Traducido del inglés al español - www.onlinedoctranslator.

com

http://dx.doi.org/10.14236/ewic/ICS2018.12

PLCBlockMon: Registro y extracción de datos

en PLCs para la Detección de Intrusión Cibernética

Mislav Findrik y Paul Smith AIT Kevin Quill y Kieran McLaughlin

Instituto Austriaco de Tecnología Centro Queen's University Belfast Centre for
de Seguridad y Protección Digital Secure Information Technologies
Viena, Austria Belfast, Reino Unido

nombre.apellido@ait.ac.at kieran.mclaughlin@qub.ac.uk

El panorama de amenazas para los sistemas de control industrial está en constante expansión y estos sistemas han
demostrado ser objetivos atractivos para los atacantes cibernéticos. Los controladores lógicos programables son
componentes principales en los ICS y, por lo tanto, deben estar bien protegidos y monitoreados. Al examinar la
investigación existente en este campo, descubrimos que existe un vacío en el análisis integral de las funciones de
registro y extracción de datos en dispositivos industriales. Sin embargo, el análisis de estas características y la
evaluación de su aplicabilidad para la detección de intrusos cibernéticos facilitaría significativamente su adopción
por parte de las herramientas de detección de intrusos. Para cerrar la brecha, analizamos las capacidades de
registro y extracción del panel HMI y PLC Siemens S7-1200. Implementamos una lógica de PLC para el registro de
datos llamada PLCBlockMon. En este papel,

Palabras clave:Sistemas de Control Industrial, Seguridad Cibernética, Registro y Extracción, PLC, Detección de Intrusos

1. INTRODUCCIÓN Redes de distribución de electricidad de Ucrania. Uno de ellos

Las industrias confían cada vez más en máquinas y procesos
automatizados. Para que estas máquinas funcionen de forma
fiable, los sistemas de control industrial (ICS) se han diseñado
para funcionar con alta disponibilidad, fiabilidad y seguridad,
lo que hace que la seguridad de estos sistemas carezca
normalmente. En el pasado, la industria de ICS se ha basado
en el aislamiento ("espacios de aire") para hacer que su red
de ICS sea segura. Sin embargo, en la última década, las
infraestructuras de las redes ICS comenzaron a integrarse
estrechamente con las redes de TI estándar. Esto tiene la
ventaja de permitir el acceso y control remoto de los
dispositivos por parte de los ingenieros que aprovechan el
conjunto de protocolos TCP/IP y el hardware comercial
estándar (COTS). Además de estos beneficios, esto también
ha abierto las puertas para que usuarios maliciosos
implementen vectores de ataque remotos en ICS inseguros.
Hay múltiples ejemplos de ataques cibernéticos en
ICS, el más famoso de ellos es Stuxnet. Este malware
fue diseñado para destruir centrifugadoras de gas en
la planta de enriquecimiento de uranio de Irán,
sobrepresurizándolas y acelerando sus rotores
(Lagner (2011)). Esto se logró modificando la lógica de
control en ciertos controladores PLC en la planta.
Otros ejemplos de ataques ICS con consecuencias
físicas son dos ciberataques a
ocurrió en diciembre de 2015, lo que provocó un gran
apagón (Informe E-ISAC (2011)), mientras que el otro,
denominado Crashoverride (Informe Dragos (2017)), ocurrió
casi exactamente un año después, y provocó un corte de
energía de una hora de duración.
Para detectar ciberataques en redes ICS, muchas empresas
de seguridad ahora ofrecen soluciones de monitoreo de
tráfico de red (por ejemplo, Silent Defense (2018), Dragos
Platform (2018), SCADAguardian (2018), Darktrace Industrial
(2018)). Además, muchos investigadores están proponiendo
diferentes métodos de análisis sobre protocolos industriales
(Ponomarev (2016)) proporcionando nuevas formas de
detección de ataques. Sin embargo, el monitoreo de
dispositivos finales, controladores lógicos programables
(PLC), que son responsables del control de procesos
industriales, con fines de seguridad es en gran medida un
área inexplorada. De hecho, estos dispositivos son
monitoreados principalmente por ingenieros de control
durante chequeos regulares, para consultar el estado del PLC
(por ejemplo, tiempo de ciclo, modo operativo, etc.) (Copy
(2015)). Esto generalmente se hace utilizando herramientas
específicas del proveedor para el diagnóstico de PLC.
En este documento, exploramos diferentes métodos de registro y
extracción de datos en dispositivos industriales que están disponibles
en nuestro banco de pruebas ICS y exploramos su uso con fines de
detección de intrusiones cibernéticas. Por lo tanto, en

©
CFindrik et al. Publicado por
BCS Learning and Development Ltd. Actas de Actas 102
de ICS y SCADA 2018
 PLCBlockMon: Registro y extracción de datos en PLC para la detección de intrusiones cibernéticas
Findrik•Pluma•Herrero•McLaughlin

En la primera sección, presentamos el entorno ICS experimental
utilizado en los experimentos. En la Sección 3, se proporciona un
análisis de diferentes capacidades de registro y extracción de
datos. La principal contribución de este artículo es una lógica
para el registro de datos en un PLC, que se presenta en la Sección
4, junto con un análisis de sus escenarios de aplicación para la
detección de intrusos cibernéticos en la Sección 5.
2. ENTORNO EXPERIMENTAL DEL SCI
arquitectura correspondiente a los Niveles 0 a 2 en el modelo de
Purdue (Obregon (2014)), como se muestra en la Fig. 1.
La figura 2 ilustra la arquitectura de nuestro banco de pruebas.
En el futuro, planeamos ampliar el banco de pruebas para incluir
sistemas de nivel 3 que son responsables de las operaciones de
la planta, como un historial de datos y una HMI basada en
escritorio, que son responsables del registro de datos de toda la
planta en todas las zonas de celdas y también se pueden utilizar
para la detección de ciber-intrusos.

