CIS大會 工業安全脆弱性評測與防護建設(2)（19頁）.pdf

《CIS大會 工業安全脆弱性評測與防護建設(2)（19頁）.pdf》由會員分享，可在線閱讀，更多相關《CIS大會 工業安全脆弱性評測與防護建設(2)（19頁）.pdf（19頁珍藏版）》請在三個皮匠報告上搜索。

1、姓名姓名胡楊（照片部分由主辦方添加）工業安全脆弱性評測與防護建設個人介紹胡楊胡楊 Topsec安全研究員 IRT團隊核心 Chamd5 IoT組成員 研究方向：工業互聯網安全建設與腳本小子的高效進化歷程 成都 世界信息安全大會演講嘉賓目錄 背景概述 進化方向 架構介紹52513220018012613310818138144505010015020025030035040045050020062007200820092010201120122013201420152016201720182006-2018年公開工控漏洞趨勢圖2020年12月1日左右，以色列供水設施ICS遭伊朗黑客入侵2020年

2、12月1日，溫哥華地鐵遭到了Egregor勒索軟件的破壞2020年11月29日左右，富士康被黑客攻擊，索要 2.3 億元贖金2020年11月25日巴西航空工業公司被勒索軟件“撕票”2018年VPNFilter入侵物聯網載體的高級惡意軟件攻擊2017年WannaCry勒索病毒2016年烏克蘭最大機場遭網絡攻擊2016年德國核電站負責燃料裝卸系統遭惡意程序攻擊2015年烏克蘭電網BlackEngery病毒2010年伊朗核電站舉世聞名的“震網”事件工業互聯網安全態勢目錄 背景概述 進化方向 架構風評420Ahm機械手臂計量儀表伺服電機 PLCDCSRTU廠區工控設備操作員站工程師站數據庫日常服務器、

3、電腦OPCS7CommModbus TCP通過網關等設備進行工業協議與以太網協議轉換生產執行數據管理物料管理信息系統技術管理材料工時倉儲管理 執行機構通信協議工業通信協議工控主機（上位機）MESEMS系統ERP系統控制器（下位機）ITOT工業互聯網架構介紹工業互聯網安全風險點SCADA涉及三個主要關鍵點：1、人操作的接口與控制平臺：通常使用windows工作站通過軟件來管理和控制網絡上的PLC。如果工作站被攻擊了，那么SCADA網絡中的所有內容都可以被訪問。2、PLC（Programmable Logic Controller-可編程邏輯控制器）：可編程邏輯控制器是種專門為在工業環境下應用而設

4、計的數字運算操作電子系統。它采用一種可編程的存儲器，在其內部存儲執行邏輯運算、順序控制、定時、計數和算術運算等操作的指令，通過數字式或模擬式的輸入輸出來控制各種類型的機械設備或生產過程。我們可以通過網路瀏覽器、Telnet、SSH訪問PLC，這樣PLC就可能受到各種應用程序和網絡層的攻擊。一旦遭到攻擊，那么攻擊者就可以操縱輸入與輸出設備，并對工業環境造成損害。3、終端設備（傳感器，閥門或泵）：終端設備安裝在遠程站點。他們可以通過無線電、串型接口、以太網或調制解調器等通信鏈路向PLC反饋。如果受到攻擊可能損害環境的完整性。生產區域生產設備檢測設備數采代理數據匯聚節點協議轉換核心計算數據聚合模型管

5、理ERP/MES/物料計算生產派單工藝路線BOM庫存管理設備監測設計仿真系統前期處理后期處理求解器分析工具大數據平臺結構化數據存儲分布式文件存儲內部工程團隊研發設計資料工藝經驗資料VPN協同業務數據仿真數據數據采集核心計算數據分析數據存儲數據接入對象存儲塊存儲數據分發數據預處理數據稽核數據清洗數據解碼統計分析OLAP深度學習模型算法開發模型知識庫產品型譜工藝流程產品參數工藝參數材料參數公共知識設備型號設備參數部件模型機理模型標準專利設備模型行業模板技術中臺分析模塊展現模塊微開發影像平臺處理模塊協議模塊應用服務制造工藝管理文檔資料管理鑒權管理協同業務交互過程管理項目管理BOM管理資源管理試驗床服

