工控系統網絡攻擊與脆弱性分析

時間 2020-06-29

原文原文鏈接

2010年，伊朗震網病毒事件爆光，揭開了工業控制系統（「工控系統」）的「神祕面紗」，也拉開了攻擊工控系統的序幕。隨後十年間爆發了衆多與工控系統關聯的安全事件，例如：針對電力、水利、能源、交通等基礎設施的定向攻擊或針對式攻擊（APT，advanced persistent threat），對社會秩序形成較大影響；針對生產製造等企業的定向攻擊，竊取商業機密，影響正常生產；撒網式攻擊，特別是2017年席捲全球的WannaCry勒索病毒，工控系統亦成爲「疫」區，且在近兩年仍餘波不斷。web

此外，世界知名的黑客大會，如BlackHat、DefCon等，紛紛將工控安全歸入議題；2020年1月世界高水平黑客大賽Pwn2Own更首次將工控歸入比賽。能夠看出，工控領域彷佛正在成爲「黑道」和「白道」的藍海，工控系統的漏洞和攻擊面也正隨着工業互聯網的發展，更多的暴露於攻擊者。面試

工業控制系統應用領域shell

一、工業控制系統的總體攻擊思路數據庫

（1）攻擊目標編程

強目的性、針對式的攻擊一般是以破壞工控設備、形成工廠停產、工序異常、次品率增長，甚至火災爆炸等嚴重後果爲目標。現代工廠中，大部分現場生產設備都是由控制系統（如：PLC-可編程邏輯控制器、數控車牀、DCS-分佈式控制系統）進行現場操做。所以，攻擊者的目標是經過直接或間接攻擊或影響控制系統而實現。下文將以工廠PLC舉例，闡述黑客對工控系統的攻擊思路。windows

黑客攻擊目標舉例安全

（2）攻擊場景服務器

針對式直接攻擊網絡

直接攻擊PLC，是指利用PLC存在的漏洞，或經過口令破解等方式繞過安全認證，成功控制PLC並進行指令修改，實現攻擊目的。當前較多的PLC處於內網，尚不能經過互聯網直接訪問，在此情景下，直接攻擊通常經過物理接觸PLC，或經過內部辦公網絡鏈接到PLC等方式而實現。隨着工廠智能化的提高，設備實現互聯互通，大量PLC系統連入互聯網，將更易於黑客對PLC發起直接攻擊。架構

針對式間接攻擊

間接攻擊PLC，是指獲取PLC上一層監控系統（如HMI、IPC、SCADA等）的控制權，經過監控系統向PLC發送惡意指令，或干擾監控系統與PLC的正常通信，實現攻擊目的。採用間接攻擊場景，一般是因爲攻擊者沒法直接接觸到控制系統，或對工廠內部PLC系統瞭解有限，於是轉向攻擊存在大量攻擊者熟悉的IT部件的過程與監控層系統。例如，攻擊者首先得到IPC（工業計算機）的控制權，分析IPC和PLC之間的傳輸模式，構造惡意指令，經過IPC傳輸給PLC，間接影響PLC的正常工做或阻斷生產狀態的監控和預警。

非針對式攻擊

非針對式攻擊，或稱爲撒網式攻擊，是指惡意程序利用系統或網絡的共性漏洞，無差別化感染系統並在內網傳播，影響正常生產秩序。此類攻擊場景雖然不針對工控系統，但因爲目前工控環境的安全措施較爲薄弱，使得撒網式攻擊在世界範圍內屢屢得手。撒網式攻擊一般以病毒或惡意程序爲主，例如，攻擊者利用員工安全意識薄弱，發送釣魚郵件，感染接收者的電腦，再利用網絡環境的脆弱性，在辦公網快速傳播，再蔓延至生產網，感染具備共性漏洞的系統，如IPC等，影響生產或形成破壞。

（3）攻擊途徑

工控系統的攻擊途徑大致包含內部發起和外部發起兩類。內部發起又可分爲自辦公網滲透到工廠網以及車間現場發起攻擊；外部發起包含針對式攻擊（如APT）和撒網式攻擊。

工控環境攻擊路徑

內部發起

辦公網爲起點

在辦公網環境內，使用nmap等工具掃描和獲取網段和資產信息，特別是常規工控系統和IT系統端口，Siemens 102，modbus 502，EthernetIP 4481八、44五、3389等；
成功獲取系統控制權後，嘗試以該主機爲跳板，使用Pass the Hash等方式滲透其餘系統，找尋工控相關係統PLC、IPC和SCADA等，以實現攻擊目的；
若均未成功，轉向採用社會工程等方式進一步獲取相關信息（如高權限帳號等）；
同時，考慮設法進入工廠車間內部，轉爲現場攻擊方式；
一些集成控制系統的中控平臺，或者內網的一些類SCADA等組態控制系統的web應用端或者dll、dat容易被劫持後造成工程師站的提權。

