谁动了我的工业生产线?

百家 作者:绿盟科技 2017-10-26 08:58:12

前言

随着自动化控制系统在工业生产领域上的广泛应用,针对工控系统的漏洞攻击也呈现不断增长的态势,攻击者通过互联网查询目标控制设备原理,从而挖掘工业控制系统安全漏洞,然后对工业生产业务展开攻击。本文针对工控系统安全漏洞展开初探:

通常来说工控安全漏洞具有以下特点:

  • 利用范围广,上位机、下位机、PLC都可以被攻击利用;

  • 攻击者掌握部分0 Day 漏洞,针对通用漏洞利用原理清晰;

  • 针对多用控制器协议的正常规约逻辑开展逻辑攻击。

工控漏洞分布

根据CNVD的统计,工控系统漏洞的分类具有以下特点:

  • 漏洞多集中于组态软件上;

  • 控制器漏洞多集中于内置的Web组件;

  • 控制器漏洞多是拒绝服务类型;

  • 大多数控制器固件是固化口令;

  • 工控设备漏洞多存在于内置数据库;

  • 工控设备存在默认口令或者弱口令。

工控漏洞发现

鉴于工控设备生产厂商使用私有协议和端口进行通信;在一般工业环境下,具备以太网通讯模块的下位机使用特定的工业以太网协议进行通讯,而工业以太网协议通过特定规约识别不同具体设备,这类规约对控制器是完全信任并无损的,所以可以根据协议和规约内容进行信息获取,并进一步判断设备类型和可能存在漏洞问题,发起相应攻击。

 

设备版本信息发现漏洞

该类型漏洞存在于SIEMENS、Schneider、Rockwell等工业控制设备中,由于某些固定版本上厂商发布的工业控制设备存在安全处理问题引发的漏洞,可以通过收集比对“设备厂商——设备型号——版本信息——漏洞问题”信息库,从而在现实生产环境中对存在该型号、版本的设备进行攻击利用。

 

互联网工控设备搜索漏洞

通过互联网搜索引擎如(绿盟Seer、ZoomEye)等,由互联网爬虫实时探测在互联网开放的生产环境工业控制、监控系统,这些工控系统一般内置web发布组件或者数据库组件,可以通过Banner信息或者网络回包信息远程判断系统、设备版本,从而利用设备信息识别漏洞发起攻击;

另一方面,由工控系统内置web组件的相关web漏洞,对工控系统进行入侵攻击,并且引发内部其它工控系统被入侵的连锁反应,这类问题和IT网络类似,可以由常规web类型漏洞入侵进行归类。

工控漏洞挖掘Fuzzing

由于工控协议存在先天的脆弱性,例如MODBUS协议,该协议在设计之初并未考虑安全性问题,导致装置和控制端通信时缺乏有效的认证机制,从而这种协议对畸形报文的识别能力差,仅需要使用一个合法的MODBUS地址和功能码即可以建立一个MODBUS会话。

因此,可以通过一系列“数据仿冒”测试攻击,可以称之为Fuzzing测试,即模糊测试,来试图注入不规则消息内容和数据输入,以此来验证系统的可靠性。通过针对目标系统“提交非预期输入——观察异常结果——发现问题”的方式,不断调整输入数据的范围,针对不同协议进行合适的数据调度,同时监视数据收发与被测设备的状态,分析异常数据、挖掘潜在漏洞。

Fuzzing方法

工控设备固件后门

在工业控制环境中,由于广泛使用国外厂商工业控制设备,部分厂商为了简化运维方式,以及进行用户信息的收集和反馈,在工业控制装置中开放私密运维接口,我们可称之为固件后门。这些固件后门一旦被攻击者利用,则会对整个工业生产网络造成极大的入侵风险。

针对这类固件后门的检测,可以从两个方面进行:

  • 对固件进行反汇编,对其中库函数进行识别,排查存在问题的函数;

  • 通过静态逆向分析和动态端口扫描的方式,检测后门的活动。

一般来说,固件后门会带来四种影响,即未授权侦听者,非预期的功能,部分隐藏功能和向外发起的连接请求;由于嵌入式系统对实时性的要求比较高,针对固件后门的检测和防护不应过多依赖于运行时的监控信息,因此应采用动静结合的方式来进行检测。

即静态:“启发式规则”+“逆向分析”;动态:“端口扫描”和“端口模糊测试”。

 

总结

对于工业控制系统常见的发电厂、电网调度中心、烟草等企业生产线,一直以来的安全防护都是以边界防护为主,缺乏系统内的安全建设。而目前为了保障工控系统的稳定安全运行,则需要深入考虑工业控制系统安全建设,了解不同工业工控场景特性及可能存在的工业控制系统安全漏洞,将工业控制系统环境内的安全威胁从根本上进行杜绝。

绿盟工控漏洞挖掘平台

       基于工业以太网和工业现场总线接入的工控系统漏洞挖掘平台装置。该平台既能针对工控系统已知漏洞进行安全扫描,又可以挖掘工控系统未经发现的潜在未知漏洞。可对工控系统的安全风险进行综合管理,并以直观的工控网络拓扑的方式对工控资产风险进行呈现。




请点击屏幕右上方“…”

关注绿盟科技公众号
NSFOCUS-weixin

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接