文件（通过选择菜单文件—>生成源文件）；

3．在LAD/FBD/STL 窗口中关闭您的程序块，并在SIMATICManager项目管理窗口的源文件文件夹中打开上一步所生成的源文件；

4．在程序块的声明部分，TITLE行下面的一行中输入”KNOW_HOW_PROTECT”；

5．存盘并编译该源文件（选择菜单文件—>保存，文件—>编译）；

3.3欧姆龙PLC加密

欧姆龙小型PLC主要采用两种加密方式

方式一：使用PLC编程软件，对PLC进行加密，如图3-2所示。

方式二：通过在程序的最前边添加加密功能块来进行加密：

四、工业设备加密及解密技术发展情况

从古至今，矛与盾都是处于不断进化的过程，二战时期的坦克大战，轴心国与同盟国之间的较量，随着时间的推移，炮弹穿深与装甲厚度不断上升。同样PLC的加解密技术也是处于不断进化的过程。从最初通过串口监视软件轻易获取明文密码，到后来的拆芯片解密。总的来说，工控类设备（主要是PLC）大致经历了三个大的阶段:

4.1第一代加密技术

明码原始时期。比如早期三菱FX的产品全部是明码ASCII码显示，可以通过串口监控轻易获取。像台达、欧姆龙、AB等部分型号存在类似问题。

4.2第二代加密技术

第二个阶段为密码逻辑运算时代。比如西门子S7-200CN系列，采用隔位异或法加密，松下FPX系列采用移位法加密，松下GT屏采用加密钥匙法，8位密码需要逐个跟这个钥匙运算，才能得到真正的密码，信捷的也采用异或等组合逻辑运算法。但是再怎么组合，再怎么复杂，细心钻研的发烧友总能找到算法，把密码逆运算还原出来。