車間現場爲起點

在車間內發起攻擊工控系統是最爲直接的方法，手段和選擇一樣是多樣化的：

進入車間後，仔細觀察車間內的狀況，尋找IPC或者控制系統的位置，爲後續攻擊嘗試作準備。

攻擊嘗試一：

首選目標爲控制系統（如PLC），尋找是否存在未上鎖，或者網線接口暴露在外的設備；
嘗試瞭解相關的控制系統基本信息，例如所使用的品牌，版本等；
嘗試使用電腦在現場鏈接控制系統，利用弱口令等脆弱性，嘗試惡意指令注入、權限繞過、重放攻擊等。

攻擊嘗試二：

嘗試對現場運行的IPC或者HMI進行攻擊，例如對運行的IPC插入惡意U盤植入惡意程序；
針對未設置權限的IPC或者HMI直接操做，如修改控制系統的指令等惡意操做。

外部發起

針對式攻擊

APT 攻擊是典型的外部發起的針對式攻擊，攻擊過程包含

對目標企業進行信息收集以初步瞭解該企業的基本狀況；
利用Google、Baidu等搜索引擎尋找暴露在互聯網上的域名或服務器；
利用爬蟲技術儘量獲取網站全部連接、子域名、C段等；
嘗試對網站應用進行高危漏洞利用，例如惡意文件上傳、命令執行、SQL注入、跨站腳本、帳戶越權等；
嘗試獲取網站webshell，再提高至服務器權限；
以該服務器爲跳板打入內網環境，轉變爲內部攻擊的模式；
經過從互聯網搜索外網郵箱的用戶名，根據企業的特色，針對式地給這些用戶發送釣魚郵件，以中招的電腦爲跳板打入內部環境，轉變爲內部攻擊的模式；
利用僞造門禁卡，或者假裝參觀、面試人員或者尾隨內部員工的方式物理進入企業內部，轉變成爲內部攻擊的模式。

撒網式攻擊

利用Google和Baidu等搜索引擎找出暴露在互聯網上企業的域名，若發現能夠利用的漏洞則轉爲針對式攻擊；
利用社工，儘量多收集企業的員工的郵箱，大批量發送釣魚郵件；
使用Shodan搜索引擎，針對暴露在互聯網上的工控系統發起攻擊，成功後轉爲內部攻擊。

黑客攻擊鏈（Cyber Kill Chain）

通常來講，攻擊者一般以低成本、撒網式的攻擊手段，如發送釣魚郵件等社工式，開始攻擊嘗試。當受害者點開附在釣魚郵件內的惡意連接或惡意程序時，「潘多拉之盒」就此打開，攻擊者將嘗試攻陷受害者的設備，並以此設備爲跳板，打入企業內網。若是工控網絡未能作到與辦公網絡的有效隔離，攻擊者能夠在進入辦公網絡後掃描並分析發現相關工控資產。當前許多工廠工控環境抵禦網絡攻擊的能力較弱，大多存在弱口令，權限設置不當，共享帳號和密碼，補丁和脆弱性管理缺失，網絡隔離和防禦不充分等高危漏洞，使得攻擊者利用這些漏洞，在企業工控網內大範圍、無阻攔、跨領域的對工控資產進行攻擊，最終致使工業數據泄露、設備破壞、工序異常、次品率增長、火災爆炸甚至威脅員工安全等嚴重後果，造成完整的黑客攻擊鏈。

二、工業控制系統可否有效抵禦攻擊？

工控系統可否有效阻擊黑客攻擊，取決於攻守雙方的準備和措施。目前來看，攻擊者更加積極研究工控系統漏洞和攻擊手段，而企業在當下更着重於高效生產和數字化轉型，對工控安全的關注和投入相對滯後；加上工控系統的陳舊性和非標準性，使得暴露在攻擊者面前可利用的脆弱性較多，舉例以下：

（1）組織與人員

未落實安全責任

管理層重視不足，部門間安全職責不清晰，無明確安所有門或崗位。

安全意識薄弱

員工對工控系統的安全意識相對薄弱，特別是生產或一線員工。傳統型企業的「隱匿式安全」（security by obscurity），認爲嚴格物理安全和訪問管理便可確保安全，認爲未發生安全事件便是安全，這每每使得企業忽略對網絡安全的建設，未能及時補救隱患。

（2）管理與監督

「經驗式」管理

工控系統自身缺少安全設計與考量，是不少企業存在的廣泛現象，經過實施適當安全保障措施，能夠有效彌補。但不少企業並無創建有效的安全策略和措施，僅依靠我的經驗和歷史經驗進行管理。

應急響應機制缺失

缺乏應急響應機制，出現突發事件時沒法快速組織人力和部署應對措施來控制事件進一步蔓延，並在最短期內解決問題和恢復生產。