Los ICS son entornos grandes y complejos que se usan comúnmente en industrias, como la

fabricación, la generación de energía eléctrica, las plantas químicas, las refinerías de petróleo y las

instalaciones de tratamiento de aguas residuales para el control de procesos. La implementación

de un entorno ICS a gran escala únicamente con fines de investigación puede ser una tarea

abrumadora y costosa, por lo tanto, para realizar experimentos científicos, es común construir

bancos de pruebas ICS utilizando solo unas pocas piezas representativas del equipo que es

necesario para responder preguntas de investigación (Survey (2014)). ). Para analizar las funciones

de registro y extracción de datos en dispositivos industriales, hemos construido un banco de

pruebas a pequeña escala que se compone de componentes de software y hardware de Siemens

que se utilizan en instalaciones reales de ICS. Siemens es uno de los mayores proveedores de ICS

junto con Honeywell, Rockwell/Allen-Bradley y Schneider Electric. por lo tanto, su equipo ha sido

elegido para el banco de pruebas. Los dispositivos Siemens incluidos en el banco de pruebas son

un controlador S7-1200, un panel HMI KTP-700 y una máquina de escritorio con Windows 7 con la

aplicación de software TIA portal v14, que se utiliza como estación de trabajo de ingeniería para la

programación y configuración de PLC/HMI. Si bien los experimentos realizados en este trabajo se

limitan al S7-1200, este dispositivo ofrece información sobre el conjunto de productos S7 más
Figura 2:Arquitectura del banco de pruebas ICS experimental.
grande, ya que todos comparten características similares. La arquitectura de nuestro banco de

pruebas está diseñada para reflejar la supervisión y el control locales de un proceso físico, por lo
Todos los dispositivos antes mencionados están conectados
que representa las zonas de celdas de un ICS general. que se utiliza como estación de trabajo de
a un conmutador de red. Además, se utiliza una
ingeniería para la programación y configuración de PLC/HMI. Si bien los experimentos realizados
computadora portátil que ejecuta Kali Linux (Kali (2018)) en
en este trabajo se limitan al S7-1200, este dispositivo ofrece información sobre el conjunto de
una máquina virtual para la generación de escenarios de
productos S7 más grande, ya que todos comparten características similares. La arquitectura de
ataque experimentales, que se describen en secciones
nuestro banco de pruebas está diseñada para reflejar la supervisión y el control locales de un
posteriores. El PLC S7-1200 utilizado como simulador de
proceso físico, por lo que representa las zonas de celdas de un ICS general. que se utiliza como
procesos y controlador de nivel de agua de un tanque de
estación de trabajo de ingeniería para la programación y configuración de PLC/HMI. Si bien los
refrigerante. El depósito de agua tiene tres válvulas (llenado,
experimentos realizados en este trabajo se limitan al S7-1200, este dispositivo ofrece información
vaciado y refrigerante) con un caudal fijo. El nivel de agua
sobre el conjunto de productos S7 más grande, ya que todos comparten características similares.
actual se simula en el PLC como una entrada analógica, y su
La arquitectura de nuestro banco de pruebas está diseñada para reflejar la supervisión y el
valor se calcula en función del estado actual de las válvulas
control locales de un proceso físico, por lo que representa las zonas de celdas de un ICS general.
(ON o OFF) y el conocimiento de sus caudales. La figura 3
muestra la visualización del proceso en el display de la HMI.

El agua del tanque se utiliza como refrigerante para otro

proceso, por lo que se supone que la válvula de refrigerante
se abre o se cierra en momentos aleatorios para simular la
demanda de refrigerante. Para compensar la falta de agua
en el tanque, la válvula de llenado se abre después de que el
nivel del agua cae por debajo de cierto nivel (el indicador
naranja en el tanque) y se apaga después de alcanzar cierto
nivel de agua (el indicador rojo en el tanque). tanque). La
válvula de drenaje no se controla automáticamente y sirve
para el vaciado ocasional del tanque relacionado con el
mantenimiento. El operador también puede anular
manualmente las acciones de control mediante los botones
de la pantalla HMI.

Figura 1:La arquitectura de referencia de Purdue para ICS.