6、務仿真過程管理生態云生產云業務云測試云實驗云l 我的供應商l 我的客戶l 我的渠道商l 我的設計商l 任務創建l 任務發布l 任務跟蹤l 任務評價l 業務創建l 業務發布與訂閱l 數據對接管理l 業務指示狀態跟蹤l 政產學研管理l 創新實驗管理l 行業模板l 微服務l 微函數l 模型算法物流商渠道商客戶開發者供應商產品用戶政府/科研機構VPN網關企業內私有云公有云攻擊者利用權限漏洞獲取微服務中某用戶訪問權限，作為攻擊跳板利用服務器中的應用漏洞、系統漏洞獲取高級權限，竊取關鍵數據通過內部拓展，盜取數據平臺隱私數據等信息通過隱蔽通道將信息泄露、外傳數據竊取侵入節點：公有云Web系統攻擊路徑：公有云

7、web門戶-私有云應用-私有云分布式數據庫利用供應鏈中門戶網站、應用服務等漏洞，獲取服務器權限，作為后續攻擊拓展跳板截取創建任務調用組件網絡地址，并對其植入特定惡意腳本通過木馬病毒等惡意程序腳本，設定模型開發過程作為觸發條件，篡改模型關鍵參數等信息破壞工藝模型，降低平臺業務價值參數破壞侵入節點：公有云Web系統攻擊路徑：公有云web門戶-私有云應用-大數據模型開發組件-模型庫任意選取暴露在互聯網的Web虛機，作為侵入目標系統的第一級跳板獲取私有云應用端虛機操作系統權限，并在私有云內網中進行掃描，尋找與企業側存在交互的應用組件提取交互組件權限，并對企業側發起訪問訪問過程中基于合法路徑對企業側數據

8、匯聚節點植入特定惡意腳本通過惡意腳本，提取數采代理數據庫寫操作權限執行錯誤參數，造成生產故障生產破壞（縱向）侵入節點：公有云Web系統攻擊路徑：公有云web門戶-私有云應用-大數據通訊組件-企業側數據匯聚節點-數采代理-控制系統生產破壞（橫向）侵入節點：企業側信息化系統攻擊路徑：公有云web門戶-私有云應用-大數據通訊組件-企業側數據匯聚節點-數采代理-控制系統執行錯誤參數，造成生產故障以接入點企業數據匯聚節點作為侵入跳板對私有云大數據組件植入特定惡意腳本通過惡意腳本獲取大數據通訊組件權限，發起對其他工業企業非法訪問提取數采代理數據庫寫操作權限工業互聯網威脅多樣性ICMPDNSDropBoxO

9、ffice 365MailMessage AppWebSocketPowershellWindowsDomWmiWebDavJava RMIARPLDAP圖片像素Ngrok內網傳統工具OSS云存儲Jira等企業應用服務HttpsJSProxy數據隱蔽傳輸方式工業現場攻擊場景模擬工業控制網絡協議分析數據單元部分的開發是最基本的部分，主要是2各方面的類容：一是生成客戶端（主站）訪問服務器（從站）的命令部分；二是生成服務器（從站）響應客戶端（主站）回復部分。Modbus協議的報文（或幀）的基本格式是：表頭+功能碼+數據區+校驗碼功能碼和數據區在不同類型的網絡都是固定不變的，表頭和校驗碼則因網絡底層的

10、實現方式不同而有所區別。表頭包含了從站的地址，功能碼告訴從站要執行何種功能，數據區是具體的信息。工業控制網絡協議分析數據包過濾器數據包列表數據包信息十六進制數據物理層數據鏈路層數據網絡層數據應用層數據數據包內容代碼代碼 中文名稱中文名稱作用作用1 1讀取線圈狀態讀取線圈狀態取得一組邏輯線圈的當前狀態（取得一組邏輯線圈的當前狀態（ON/OFF)2 2讀取輸入狀態讀取輸入狀態取得一組開關輸入的當前狀態（取得一組開關輸入的當前狀態（ON/OFF)3 3讀取保持寄存器讀取保持寄存器在一個或多個保持寄存器中取得當前的二進制值在一個或多個保持寄存器中取得當前的二進制值4 4讀取輸入寄存器讀取輸入寄存器在一

