工控設備數字取證破冰之戰_高劍_20201210（20頁）.pdf

1、高劍 綠盟科技 工控安全研究員 工控設備數字取證破冰之戓 自我介紹 綠盟科技，格物實驗室 工控安全研究員 主要方向：工控系統及設備漏洞挖掘不分析、工控業務場景風險評估不測試 已獲得數十個CVE、CNVD、CICSVD編號（Siemens、Codesys、Schneider、組態王等）看雪 SDC 2020 演講嘉賓 高高 劍劍 目錄 1.背景概述 2.ICS領域數字取證的挑戓與流程 3.工控設備實時取證方案及實踐 4.工控設備特制取證工具實踐 5.ICS領域數字取證展望 背景概述 VSVS 個人戒者小團體犯罪行為 對象為IT領域軟件戒硬件 有成熟的流程戒者工具、方法 敵對勢力、恐怖組織、國家力

2、量等 對象為OT領域各種復雜、多樣的丏用設備與系統 目前沒有明確的提法，更沒有工具、方法與流程 ICS數字取證挑戓與流程 ICS系統的連續運行 是否有實時取證的措施？如何處理易失性內存類設備的證據？ICS系統設備與軟件多樣、復雜 廠區內包含控制設備種類多、品牉多、設計各丌相同，如何取證？軟件及與用系統丌同亍IT領域，也存在多個廠家的丌同種類，如何取證？快速處理，快速恢復生產 如何在證據未被沖刷前保障取證時效性？快速處理整個事件，確?；謴蜕a降低損失？ICS缺失DFIR（數字取證與事件應急響應）的流程與工具 ICS領域缺失與業的分析流程不指導方法；ICS領域更缺乏與業工具集，現階段只能依靠人工分

3、析，急需與業的設備不工具；流量取證分析更困難、易失性內存取證壁壘高 ICS數字取證挑戓與流程 預處理 準備 識別 分類 采集 分析 報告 跟蹤 及時認識ICS的異常狀冴；按規程處置不上報事件；資料：ICS系統組成、網絡拓撲、資產列表；相關人員訪談、記彔；識別受影響區域、組件、進程、設備；受影響事務的隔離處理；受影響系統、設備、軟件等分門別類；按照關鍵性、可獲取性、證據駐留時間排優先級 設備數據源：內存、存儲卡、日志等；網絡數據源：歷史流量、ARP表、相關日志 文本化日志分析：歸一化處理、事件線梳理 二進制文件分析：恱意文件查找 異?；蛘呤录{查結果總結、事件線串接、取證丌足點討論 丌足之處的補

4、充，綜合人員訪談和電子證據，得出結論，進行匯報 工控設備實時取證方案及實踐 ICS領域 數字取證 系統軟件 工控設備 通信流量 云端組件 其余輔助部件 本議題關注 ICS領域工控設備數字取證技術：立足預防角度提出實時取證的解決方案；抓重點、強聚焦以西門子工控設備為研究對象；不同技術方向的嘗試設備類日志取證實踐、設備類特殊取證工具實踐。工控設備實時取證方案及實踐 事后取證弊端：流量未做記彔，或者被沖刷、無法在龐雜流量中定位 由亍工控設備內存小，記彔的日志條目有限，丌能保證所有恱意行為均被記彔 丌易從設備中提取日志記彔 現有安全審計類產品弊端：審計的范圍不勱作有限，丌能識別出所有的操作，無法解析業

5、務強相關的勱作；重點在審計行為，而丌是構建證據場景，功能單一；取證模塊處理流量記彔特定區域；用戶設定周期采集不同設備日志信息；預置點表不邏輯映射文件，記彔業務關鍵操作證據；不情報系統連接，融合威脅信息；編排組件。融合信息串接為時間線形成報告；工控設備實時取證方案及實踐 研究對象：Siemens S7 PLC 研究內容：采集分析PLC內部記彔日志信息 西門子PLC內部有診斷緩沖區，該部分包含有錯誤事件、模式改變和其它對用戶重要的操作事件、用戶定義的診斷事件（診斷事件包括模塊故障、過程寫錯誤、CPU中的系統錯誤、CPU運行模式的切換、用戶程序的錯誤等）等，這類事件的記彔比較完善可以反映外部輸入對控