103
 PLCBlockMon: Registro y extracción de datos en PLC para la detección de intrusiones cibernéticas
Findrik•Pluma•Herrero•McLaughlin
Figura 3:Visualización HMI del proceso de nivel de agua del tanque.
3. CAPACIDADES DE REGISTRO Y
EXTRACCIÓN DE DATOS
Esta sección presentará las funciones de monitoreo que
están disponibles en los dispositivos del banco de pruebas,
es decir, el controlador S7-1200 y el panel HMI. Además, las
capacidades específicas de las funciones de registro se
elaborarán junto con sus características de seguridad contra
la manipulación y sus capacidades para la extracción de
datos registrados.
3.1. Registro y extracción de datos de PLC
3.1.1. Bloques de datos de registro de PLC
Los bloques de datos de registro del PLC permiten almacenar
registros de etiquetas lógicas y datos en la memoria local. Los bloques
de registro de datos incluidos en el TIA Portal proporcionan las
funciones básicas necesarias para construir un sistema de registro.
Esto incluye bloques para crear, abrir, borrar, eliminar y escribir en los
archivos de registro. Esto deja que el programador decida la
implementación del registro. Las tres funciones principales que deben
programarse para crear un sistema de registro que funcione
completamente son la transferencia de datos a DataBlock (DB), el
manejo del estado del archivo y la activación de cuándo muestrear los
datos. La funcionalidad básica de los bloques crea un solo registro
circular. Se pueden crear nuevos archivos de registro con elArchivo
nuevo bloquear para evitar sobrescribir datos; sin embargo, esto
estaría limitado por el pequeño tamaño de la memoria interna. Otra
consideración con el tamaño de la memoria es con la frecuencia de
muestreo del registro. El uso de un pulso cíclico para activar esto
crearía una gran cantidad de datos duplicados y, por lo tanto,
sobrescribiría los datos mucho más rápido. Solo registrar valores de
etiqueta cuando ocurre un cambio es una implementación mucho
más eficiente. Este bloque puede aceptar la mayoría de los tipos de
datos y, por lo tanto, puede registrar la mayoría de las etiquetas,
valores de base de datos y ubicaciones de memoria de forma nativa.
Una excepción conocida a los tipos de datos aceptados es Boolean,
pero esto se puede superar almacenando el
104
valor en un tipo diferente. Los registros se formatean con el
formato de registro CSV, lo que facilita mucho el análisis de la
información de los registros. Como la creación de este
registro requiere la programación de la funcionalidad en la
lógica de escalera, este método de registro requiere el mayor
esfuerzo para implementar de todas las funciones
analizadas. Este cambio de lógica daría lugar a la necesidad
de validación del sistema. Por esta razón, el uso de esta
función de registro sería más aplicable para las instalaciones
que se están diseñando desde cero o que están en proceso
de reemplazo de equipos. Como estos registros están
programados en la lógica del PLC, son tan seguros como la
memoria de carga del PLC. Afortunadamente, los
controladores SIMATIC S7 de Siemens producidos más
recientemente (por ejemplo, las series de PLC S7-300 y
S7-400 entregadas desde abril de 1998, Siemens Security
Bulletin (2011)) ofrecen mecanismos de protección
integrados para restringir el acceso a áreas de memoria. El
acceso a la memoria se puede configurar en tres niveles
diferentes (escritura, escritura/lectura y protección completa)
y está protegido por contraseña (seguridad S7 (2000)). Por lo
tanto, la memoria de los registros programados en la lógica
del PLC debe protegerse adecuadamente contra posibles
alteraciones maliciosas estableciendo al menos un nivel de
protección contra escritura.
3.1.2. Registros de búfer de diagnóstico
losBúfer de diagnósticoes un registro de eventos a nivel del
sistema PLC y se almacena localmente en cada CPU.
Originalmente, el búfer de diagnóstico está diseñado para
proporcionar a los usuarios registros para la detección rápida
de errores y la evaluación de eventos que provocaron la
detención del PLC (es decir, la entrada del PLC en modo
STOP) (S7-1200 (2014)). El registro tiene un tamaño de 50
eventos, en el caso de S7-1200, de formato de registro
circular. Se puede habilitar un ajuste de configuración que
permite recopilar algunos eventos del sistema del mismo
tipo, lo que aumenta el tiempo hasta que se sobrescriben los
eventos antiguos (S7-1200 (2014)). Las características que se
registran en el búfer de diagnóstico son: (i) eventos de error
(p. ej., errores de CPU, E/S, módulo, submódulo, problemas
de conectividad de red), (ii) cambios de modo de CPU (p. ej.,
cambios de EJECUTAR/PARAR CPU) y (iii) mensajes definidos
por el usuario (por ejemplo, notificaciones de nivel de tanque
de agua demasiado alto).
Se puede acceder al búfer de diagnóstico de varias maneras
utilizando las funciones existentes de Siemens. Estos son el
servidor web integrado, TIA Portal ya través del panel HMI, si
está configurado para hacerlo. Para usar el servidor web para
ver esta información, los derechos de usuario deben
expandirse desde el mínimo para incluir diagnósticos de
consulta. Esto le da al usuario acceso al búfer de diagnóstico,
pero también al consumo de recursos del dispositivo,
estadísticas de recursos de conexión e información sobre el
módulo. La información de diagnóstico también se puede
solicitar en la lógica de escalera utilizando elOBTENER
Diagnósticobloque (diagnóstico S7 (2014)).
 PLCBlockMon: Registro y extracción de datos en PLC para la detección de intrusiones cibernéticas
Findrik•Pluma•Herrero•McLaughlin
Esto permitiría al programador utilizar cualquiera de los
bloques de comunicación existentes (p. ej., SMTP sobre TLS)
para transmitir la información de diagnóstico. El TIA Portal
está diseñado como una herramienta de programación y
diagnóstico y solo puede haber una conexión activa en
cualquier momento a un PLC determinado. Por esta razón,
este método es menos práctico que las otras opciones, ya