11、個或多個輸入寄存器中取得當前的二進制值在一個或多個輸入寄存器中取得當前的二進制值5 5強置單線圈強置單線圈強置一個邏輯線圈的通斷狀態強置一個邏輯線圈的通斷狀態6 6預置單寄存器預置單寄存器把具體二進值裝入一個保持寄存器把具體二進值裝入一個保持寄存器7 7讀取異常狀態讀取異常狀態取得取得8個內部線圈的通斷狀態，這個內部線圈的通斷狀態，這8個線圈的地址由控制器決定，用戶邏輯可以將這些線圈定義，以說明從機狀態，短報文適宜于迅速個線圈的地址由控制器決定，用戶邏輯可以將這些線圈定義，以說明從機狀態，短報文適宜于迅速讀取狀態讀取狀態8 8回送診斷校驗回送診斷校驗把診斷校驗報文送從機，以對通信處理進行評鑒把

12、診斷校驗報文送從機，以對通信處理進行評鑒9 9編程（只用于編程（只用于484）使主機模擬編程器作用，修改使主機模擬編程器作用，修改PC從機邏輯從機邏輯1010控詢（只用于控詢（只用于484）可使主機與一臺正在執行長程序任務從機通信，探詢該從機是否已完成其操作任務，僅在含有功能碼可使主機與一臺正在執行長程序任務從機通信，探詢該從機是否已完成其操作任務，僅在含有功能碼9的報文發送后，本功能碼才發送的報文發送后，本功能碼才發送1111讀取事件計數讀取事件計數可使主機發出單詢問，并隨即判定操作是否成功，尤其是該命令或其他應答產生通信錯誤時可使主機發出單詢問，并隨即判定操作是否成功，尤其是該命令或其他應

13、答產生通信錯誤時1212讀取通信事件記錄讀取通信事件記錄可是主機檢索每臺從機的可是主機檢索每臺從機的ModBus事務處理通信事件記錄。如果某項事務處理完成，記錄會給出有關錯誤事務處理通信事件記錄。如果某項事務處理完成，記錄會給出有關錯誤1313編程（編程（184/384 484 584）可使主機模擬編程器功能修改可使主機模擬編程器功能修改PC從機邏輯從機邏輯1414探詢（探詢（184/384 484 584）可使主機與正在執行任務的從機通信，定期控詢該從機是否已完成其程序操作，僅在含有功能可使主機與正在執行任務的從機通信，定期控詢該從機是否已完成其程序操作，僅在含有功能13的報文發送后，本功能

14、碼才得發送的報文發送后，本功能碼才得發送1515強置多線圈強置多線圈強置一串連續邏輯線圈的通斷強置一串連續邏輯線圈的通斷1616預置多寄存器預置多寄存器把具體的二進制值裝入一串連續的保持寄存器把具體的二進制值裝入一串連續的保持寄存器1717報告從機標識報告從機標識可使主機判斷編址從機的類型及該從機運行指示燈的狀態可使主機判斷編址從機的類型及該從機運行指示燈的狀態1818（884和和MICRO 84）可使主機模擬編程功能，修改可使主機模擬編程功能，修改PC狀態邏輯狀態邏輯1919重置通信鏈路重置通信鏈路發生非可修改錯誤后，是從機復位于已知狀態，可重置順序字節發生非可修改錯誤后，是從機復位于已知狀

15、態，可重置順序字節2020讀取通用參數（讀取通用參數（584L）顯示擴展存儲器文件中的數據信息顯示擴展存儲器文件中的數據信息2121寫入通用參數（寫入通用參數（584L）把通用參數寫入擴展存儲文件，或修改之把通用參數寫入擴展存儲文件，或修改之工業控制網絡協議Modbus功能碼從機地址從機地址功能碼功能碼起始地址高位起始地址高位起始地址低位起始地址低位寄存器數量高位寄存器數量高位寄存器數量低位寄存器數量低位CRC高位高位 CRC低位低位1 11 10 017170 026260D0DD4D4從機地址從機地址功能碼功能碼返回字節數返回字節數數據數據1數據數據2數據數據3數據數據4數據數據5CRC高位高位CRC低位低位1 11 15 5CDCD6B6BB2B20E0E1B1B4444EAEA工業控制網絡協議Modbus指令與響應1、根據協議控制規范或者捕獲工業控制網絡協議數據流來構造正常的數據包；2、分析正常協議的字段及其重要性；3、根據分析的協議中不同的數據類型，設計有效地變異策略；4、設計并實現工業控制網絡協議數據包發包工具；5、設計并實現代理器及監視器；6、采用發包工具，將畸形數據包發送給被測工控目標；7、通過監視器探測被測工控目標異常數據記錄。目錄 背景概述 進化方向 架構介紹工業互聯網安全進化方向工業互聯網安全進化方向工業互聯網安全進化方向工業互聯網安全進化方向