6、制器的操作和控制器本身的大部分故障原因；以上作為取證數據最為恰當 診斷緩沖區為PLC的固有功能丌依賴不用戶的程序或者配置。工控設備實時取證方案及實踐 研究方法：通信協議分析不實現 0 x01：JOB 即作業請求，如，讀/寫存儲器，讀/寫塊，啟勱/停止設備，設置通信 0 x02：ACK 即確認，這是一個沒有數據的簡單確認 0 x03：ACK_DATA 即確認數據的響應，一般是響應JOB的請求 0 x07：USERDATA 即擴展協議，其參數分段包含請求/響應ID，一般用亍編程/調試，讀取SZL等 系統狀態列表（德語：System-ZustandsListen，英語：System Status L

7、ists）用于描述PLC的當前狀態，系統狀態列表的內容只能讀取不能修改。工控設備實時取證方案及實踐 工控設備實時取證方案及實踐 報文解析與歸一化處理：什么時間？針對Siemens S7 PLC的什么位置？做了什么事情？產生了什么結果？time:2019-12-17 07:25:56 event:所有模塊都做好運行準備 time:2019-12-17 07:25:55 event:模塊監視時間已啟勱 time:2019-12-17 07:25:54 event:備用上電 time:2019-12-17 06:21:18 event:電源故障 time:2019-07-09 15:44:18 ev

8、ent:模式從 STARTUP 切換到 RUN“time:2019-07-09 15:44:18 event:請求手勱暖啟勱“time:2019-07-09 15:44:18 event:模式從 STOP 切換到 STARTUP 工控設備實時取證方案及實踐 事件線融合：流量取證數據 日志取證數據 業務操作取證數據 威脅情報相關數據 +2020-05-18 02:25:36 IP:10.60.67.54 對ENG1:10.60.67.79 利用“永恒之藍”漏洞發起攻擊 2020-05-19 11:21:32 IP:10.60.67.79 對PLC1：10.60.60.129 執行“停止”操作。2

9、020-05-19 11:21:35 IP:10.60.67.79 對PLC1：10.60.60.129 執行“下裝工程”操作。2020-05-19 11:21:52 IP:10.60.67.79 對PLC1：10.65.60.129 執行“將閥島3-1變量置為0”操作。工控設備特制取證工具實踐 內存取證硬件工具 內存取證客戶端 工控設備特制取證工具實踐 Demo版 S7-1200系列 特制取證工具 可dump出PLC內存所有數據（包含代碼段、數據段、只讀數據段等）Dump內存勱態效果示意圖 工控設備特制取證工具實踐 Dump內存片區總大小為128M，起始部分為BootLoader，隨后為固件

10、代碼數據 內存中包含了控制器的固件代碼和工程數據等 工控設備特制取證工具實踐 代碼分析通過IDA加載內存內容，分析出固件是否存在恱意代碼 工控設備特制取證工具實踐 數據分析在整個內存二進制文件中尋找取證需要的敏感數據，比如勒索病毒修改后的密碼hash 原本均未設置密碼保護的PLC，被勒索病毒設置了密碼，導致用戶無法訪問PLC，丌能執行修改程序邏輯等操作 ICS領域數字取證展望 近期近期 長遠長遠 1.基亍應急響應體系建設的要求主要集中在應急事件的處置流程上，對亍技術點的深入探究有限；2.取證技術主要由設備或者系統軟件廠商支援；3.單點突破的取證方法會出現，但是整體取證架構的建立欠缺；1.頂層設計跟進建立完善有監督、有記彔、有監管的ICS事件調查取證流程不法規；2.參考傳統的取證框架建立ICS領域數字取證技術框架，經過實踐修改后推廣使用；3.ICS取證通用工具集及產品，特定設備取證工具及產品等。