que genera más desafíos para los ingenieros que trabajan
con los dispositivos. El uso de la HMI de escritorio para
guardar los registros parece ser el método más práctico. El
búfer de diagnóstico se puede borrar restableciendo el PLC a
la configuración de fábrica si no hay una tarjeta de memoria
instalada; sin embargo, esto no es posible sin una contraseña
si el nivel mínimo de protección de acceso está configurado
en el controlador.
3.1.3. Extracción de información de registro
El método principal para extraer los registros del PLC de
forma remota es con el servidor web incorporado. Para ello,
el usuario requiere los derechos mínimos más acceso de
lectura de archivos. Esto permite al usuario descargar los
registros de datos y recibir datos del dispositivo, pero no
eliminar datos. El servidor web tiene una configuración de
actualización automática y la frecuencia mínima es cada 5
segundos. Esto significa que el tamaño de los registros de
datos debe ser lo suficientemente grande como para durar la
frecuencia de actualización mínima establecida en el servidor
web. Otras opciones para enviar los datos a un sistema
remoto incluyen el uso delT (U) ENVIAR Cbloques de
funciones compatibles con ISO-on-TCP, TCP o UDP (S7 User
Communication (2000)). Por ejemplo, el bloque de funciones
UDP se ha utilizado para implementar la extracción de
registros en formato SYSLOG (S7 Syslog (2018)). Si bien estos
protocolos no están protegidos, pueden usarse junto con un
sistema de detección de intrusos en la red que identifique
posibles manipulaciones de registros en la transmisión. Otra
forma de extraer registros de forma segura es enviándolos a
través de conexiones de correo electrónico seguras (SMTP
sobre TLS), que está disponible en el bloque de funciones
CORREO C(Siemens SMTP, (2004)). Esta opción es una buena
alternativa para los casos en que el servidor web no está
habilitado. Por último, si los registros se almacenan en una
tarjeta de memoria utilizada por el PLC, también podrían
extraerse manualmente. Esto es muy poco práctico para
instalaciones reales y solo puede ser útil para fines forenses
en caso de que el PLC se haya bloqueado.
3.2. Registro y extracción de datos HMI
El panel HMI tiene la capacidad de almacenar registros localmente en
un dispositivo USB o tarjeta SD de Siemens conectado. Esta
característica se llamaInformación histórica, y ofrece varias opciones
diferentes para configurar el comportamiento de los registros. Los
registros almacenados en la HMI consisten en valores registrados de
etiquetas HMI y etiquetas PLC que son leídas por la HMI. Estos
registros tienen tres opciones para cuando se registran los valores de
las etiquetas y esto se puede configurar individualmente para cada
etiqueta que se registra. los
105
Las opciones de registro son: al cambiar el valor de la etiqueta,
cíclicamente con un período establecido, o puede activarse por el
cambio en una etiqueta diferente. La HMI no depende de la
lógica de ejecución para leer la memoria del PLC y, por lo tanto,
puede continuar registrando valores de memoria mientras el PLC
está en modo de parada. Una limitación de esta característica es
que la HMI no podrá registrar un pulso en un valor en el PLC que
dure menos que el ciclo de actualización de las etiquetas HMI.
Esto debería tenerse en cuenta para la configuración de la HMI,
ya que cualquier señal de control sensible que pueda causar un
cambio necesitaría que el período del ciclo de actualización se
establezca al mínimo.
Para acceder a los registros en los paneles SIMATIC Basic
HMI, solo hay una opción, que es usar una llave USB
extraíble. Sin embargo, esto no es práctico para una
instalación grande o para usar en un sistema automatizado.
Los paneles HMI avanzados (es decir, la serie de paneles
SIMATIC HMI Comfort) tienen la opción de habilitar un
servidor web para la extracción remota de datos (Siemens
HMI Web Access (2000)). La versión de escritorio de la HMI
(Siemens WinCC (2000)), normalmente utilizada para la
implementación de pantallas de operadores de nivel 3, tiene
capacidades para registrar etiquetas y alarmas de PLC/HMI
en la memoria del disco, por lo que ofrece muchas más
opciones para guardar y transmitir los registros a un sistema
de detección. Además de las alarmas del PLC, el panel básico
de la HMI también tiene la capacidad de mostrar alarmas
analógicas (activadas por exceder/caer por debajo de un
valor límite previamente definido) y alarmas de bits definidas
por los usuarios en la pantalla de la HMI, y almacenar su
historial en un búfer cíclico. La integridad de los registros en
el panel HMI y, de manera similar, la versión de escritorio
depende de que la configuración de la HMI sea segura. Un
resumen de estas características se puede ver en la Tabla 1.
4. PLCBLOCKMON: REGISTRO DE DATOS EN PLCS
En esta sección, describimos la implementación de nuestro
bloque de registro de datos, llamado PLCBlockMon.
PLCBlockMon1está diseñado para registrar diferentes etiquetas
de PLC. La idea es registrar solo las etiquetas que capturan los
estados más importantes del proceso que se está controlando y
los respectivos valores de entrada/salida del PLC que influyen en
los estados del proceso. Por lo tanto, exactamente qué etiquetas
deben registrarse depende del proceso que se esté controlando,
lo que requiere que se adapte a la lógica del PLC individual.
Además, en esta sección, ilustraremos el proceso de
configuración de PLCBlockMon para registrar los estados del
proceso del tanque de agua.
La lógica de escalera de control programada en el PLC
utiliza 3 entradas digitales, 3 salidas digitales, 1 entrada
analógica simulada y 3 entradas HMI (digitales). Las tres
entradas HMI son los botones que se pueden ver en la
Figura 3. Las tres entradas digitales al PLC indican
1La fuente está disponible públicamente enhttps://github.com/
CSR-AIT/PLCBlockMon
 PLCBlockMon: Registro y extracción de datos en PLC para la detección de intrusiones cibernéticas
Findrik•Pluma•Herrero•McLaughlin

