工控安全入门之攻与防

山东新潮信息

专业｜专注｜卓越｜安全

声明：Tide安全团队原创文章，转载请声明出处！文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途以及盈利等目的，否则后果自行承担！

0X00工控安全案例年6月伊朗核电站“震网(Stuxnet)”事件

年6月，一个名为Stuxnet处于休眠状态的病毒潜伏在伊朗的铀浓缩设施网络中，Stuxnet在位于纳坦兹的离心机中被激活，控制了30%的纳坦兹设施的计算机，致使伊朗暂时关闭了核设施和核电厂，震网病毒感染了全球超过20万台电脑，摧毁了伊朗浓缩铀工厂五分之一的离心机。震网病毒的感染途经是通过U盘传播，然后修改PLC控制软件代码，使PLC向用于分离浓缩铀的离心机发出错误的命令。

土耳其原油输送管道爆炸事件：

年12月，土耳其境内，由伊拉克向土耳其输送原油的输油管道爆炸。为监控从里海通向地中海的英里的石油管道内的每一步，这条管道内安装了探测器和摄像头，然而管道爆炸破坏前前，却没有引发一个遇险信号，原因是黑客关闭了警报、切断了通信的同时给管道内原有大幅增压

乌克兰电网BlackEngery病毒事件:

年12月23日，乌克兰电网遭网络攻击，受影响家庭70万户，这是有史以来首次导致大规模停电的网络攻击。以BlackEnergy等相关恶意代码为主要攻击工具，以邮件发送恶意代码载荷为最终攻击的直接突破入口，通过远程控制SCADA节点下达指令为断电手段，以摧毁破坏SCADA系统实现迟滞恢复和状态致盲，以DDoS作为干扰，最后达成长时间停电并制造社会混乱的具有信息战水准的网络攻击事件

年WannaCry病毒席卷全球，中石油2万多座加油站断网

WannaCry勒索病毒蔓延全球，感染了个国家的30多万台计算机。中国中石油公司超过2万座加油站也受到攻击，在断网约36小时左右才慢慢恢复

年1月熔断(Meltdown)和幽灵(Spectre)两大新型漏洞，思科西门子多款工业交换机受影响

“熔断”(Meltdown)和“幽灵”(Spectre)两大新型漏洞通过攻击获取数据、读取内核内存影响AMD、ARM、Intel系统和处理器等设备，思科系列集成多业务路由器和工业以太网系列交换机以及西门子工业设备已确认受到影响

年2月欧洲废水处理服务器被恶意软件入侵：

接入欧洲废水设施运营技术网络的服务器遭遇加密货币采矿恶意软件入侵，拖垮废水处理设备中的HMI服务器CPU，导致欧洲废水处理设备服务器瘫痪

年4月美国天然气输气管道公司遭到攻击：

美国4家天然气输气管道公司遭供应链攻击，导致与客户通信系统被关闭

年6月三一重工泵车失踪案：

通过源代码找到远程监控系统的漏洞，解锁设备，损失10亿元

年8月3日，台积电感染WannaCry病毒

台积电位于台湾新竹科学园区的12英寸晶圆厂和营运总部的部分生产设备受到魔窟勒索病毒WannaCry勒索病毒的一个变种感染，具体现象是电脑蓝屏，锁各类文档、数据库，设备宕机或重复开机。几个小时之内，台积电位于台中科学园区的Fab15厂，以及台南科学园区的Fab14厂也陆续被感染，这代表台积电在台湾北、中、南三处重要生产基地，同步因为病毒入侵而导致生产线停摆，损失高达26亿，发生该事件的原因为新机台接入时，未进行隔离，确认无病毒，直接联网，所有机台生产程序放在云端，每次生产需要重新下发安装，为提高效率，取消了各厂区间的防火墙，主机设备及系统过于陈旧，未进行升级，未安装防病毒软件

