淺析工業控制系統攻擊-freebuf--CIS-周坤(1)（34頁）.pdf

1、（照片部分由主辦方添加）淺析工業控制系統攻擊 中國網安中國網安 三零衛士三零衛士 工控安全實驗室工控安全實驗室 周坤 工控安全實驗室負責人 關于我 姓名：周坤 ID：曲終人散 職位：工控安全實驗室負責人 公司：中國網安 三零衛士 研究方向：工控發電站漏洞挖掘、智能設備漏洞挖掘 團隊：IRT工控安全團隊聯合隊創始人 團隊：破曉團隊核心成員 介紹：2017-2018年度CNVD國家信息安全漏洞平臺白帽排名第一 2019年度榮獲國家信息安全漏洞共享平臺“漏洞技術研究先進個人”2020年度CNVD國家信息安全漏洞白帽排名第五 CNVD國家信息安全漏洞平臺（原創通用型）漏洞證書270個 目錄 目 錄 C

2、ONTENTS 工業控制系統基礎 1 1 工業控制系統結構 2 2 工業控制系統攻擊 3 3 目錄 工業控制系統基礎 1 1 工業控制系統基礎 70年代生產線 現代汽車生產線 工業控制系統基礎 工業控制系統基礎 工業控制系統基礎 1.電源 2.中央處理單元(CPU)3.存儲器 4.輸入輸出接口電路 5.功能模塊 6.通信模塊 PLCPLC主要組成部分：主要組成部分：工業控制系統基礎 輸出刷新階段 輸入采樣階段 用戶程序執行階段 工業控制系統基礎 目錄 工業控制系統結構 2 2 工業控制系統結構 工業控制系統結構 控制器系統的大腦 自動控制系統中控制器在整個系統中起著重要的作用，扮演著系統管理和

3、組織核心的角色。工業控制系統結構 執行器系統的手腳 執行器在自動控制系統中的作用就是相當于人的四肢，它接受調節器的控制信號，改變操縱變量，使生產過程按預定要求正常運行。在生產現場，執行器直接控制工藝介質，若使用操作不當，往往會給生產過程的自動控制帶來預想不到的后果。工業控制系統存儲結構 數據結構存儲區數據結構存儲區 實際輸入實際輸入/輸出相關存儲輸出相關存儲區區 內部數據存儲區內部數據存儲區 I I Q Q AIAI AQAQ 工業控制系統工作方式 RUNRUN 讀取輸入讀取輸入 執行用戶程序執行用戶程序 處理通信請求處理通信請求 自診斷檢查自診斷檢查 改寫輸出改寫輸出 STOPSTOP 讀取

4、輸入讀取輸入 執行用戶程序執行用戶程序 處理通信請求處理通信請求 自診斷檢查自診斷檢查 改寫輸出改寫輸出 工業控制系統PLC+HMI程序 工業控制系統工業控制系統PLC+HMIPLC+HMI程序程序 工業控制系統DCS程序 工業控制系統工業控制系統DCSDCS專用程序專用程序 工業控制系統PLC工作過程 目錄 工業控制系統攻擊 3 3 工業控制系統漏洞類型 工業控制系統攻擊點 工業控制系統攻擊目標意圖 PLCPLC運行時系統運行時系統 讀工程文件 運行/終止梯形邏輯 上傳梯形邏輯 下載梯形邏輯 查看梯形邏輯源碼 改變梯形邏輯代碼 讀寫總線 讀寫進程值 執行梯形邏輯 文件系統文件系統 讀寫文件

5、讀寫PLC配置文件 讀寫PLC運行時系統文件 刪除文件 格式化文件系統 改變文件權限 工業控制系統入侵方式 企業辦公網企業辦公網 遠程維護通道遠程維護通道 手機等智能終端手機等智能終端 USBUSB移動存儲介質移動存儲介質 WLANWLAN無線連接無線連接 心懷不滿或惡意員工心懷不滿或惡意員工 工業控制系統攻擊工廠環境 工業控制系統攻擊流程 工業控制系統攻擊案例一 HavexHavex木馬傳播途徑木馬傳播途徑 釣魚郵件、垃圾郵件、擺渡釣魚郵件、垃圾郵件、擺渡 漏洞利用工具漏洞利用工具 在被入侵的廠商主站為用戶提供的軟件安裝包在被入侵的廠商主站為用戶提供的軟件安裝包中包含該木馬中包含該木馬 工業

6、控制系統攻擊案例二 交換設備 OPC服務器 外部攻擊設備 互聯網 工廠內網 工程師/操作員站 DCS控制器 1、通過信息收集與網絡掃描，發現OPC服務器相關信息及可利用的漏洞 2、通過漏洞分析，編寫漏洞利用程序入侵OPC服務器，植入后門、提權獲得管理員權限并獲取SHELL 3、通過OPC服務器作為跳板，進一步探測內部網絡，尋找攻擊目標，并收集攻擊目標信息 4、通過后門上傳攻擊程序，由外部攻擊設備控制OPC服務器實施攻擊，DCS控制被非法控制，導致嚴重后果 5、攻擊完成，清理攻擊痕跡，斷開連接 火電廠生產工藝火電廠生產工藝 工業控制系統攻擊案例三 1 1、StuxnetStuxnet散布到互聯網

7、，感染計散布到互聯網，感染計算機和算機和U U盤盤 2 2、帶有、帶有StuxnetStuxnet的的U U盤，插入盤，插入ICSICS計計算機，傳染給控制系統網絡算機，傳染給控制系統網絡 3 3、找到西門子控制系統軟件、找到西門子控制系統軟件“WinCCWinCC”后，利用其漏洞，替換”后，利用其漏洞，替換原有的原有的S7otbxdx.dllS7otbxdx.dll文件文件 4 4、借助、借助WinCCWinCC軟件，向西門子控制軟件，向西門子控制器器PLCPLC注入惡意控制程序注入惡意控制程序DB890DB890 PLCPLC向離心機發送惡意控制指令，向離心機發送惡意控制指令，使其超速，向控制室發送欺騙性的使其超速，向控制室發送欺騙性的“正常數據”“正常數據”工業控制系統協議列表 工業通訊控制協議列表工業通訊控制協議列表 工業控制系統協議端口 工業通訊控制協議端口工業通訊控制協議端口 工業控制系統協議攻擊案例 國外某廠商設備協議認證分析 總結：工業控制系統安全