Registros de bloques de PLC Registros del panel HMI Registros de diagnóstico de PLC

Ubicación de almacenamiento Cargar memoria de PLC Memoria Siemens conectada Cargar memoria de PLC
a la HMI
Seguro extracción Tarjeta de memoria, servidor web Memoria USB TIA Portal, HMI o servidor
métodos o SMTP sobre TLS web
Otro extracción Bloques lógicos de - Bloques lógicos de
métodos comunicación TCP o UDP comunicación TCP o UDP
Ámbito de registro Ubicaciones de lógica y memoria Etiquetas y alarmas HMI/PLC Eventos de diagnóstico
en PLC
Método de activación Disparador cíclico o Cíclico, Bajo Demanda o Bajo Evento activado
programado Cambio
Tabla 1:Un resumen de las funciones de registro que están fácilmente disponibles en los dispositivos de banco de pruebas industriales.

posiciones de las válvulas, mientras que las salidas digitales se

utilizan para establecer su posición. Por último, la entrada
analógica al PLC es un valor simulado del nivel del tanque. Estas
son las diez etiquetas más importantes seleccionadas para
registrar, ya que influyen en el estado del PLC y, por lo tanto, en
el proceso.

Una vez que se han elegido las etiquetas de registro, la lógica de

control debe aumentarse con instrucciones adicionales para
capturar los cambios de etiqueta en las ubicaciones de memoria
a las que puede acceder PLCBlockMon. En la Figura 4, esto se
ilustra en una parte de la lógica de control responsable de
encender la válvula de llenado. Un operador puede encender la
válvula de llenado a través de la HMI (Relleno HMI ES) etiqueta de
Figura 5:Principales bloques funcionales de PLCBlockMon.
entrada o automáticamente por la lógica biestable SR, si el nivel
del agua está por debajo de un cierto umbral.

