今日頭條
官方微信
官方抖音
資訊頻道2010年,伊朗震網病毒事件爆光,揭開了工業(yè)控制系統(tǒng)(“工控系統(tǒng)”)的“神秘面紗”,也拉開了攻擊工控系統(tǒng)的序幕。隨后十年間爆發(fā)了眾多與工控系統(tǒng)關聯(lián)的安全事件,例如:針對電力、水利、能源、交通等基礎設施的定向攻擊或針對式攻擊(APT,advanced persistent threat),對社會秩序造成較大影響;針對生產制造等企業(yè)的定向攻擊,竊取商業(yè)機密,影響正常生產;撒網式攻擊,特別是2017年席卷全球的WannaCry勒索病毒,工控系統(tǒng)亦成為“疫”區(qū),且在近兩年仍余波不斷。
此外,世界知名的黑客大會,如BlackHat、DefCon等,紛紛將工控安全納入議題;2020年1月世界高水平黑客大賽Pwn2Own更首次將工控納入比賽。可以看出,工控領域似乎正在成為“黑道”和“白道”的藍海,工控系統(tǒng)的漏洞和攻擊面也正隨著工業(yè)互聯(lián)網的發(fā)展,更多的暴露于攻擊者。
本文將從黑客角度透析攻擊方式和路徑,識別工控環(huán)境中易于被利用漏洞和脆弱性。
01 工業(yè)控制系統(tǒng)的整體攻擊思路
攻擊目標
強目的性、針對式的攻擊通常是以破壞工控設備、造成工廠停產、工序異常、次品率增加,甚至火災爆炸等嚴重后果為目標。現(xiàn)代工廠中,大部分現(xiàn)場生產設備都是由控制系統(tǒng)(如:PLC-可編程邏輯控制器、數控車床、DCS-分布式控制系統(tǒng))進行現(xiàn)場操作。因此,攻擊者的目標是通過直接或間接攻擊或影響控制系統(tǒng)而實現(xiàn)。下文將以工廠PLC舉例,闡述黑客對工控系統(tǒng)的攻擊思路。
攻擊場景
針對式直接攻擊
直接攻擊PLC,是指利用PLC存在的漏洞,或通過口令破解等方式繞過安全認證,成功控制PLC并進行指令修改,實現(xiàn)攻擊目的。當前較多的PLC處于內網,尚不能通過互聯(lián)網直接訪問,在此情景下,直接攻擊一般通過物理接觸PLC,或通過內部辦公網絡連接到PLC等方式而實現(xiàn)。隨著工廠智能化的提升,設備實現(xiàn)互聯(lián)互通,大量PLC系統(tǒng)連入互聯(lián)網,將更易于黑客對PLC發(fā)起直接攻擊。
針對式間接攻擊
間接攻擊PLC,是指獲取PLC上一層監(jiān)控系統(tǒng)(如HMI、IPC、SCADA等)的控制權,通過監(jiān)控系統(tǒng)向PLC發(fā)送惡意指令,或干擾監(jiān)控系統(tǒng)與PLC的正常通訊,實現(xiàn)攻擊目的。采用間接攻擊場景,通常是由于攻擊者無法直接接觸到控制系統(tǒng),或對工廠內部PLC系統(tǒng)了解有限,因而轉向攻擊存在大量攻擊者熟悉的IT部件的過程與監(jiān)控層系統(tǒng)。例如,攻擊者首先獲得IPC(工業(yè)計算機)的控制權,分析IPC和PLC之間的傳輸模式,構造惡意指令,通過IPC傳輸給PLC,間接影響PLC的正常工作或阻斷生產狀態(tài)的監(jiān)控和預警。
非針對式攻擊