年3月，委内瑞拉国内大部分地区停电

委内瑞拉发生全国范围的大规模停电，首都加拉加斯以及其他大部分地区陷入一篇漆黑，全国18个州电力供应中断，仅有5个州幸免，此次突发的电力系统崩溃没有任何预兆。停电给委内瑞拉带来了重大损失，全国交通瘫痪，地铁系统关闭，医院手术中断，所有通讯线路中断，航班无法正常起降

年7月，纽约停电4个小时

美方报导称:伊朗革命卫队信息战部队成功的突破了美国信息战部队的围堵，闯入了纽约市三十多个变电站的控制中心，并对控制中心进行信息站破坏，导致了纽约全城大约4个小时的停电。这是几十年来的第一次大规模停电造成混乱

0X01工控系统漏洞存在现状和不足

目前工控系统安全与传统IT系统安全不同有以下几点原因：

一、从安全优先级来说:

1.工控系统网络安全焦点问题是生产过程稳定可靠，强调的是可用性，不能停产，不能发生生产安全事故。

2.工控系统网络通讯协议不同，大量的工控系统采用私有协议。

3.系统运行环境不同，工控系统运行环境相对落后，对系统稳定性要求高。

4.工控系统安全不是按照网络安全顺序排序，而是可用性最重要，完整性和机密性在后，故相对于传统IT系统的优先级由机密性完整性可用性来说，工控系统安全恰恰相反，工控系统优先级为可用性完整性机密性。

二、从防病毒软件来说：

1.工控网络通常不允许连接互联网，不具备及时更新病毒库的条件。

2.工业控制系统通常不允许在生产运行期间进行系统升级。

3.病毒误杀在工业控制系统中可能产生致命的后果，所以导致现在大量工作站处于无防护状态。

三、从传统防护设备来说（如IDS/IPS:）：

1.工业控制系统通常不允许在运行期间进行系统升级。

2.工控网络通常不允许连接互联网，不具备及时更新攻击库的条件。

3.IDS的高误报率一直是制约它广泛应用的主要因素。

4.IPS为了降低误报，很大程度上是以牺牲检出率为代价。

四、工控安全当下趋势

工业系统、工业网络大多以“物理隔离”为核心安全手段随着工控安全行业的蓬勃发展，随着人工智能、大数据、云计算等新一代信息技术的迅速发展，新技术的应用使得原来封闭的工业控制系统网络越来开放，尤其是“两化融合”的深入以及“工业4.0”、“中国制造”等战略的推进，关键基础设施逐渐开始采用以太网、通用协议、无线设备、远程配置等。在互联互通、纵向集成等新的生产模式下，关键基础设施正逐渐暴露于互联网中，工控系统下的安全问题所包含的软件隐患、网络边界隐患、环境和硬件隐患等问题，以及工控系统的网络安全协议问题，如操作系统的落后、补丁的更新不及时、缓冲区溢出问题、拒绝服务漏洞、关键设备没有冗余备份，不安全的远程访问ICS组件等问题带来的安全隐患问题。工控系统漏洞发现数量与日俱增，为网络攻击以及病毒的滋生与传播创造了适宜环境，如以勒索软件为代表的新型恶意软件不断出现，对工业系统安全运营构成威胁。针对工业领域的网络攻击呈组织化、递增化发展，且攻击方式呈现多样性。

0X02工控蜜罐CONPOTICS/SCADA搭建1、Conpot介绍

为了更好地学习工控相关知识，我们使用了Conpot进行搭建，Conpot是Glastopf下一个开源的ICS/SCADA蜜罐系统，工具可以实现ModBusSNMP等PLC的外部子站服务的模拟仿真。Conpot是一个部署在服务端的低交互ICS蜜罐，能够快速地部署、修改和拓展。开发者通过提供一系列的通用工控协议，使得我们能够非常快速地在我们的系统上构建一套复杂的工控基础设施用于欺骗未知的攻击者。Conpot一共支持bacnet、enip、guardian_ast、ipmi、kamstrup、misc、modbus、s7


本文编辑：佚名
转载请注明出地址  http://www.jialajiasia.com/jljsxw/5552.html