El bloque disparador primero compara los bytes de entrada y

salida con su estado anterior guardado internamente. Si se
detectan cambios, se activa el disparador para el bloque de
registro de datos subsiguiente y se guardan los cambios
actuales en el archivo CSV que reside en la memoria. En aras
de la compresión, las entradas y salidas digitales se registran
en una matriz de bytes y se representan en el archivo como
valores enteros. La figura 6 proporciona un ejemplo de un
archivo de registro de este tipo.

Figura 4:Lógica de control PLC aumentada con instrucciones de guardado

de etiquetas.

Los cambios en la entrada HMI (es decir,Relleno HMI ES

etiqueta) y la salida digital para el control de la válvula de
llenado se guardan en la ubicación de la memoria para
salidas (M44.0) y entradas (M45.0), mediante instrucciones
resaltadas en rectángulos amarillos. Una vez capturados los
cambios, es necesario guardar los registros en la memoria de
carga del PLC. Esto se logra mediante dos bloques internos
principales del PLCBlockMon:GeneraryRegistro de datos, que
se muestra en la Figura 5. PLCBlockMon debe colocarse al
final de la lógica de control principal (es decir, bloque de
organización). Al colocar PLCBlockMon al final, se asegura
que la lógica de control ya no cambiará las etiquetas de
entrada/salida en un ciclo de ejecución determinado.
Figura 6:Archivo de registro generado por PLCBlockMon.
5. DETECCIÓN DE INTRUSIÓN CIBERNÉTICA
Nuestra técnica de detección de intrusos se basa en la
comparación de los archivos de registro generados por
PLCBlockMon en el PLC y los archivos de registro recopilados en
el panel HMI. Esta sección explica primero el método de registro
utilizado en el panel HMI durante los experimentos, después de
lo cual se presentan y explican los resultados de la validación
experimental.

106
 PLCBlockMon: Registro y extracción de datos en PLC para la detección de intrusiones cibernéticas
Findrik•Pluma•Herrero•McLaughlin
5.1. Implementación de registro de datos basada en HMI
El inicio de sesión en el panel HMI estuvo disponible
mediante un dispositivo USB de Siemens conectado. Esto
permitió registrar diferentes etiquetas utilizando la función
incorporada de datos históricos de HMI. Las etiquetas que se
registrarán y el tipo de modo de adquisición que se
seleccionará se configuraron a través del portal TIA. Esto se
puede ver en la Figura 7.
Figura 7:Pasos del proceso de la fase de desarrollo para
desarrollar aplicaciones IoT seguras.
Las etiquetas registradas en la HMI son: (i)Botónetiquetas
vinculadas a una etiqueta en el PLC y, por lo tanto, si la etiqueta
se cambia en un dispositivo, la etiqueta en el otro dispositivo
también se cambia, ya sea porque la HMI envía una solicitud para
cambiar la etiqueta en el PLC o si la etiqueta se cambió en el PLC,
entonces la HMI cambiará su valor cuando lea las etiquetas de
PLC, también registradas por PLCBlockMon; (ii)Prensaetiquetas
internas a la HMI que indican cuándo un operador cambia
manualmente el interruptor; (iii) Afueraetiquetas vinculadas
directamente a las etiquetas de salida de control digital en el PLC
también registradas por PLCBlockMon; (iv) Nivel del tanque
etiqueta vinculada a la variable de nivel del tanque del PLC. Es
necesario registrar las mismas etiquetas a través de
PLCBlockMon y en la HMI para poder comparar sus valores.
Figura 8:Archivo de registro generado por la HMI.
Para los valores de etiquetas que se registran cíclicamente, si la
conexión de red se interrumpe, la HMI registrará
automáticamente el último valor conocido, pero establecerá el
indicador de validez en 0 para indicar que este no es un valor
actualizado (como se muestra en la Figura 8) .
107
5.2. Validación Experimental
En esta sección se discutirán los resultados de los
experimentos realizados. En primer lugar, se examinará
la validación del uso de recursos y la resiliencia de la red
de las funciones de registro, y luego se utilizarán tres
escenarios de ataque para ilustrar las aplicaciones de las
funciones de registro en el ejemplo del proceso del
tanque de agua.
5.2.1. Detección de ataques DoS
Para examinar la precisión de los registros en condiciones de
red extenuantes, los registros se registraron bajo un ataque
de DOS que se genera utilizando la herramienta hping3
(Hping (2014)) desde la computadora portátil del usuario
malintencionado que se muestra en la Figura 2. Los registros
de datos históricos de HMI se basan en el información que le
transmite el PLC y, por lo tanto, son susceptibles de perder
datos cuando se interrumpe la conexión de red. Como se
puede ver en la Figura 9, donde los datos se configuraron
para registrar cuando cambia el valor, la HMI no cambia el
valor en los registros ni registra un valor predeterminado
cuando se pierde la conexión de red. El ataque de DOS se
inició a los 100 segundos y finalizó a los 200. Esta es la razón
por la que el HMI FillOut se tardó en ponerse a cero, ya que
estaba esperando la conexión. Para valores de etiqueta que
Figura 9:Valores de etiquetas de PLC y HMI durante el experimento DoS.
se registran cíclicamente si la conexión de red se interrumpe,
entonces el registro basado en HMI registrará el último valor
conocido pero establecerá el indicador de validez (que se
muestra en la Figura 8) en 0 para indicar que este no es un
valor válido. Además de la información de registro
proporcionada por PLCBlockMon y la HMI, este ataque
podría correlacionarse con información de un sistema de
detección de intrusos en la red, si se implementa uno en la
misma red de control industrial.
5.2.2. Ataques de protocolo al PLC
Este escenario se basa en una vulnerabilidad identificada por un
atacante o similar, donde se puede usar una vulnerabilidad de
protocolo conocido, debido a un firmware más antiguo en los
dispositivos operativos. Los problemas de seguridad con el
protocolo pueden permitir que un atacante reproduzca,
 PLCBlockMon: Registro y extracción de datos en PLC para la detección de intrusiones cibernéticas
Findrik•Pluma•Herrero•McLaughlin

