研究人员已经生成了实验用蠕虫病毒，它能够从一台PLC向另一台PLC传播而无须一台PC或服务器。

在最近的亚洲黑帽大会上，由OpenSource Security公司的研究人员详细介绍了被称为“PLC-Blaster”的蠕虫病毒。它的设计是针对西门子的SIMATIC S7-1200v3控制器。

根据之前的研究表明，一个恶意软件可以在一个PLC之上运行，研究人员使用结构化文本(ST)语言开发一个蠕虫病毒，利用PLC的通信特性从一个设备传播到另一个设备进行传播。

PLC-Blaster编程类似普通蠕虫病毒，但有一些针对PLC特定的约束条件。专家认为，最有可能感染路径涉及蠕虫的工业组件供应商的分销渠道或者设备在运输过程中感染。一旦感染西门子SIMATIC装置是安装在一个网络上，蠕虫病毒开始扫描其他类似系统的TCP端口102。如果确定了被扫描的PLC还没有被感染，蠕虫病毒会停止大约10秒然后向目标设备发送自身代码，并再次启动。然后，针对每一个可能的目标重复这个过程。

谷神星网络科技发现，蠕虫病毒在目标PLC上的自身复制是通过模仿西门子TIA-Portal的过程。恶意软件利用了SIMATIC s7 - 1200cpu漏洞，西门子在版本4中发布了补丁程序。

研究人员还实现了一些恶意功能来证明“PLC-Blaster”的影响。该蠕虫可以与指挥命令服务器通信，就像一个Socks4的代理，它能够在一台被感染的PLC上引发拒绝服务，并且它还能操纵输出。

OpenSource的研究人员指出该蠕虫病毒可以通过感染过程中PLC10秒钟的中断或者产生异常的网络流量来进行检测。由于该蠕虫病毒存储在PLC上，在设备重启时依然在存在于设备上，但是如果做出厂复位或者其存储区域被覆盖则蠕虫病毒可以被删除。

“通过恶意软件或蠕虫攻击工业系统不是一项新技术。这种形式的攻击以前在罗克韦尔和震网等研究项目已经证明，尽管PLC蠕虫病毒是第一个没有一个庞大的预算支撑的利用实例。”Applied Risk创始人兼首席ICS安全顾问Jalaj Bouhdada告诉SecurityWeek，“这个蠕虫病毒表明黑客和安全社区现在越来越关注工业控制系统及其相关的漏洞。”

PLC 蠕虫病毒在非实验室环境以及其它影响

Bouhdada认为PLC蠕虫的这些类型将很可能出现。“从我们在外界看到第一个蠕虫病毒到利用这些漏洞只是个时间的问题，”专家说“对工业系统的入侵从前是留给那些能够拥有非常昂贵设备的少数人，而PLC蠕虫病毒目标直指工业运行环境（OT， Operation Technology)。而IT系统由于它和现有恶意软件的兼容性对于任何潜在的破坏仍旧是主要的焦点。

漏洞管理公司Outpost24的首席安全官Martin Jartelius指出要考虑很多其他因素，“这项研究很有意思令人着迷，然而应当指出多数情况下在风险暴露的网络服务远程代码执行（RCE, Remote Code Execution）漏洞总是对蠕虫病毒开放，但是利用这些漏洞的情况比较少见。”

“蠕虫病毒的运行不是静静的，会被检测出来，端口扫描组件很快将人的吸引到受感染的设备，导致清理操作。从大多数攻击者的角度看，它不是投入时间和精力的好地方。“ Jartelius通过电子邮件说。

“在本地网络上传播更有意义，即如果一个设备暴露在互联网上，其他在内部网络类似设备可以通过第一个而被攻破。本质上，代码是从攻击者的角度来进行判断，但是如果我们看到它使用得当，它不是蠕虫形式,”他补充道。专家指出:“当然我们将会时不时看到蠕虫病毒，蠕虫就是蠕虫，但远程安装和命令/控制组件是比创建一个蠕虫的潜在问题更严重。”

缓解方法

“为了减少像PLC蠕虫的恶意软件造成的损害，企业必须加固他们的供应链的安全，确保他们的工业资产进行有效识别并进行内嵌的安全评估,“谷神星网络科技解释称。

“对关键基础设施需要大力保护的行业，PLC蠕虫是一个强烈的信号，供应商要和资产所有者一起密切合作，确保这些环境的安全和可靠的操作。”