manipular paquetes, o incluso cambiar áreas de memoria, y al hacerlo cambiar la operación del PLC. Por
ejemplo, la explotación de vulnerabilidades de seguridad en el protocolo S7 se ha demostrado previamente
en los siguientes documentos (Bresford (2011), Cheng et al (2017)). Las etapas de tales ataques podrían
ocurrir de la siguiente manera: (i) para producir una modificación específica a un proceso, el atacante
necesitaría tener conocimiento de lo que está haciendo el PLC y observar los paquetes para construir un
perfil de las ubicaciones de memoria que se están configurando. la red, (ii) habiendo creado un perfil de
comportamiento y adquirido conocimiento de la configuración del PLC, y el atacante podría capturar el
paquete específico que pretende reproducir, modificarlo para evitar el rechazo y reenviarlo al PLC. O en caso
cambiando el registro hasta la próxima solicitud de datos, que es
un proceso cíclico de un período preestablecido y, por lo tanto,
tiene un retraso mayor que la actualización inmediata para
cambios legítimos desde la HMI. La información que se muestra
en la figura podría proporcionarse a un IDS con reconocimiento
de secuencias (Caselli et al (2015)), que puede identificar
intrusiones en función del orden de ejecución de los eventos.

de que el área de la memoria no esté protegida contra escritura, el atacante podría simplemente emitir Además de observar la secuencia de eventos, una tercera
comandos de fuerza de memoria. Cuando la vulnerabilidad en el protocolo permita la manipulación de forma en que los registros podrían usarse para la detección
paquetes, un paso adicional en este escenario podría ser modificar los paquetes de retorno a la HMI para de ataques que manipulan paquetes de control de HMI es si
ocultar los cambios causados por el ataque de reproducción. En este caso, si se hace correctamente, ambos la HMI está configurada para registrar pulsaciones de
registros se verían normales en comparación, sin embargo, los registros del PLC mostrarían inconsistencias botones, así como cambios de lotes en la etiqueta controlada
en el control del proceso, por ejemplo, la válvula de llenado se abrió cuando debería estar cerrada (es decir, por ese. botón - como se explica en la Sección 5.1. Si esto se
cuando el nivel del agua está por encima de un cierto umbral). ). Sin embargo, si el atacante está forzando las implementa y la etiqueta en el PLC se cambia utilizando la
etiquetas de PLC que normalmente se cambian solo a través del botón HMI, sus acciones podrían detectarse función de fuerza o con el ataque de repetición, entonces la
mediante la comparación de registros, como se muestra en la Figura 10. En este caso, si se hace prensa no se registrará en los datos históricos de HMI. La
correctamente, ambos registros se verían normales en comparación, sin embargo, los registros del PLC diferencia entre un cambio de botón normal y malicioso se
mostrarían inconsistencias en el control del proceso, por ejemplo, la válvula de llenado se abrió cuando capturaría en los registros de datos históricos de HMI y se
debería estar cerrada (es decir, cuando el nivel del agua está por encima de un cierto umbral). ). Sin detectaría analizando el orden de ejecución de los eventos.
embargo, si el atacante está forzando las etiquetas de PLC que normalmente se cambian solo a través del

botón HMI, sus acciones podrían detectarse mediante la comparación de registros, como se muestra en la

Figura 10. En este caso, si se hace correctamente, ambos registros se verían normales en comparación, sin
5.2.3. Detección de carga de lógica maliciosa
embargo, los registros del PLC mostrarían inconsistencias en el control del proceso, por ejemplo, la válvula
Este escenario está diseñado para mostrar las
de llenado se abrió cuando debería estar cerrada (es decir, cuando el nivel del agua está por encima de un
limitaciones de PLCBlockMon y los registros de datos
cierto umbral). ). Sin embargo, si el atacante está forzando las etiquetas de PLC que normalmente se
históricos, al mismo tiempo que ilustra cómo se pueden
cambian solo a través del botón HMI, sus acciones podrían detectarse mediante la comparación de registros,
usar el búfer de diagnóstico y las estadísticas de recursos
como se muestra en la Figura 10.
disponibles del PLC para buscar cambios inusuales. El
ataque de carga de lógica maliciosa considera los
siguientes pasos: (i) un atacante configura un ataque de
phishing o instala un registrador de teclas en la
computadora portátil del ingeniero, (ii) el ingeniero se
conecta al PLC, ingresa la contraseña para realizar el
mantenimiento o ver información de diagnóstico con TIA
Portal, (iii) el atacante captura la contraseña y luego se
conecta al PLC con un TIA Portal diferente y descarga la
lógica existente, (iv) el atacante también puede ver la
operación en tiempo real del sistema para crear un perfil,
( v) una vez que el atacante tiene la lógica del PLC, pueden
modificarlo para llevar a cabo su objetivo mientras
simulan y muestran las condiciones normales de
operación, (vi) el atacante carga la nueva lógica. Para
lograr los pasos descritos sin modificar la configuración
de HMI, se requiere que un atacante modifique el mapeo
de los pines de salida digital en el PLC. Para hacer esto, el
Figura 10:Cambios de botones normales (izquierda) y cambios PLC debe hacer un reinicio completo que borre la
causados por forzar la memoria del PLC (derecha). memoria de las etiquetas y bases de datos. Los archivos
de registro no se eliminan en este punto; sin embargo, la
En referencia a las condiciones de funcionamiento replicadas en lógica de PLCBlockMon no podrá abrir el archivo anterior
el banco de pruebas, se simuló la capacidad de un atacante para y, por lo tanto, lo anulará con un nuevo archivo con el
modificar la etiqueta de memoria utilizando la función de fuerza mismo nombre. Una vez que la lógica se ve
en el portal TIA. Ahora se puede usar una comparación de los comprometida, la precisión de los registros programados
datos históricos de la HMI y los registros del PLC para identificar no está clara, ya que un atacante puede programar los
si el cambio de memoria se inició directamente desde la HMI. La registros del PLC para que se vean como ellos quieran.
diferencia en las marcas de tiempo puede indicar la dirección del Esto se puede ver en la figura 11,
flujo de datos, esto se puede ver en la Figura 10, donde la
demora en los pulsos de la derecha es mayor que los pulsos de la
izquierda, donde no se ve ninguna demora. Este retraso es el El mismo comportamiento vinculado a las operaciones normales
resultado de que la HMI no del PLC se puede ver en el lado derecho de la parte superior

108
 PLCBlockMon: Registro y extracción de datos en PLC para la detección de intrusiones cibernéticas
Findrik•Pluma•Herrero•McLaughlin
Figura 11:Gráfico de datos de registro de PLCBlockMon antes y después de
modificar la lógica.
grafico. Sin embargo, en este caso, los valores morados ya no
representan el estado real del PLC (el estado real se
representa con una línea negra en el gráfico superior). Los
datos a la derecha del gráfico se registraron después de que
se modificó la lógica y representan lo que se mostró en la
HMI y en los nuevos registros de PLC falsos. El espacio de
información en el centro del gráfico representa cuando la
lógica se estaba actualizando y el PLC estaba en modo STOP.
En este proceso de reinicio, donde se cambia la configuración
del PLC, los archivos de registro se borran de los datos
antiguos y esta es la razón por la cual la herramienta de
trazado no interpola el espacio. En un entorno operativo, un
reinicio intencional requeriría el apagado del sistema o
alguna otra medida para evitar la inestabilidad del sistema
mientras el PLC está fuera de línea. Por esta razón, y el hecho
de que es muy poco probable que cambie la lógica del PLC en
este entorno hace que un reinicio sea muy sospechoso. Por
lo tanto, borrar el archivo de registro sería un evento inusual
que ocurriría en un sistema en ejecución y podría ser una
indicación de un ataque malicioso de carga de lógica.
Además, la lógica adicional requerida para simular el
comportamiento real del proceso aumenta el uso de
memoria del PLC.
- este cambio también podría servir como indicación del
ataque. También se pueden encontrar indicaciones
adicionales en los búferes de diagnóstico de la HMI y el PLC.
Mientras el PLC está en modo STOP, el búfer de diagnóstico
de la HMI registraría los problemas de conexión de red y el
reinicio del PLC se registraría en el búfer de diagnóstico del
PLC. Un sistema de monitoreo con acceso a los buffers de
diagnóstico podría utilizar estas indicaciones como
disparador de un sistema de validación lógica similar al
propuesto por (Govil et al (2017)).
5.2.4. Validación de uso de recursos
Para aplicaciones de control industrial, el rendimiento en
tiempo real es de suma importancia, por lo que la lógica de
registro no debería tener un impacto considerable en
109
el rendimiento en tiempo real de la lógica de control de
funcionamiento del PLC. Las pruebas del bloque de función de
registro PLCBlockMon que se agregó a la lógica de control de
tanque normal mostraron que el tiempo de ciclo era el mismo en
comparación con el PLC sin registro. Sin embargo, se usó más
memoria de carga cuando se estaba ejecutando PLCBlockMon.
Para el tamaño de registro de 100 entradas, se creó un archivo
de registro de 6 KB en el PLC que permite almacenar valores de 2
bytes (máximo de 14 valores booleanos) y un valor real (suficiente
para almacenar 9 entradas digitales booleanas y el valor del nivel
del tanque).
6. CONCLUSIÓN
El objetivo de este documento es evaluar el potencial para
usar las funciones de diagnóstico y registro que están
integradas en los dispositivos industriales contemporáneos
ampliamente implementados, específicamente los PLC, para
la detección de intrusiones cibernéticas. Hemos encontrado
pocos trabajos de investigación relacionados (aparte de
Caselli et al (2015)) que analicen el uso de funciones y
registros de datos específicos de ICS con fines de seguridad,
lo que nos motivó a realizar este estudio. En particular,
hemos analizado exhaustivamente las siguientes opciones:
los datos históricos de HMI, los bloques de registro de datos
de PLC y el búfer de diagnóstico de PLC, debido a sus
características para el registro de datos ICS relevantes junto
con varias posibilidades para su extracción y uso para la
detección de intrusos. Además, hemos implementado una
lógica de PLC que permite el registro de datos en el PLC
Siemens S7-1200, llamada PLCBlockMon, explicó su
implementación y demostró el uso para la detección de
intrusos junto con los datos históricos de HMI basados en el
método de comparación de registros. Además, hemos
mostrado cómo los registros de datos de PLC se pueden
falsificar con éxito mediante la carga de una lógica maliciosa
bien construida, pero no sin dejar rastros que puedan indicar
dicha actividad. También vale la pena mencionar que la
comparación de registros de diferentes dispositivos requiere
sincronización de tiempo en el sistema, ya que las marcas de
tiempo se generan en los dispositivos individuales. Se
necesitaría más investigación para evaluar la resiliencia de la
técnica de registro frente a ataques de tiempo como los
ataques de amplificación NTP (NTP Attacks (2016)). Otra área
potencial para futuras investigaciones sería evaluar la
aplicación de PLCBlockMon para fines forenses de ICS (Van
Vlie et al (2016)), su viabilidad para el despliegue en
circunstancias prácticas, ampliar el trabajo actual a otros
dispositivos industriales de Siemens y considerar otros
fabricantes de equipos ICS. Esperamos que los hallazgos de
esta investigación sirvan como base para futuros estudios de
seguridad cibernética sobre la detección de intrusiones de
ICS, al proporcionar fuentes de información recopiladas
sobre las funciones de registro y extracción disponibles en
una amplia gama de dispositivos S7.
 PLCBlockMon: Registro y extracción de datos en PLC para la detección de intrusiones cibernéticas
Findrik•Pluma•Herrero•McLaughlin
RECONOCIMIENTO
La investigación que condujo a estos resultados recibió
financiación del OIEA como parte del CRP J02008 sobre la
mejora del análisis de incidentes de seguridad informática en
instalaciones nucleares.
REFERENCIAS
Siemens, envío de correos electrónicos a través de correo electrónico seguro
Conexiones con S7-1500 y S7-1200, https://
cache.industry.siemens.com/ dl/files/
803/46817803/att 926218/v2/ 46817803 Correo
electrónico con CP1543-1 en.pdf
Siemens, SIMATIC HMI Confort
https://cache.industry.siemens.com/ dl/files/
153/109476153/att 848919/v1/ 109476153
Servidor web de paneles remotos DOKU es. pdf
Siemens, Seguridad con controladores SIMATIC,
https://cache.industry.siemens.com/ dl/files/
010/90885010/att 876214/v1/ 77431846
Seguridad SIMATIC DOKU V20 es.pdf
Siemens, Configuración de mensajes y alarmas en
WinCC (TIA Portal),https://soporte.industria.
siemens.com/cs/document/62121503/
configuracion-de-mensajes-y-alarmas\ multa-
\@M-in-wincc-(tia-portal)?dti= 0&lc=en-WW
Langner R., “Stuxnet: diseccionando una guerra cibernética
Weapon”, en IEEE Security & Privacy, vol. 9, núm. 3,
págs. 49-51, mayo-junio de 2011.
E-ISAC, Análisis del Ciberataque a la
Caso de uso de defensa de la red eléctrica de Ucrania, 18 de marzo
de 2016
Dragos, Crashoverride: Análisis de la Amenaza a
operaciones de la red eléctrica,https://dragos.com/
blog/crashoverride/CrashOverride-01.pdf
SecMatters, Defensa silenciosa
https://www.secmatters.com/hubfs/
Asuntos de seguridad-marzo de 2017/
PDF/SilentDefense-Datasheet.pdf
Dragos, Ficha técnica de la plataforma Dragos,https:
//dragos.com/media/Hoja de datos de la plataforma
Dragos.pdf
sistema inmunitario industrial darktrace,https://www.
darktrace.com/resources/ds-iis.pdf
Hoja de datos SCADAGuardian de Nozomi Networks,
https://www.nozominetworks.com/downloads/
US/Nozomi-Networks-SG-Data-Sheet.pdf
Copy B. , Zimny M. , Milcent H., “Standards-
monitoreo de diagnóstico de PLC de código abierto
basado en Proceedings of ICALEPCS2015, Melbourne,
Australia
Ponomarev S. y Atkison T., “Control industrial
Detección de intrusos en la red del sistema mediante
análisis de telemetría”, en IEEE Transactions on
Dependable and Secure Computing, vol. 13, núm. 2, pp.
252- 260, 1 de marzo-abril de 2016.
Obregón L., “Arquitectura segura para la industria
Sistemas de control," https://www.sans.org/
sala de lectura/documentos técnicos/ICS/
securearchitecture-industrial-control-
systems-3632
Paneles,
Siemens, Manual de sistema SIMATIC S7-1200,
Siemens, Núremberg, 2014.
kali linux,https://www.kali.org/
Herramientas Kali, descripción del paquete hping3,https:
//tools.kali.org/recopilación-de-información/
hping3
Siemens, Diagnóstico en el programa de usuario con S7-
1500, 2014.
Holm H., Karresand M., Vidstrm A., Westring E.
(2015) Una encuesta de bancos de pruebas de sistemas de
control industrial. En: Buchegger S., Dam M. (eds) Secure
IT Systems. Lecture Notes in Computer Science, vol 9417.
Springer, Cham
Siemens, comunicación abierta de usuario con TSEND C
y TRCV C, https://caché.industria.
siemens.com/dl/files/808/67196808/ att
108115/v2/net s7-1200 isoontcp en.pdf
Siemens, Envío de mensajes SYSLOG con
una CPU SIMATIC S7,https://soporte.
Industry.siemens.com/cs/document/51929235/
- envío-de-mensajes-syslog-con-un-simatic-s7
- cpu?dti=0&lc=en-WW
Siemens, Siemens Seguridad Boletín
Respuesta al SCI Alerta (ICSA-11-223-
Ficha de datos,
01A), https://www.industry.siemens.com/
topics/global/en/industrial-security/ news-alerts/
Documents/Summary on ICS Alert
ICSA-11-223-01A.pdf
Beresford D., explotando Siemens Simatic
S7 PLCs, en Black Hat USA+2011, Las Vegas, NV,
EE. UU., 34 de agosto de 2011. [En línea]. https://
media.blackhat.com/bh-us-11/ Beresford/BH
US11 Beresford S7 PLC WP.pdf
Cheng L. et al, La lanza para romper el muro de seguridad
de S7CommPlus, en Black Hat EU 2017. [En línea].
https://www.blackhat.com/docs/eu-17/materials/
eu-17-Lei-The-Spear-To-Break%20-The-Security-
Wall-Of-S7CommPlus-wp.pdf
110
 PLCBlockMon: Registro y extracción de datos en PLC para la detección de intrusiones cibernéticas
Findrik•Pluma•Herrero•McLaughlin

Caselli M. et al, Intrusión consciente de la secuencia Alerta US-CERT (TA14-013A), amplificación NTP
Detección en Sistemas de Control Industrial. En Ataques usando CVE-2013-5211,https://www. us-
Actas del 1er Taller de ACM sobre Seguridad de cert.gov/ncas/alerts/TA14-013A
Sistemas Cibernéticos y Físicos (CPSS '15). ACM,
Nueva York, NY, EE. UU., 13-24. DOI=http:// Van Vlie et al. “Medicina Forense en Control Industrial
dx.doi.org/10.1145/2732198.2732200 Sistema: un estudio de caso”. (2016),https://arxiv.
org/ftp/arxiv/papers/1611/1611.01754.pdf
Govil, Naman, Anand Agrawal y Nils Ole
Tippenhauer. "Sobre bombas lógicas de escalera en
sistemas de control industrial". Preimpresión de
arXiv arXiv:1702.05241 (2017).https://arxiv.org/pdf/
1702.05241.pdf

111