非針對式攻擊,或稱為撒網式攻擊,是指惡意程序利用系統(tǒng)或網絡的共性漏洞,無差異化感染系統(tǒng)并在內網傳播,影響正常生產秩序。此類攻擊場景雖然不針對工控系統(tǒng),但由于目前工控環(huán)境的安全措施較為薄弱,使得撒網式攻擊在世界范圍內屢屢得手。撒網式攻擊通常以病毒或惡意程序為主,例如,攻擊者利用員工安全意識薄弱,發(fā)送釣魚郵件,感染接收者的電腦,再利用網絡環(huán)境的脆弱性,在辦公網快速傳播,再蔓延至生產網,感染具有共性漏洞的系統(tǒng),如IPC等,影響生產或造成破壞。
攻擊途徑
工控系統(tǒng)的攻擊途徑大體包含內部發(fā)起和外部發(fā)起兩類。內部發(fā)起又可分為自辦公網滲透到工廠網以及車間現(xiàn)場發(fā)起攻擊;外部發(fā)起包含針對式攻擊(如APT)和撒網式攻擊。
內部發(fā)起
辦公網為起點
在辦公網環(huán)境內,使用nmap等工具掃描和獲取網段和資產信息,特別是常規(guī)工控系統(tǒng)和IT系統(tǒng)端口,Siemens 102,modbus 502,EthernetIP 44818、445、3389等;
利用漏洞對識別出的系統(tǒng)進行攻擊,包含嗅探、權限繞過或提升、重放攻擊、口令猜解、指令注入、永恒之藍漏洞利用、口令猜解等;
成功獲取系統(tǒng)控制權后,嘗試以該主機為跳板,使用Pass the Hash等方式滲透其他系統(tǒng),找尋工控相關系統(tǒng)PLC、IPC和SCADA等,以實現(xiàn)攻擊目的;
若均未成功,轉向采用社會工程等方式進一步獲取相關信息(如高權限賬號等);
同時,考慮設法進入工廠車間內部,轉為現(xiàn)場攻擊方式;
一些集成控制系統(tǒng)的中控平臺,或者內網的一些類SCADA等組態(tài)控制系統(tǒng)的web應用端或者dll、dat容易被劫持后形成工程師站的提權。
車間現(xiàn)場為起點
在車間內發(fā)起攻擊工控系統(tǒng)是最為直接的方法,手段和選擇同樣是多樣化的:
進入車間后,仔細觀察車間內的情況,尋找IPC或者控制系統(tǒng)的位置,為后續(xù)攻擊嘗試做準備。
攻擊嘗試一:
首選目標為控制系統(tǒng)(如PLC),尋找是否存在未上鎖,或者網線接口暴露在外的設備;
嘗試了解相關的控制系統(tǒng)基本信息,例如所使用的品牌,版本等;
嘗試使用電腦在現(xiàn)場連接控制系統(tǒng),利用弱口令等脆弱性,嘗試惡意指令注入、權限繞過、重放攻擊等。
攻擊嘗試二:
嘗試對現(xiàn)場運行的IPC或者HMI進行攻擊,例如對運行的IPC插入惡意U盤植入惡意程序;
針對未設置權限的IPC或者HMI直接操作,如修改控制系統(tǒng)的指令等惡意操作。
外部發(fā)起
針對式攻擊
APT 攻擊是典型的外部發(fā)起的針對式攻擊,攻擊過程包含
對目標企業(yè)進行信息收集以初步了解該企業(yè)的基本情況;
利用Google、Baidu等搜索引擎尋找暴露在互聯(lián)網上的域名或服務器;
利用爬蟲技術盡可能獲取網站所有鏈接、子域名、C段等;
嘗試對網站應用進行高危漏洞利用,例如惡意文件上傳、命令執(zhí)行、SQL注入、跨站腳本、賬戶越權等;
嘗試獲取網站webshell,再提升至服務器權限;
以該服務器為跳板打入內網環(huán)境,轉變?yōu)閮炔抗舻哪J剑?/p>
通過從互聯(lián)網搜索外網郵箱的用戶名,根據企業(yè)的特點,針對式地給這些用戶發(fā)送釣魚郵件,以中招的電腦為跳板打入內部環(huán)境,轉變?yōu)閮炔抗舻哪J剑?/p>
利用偽造門禁卡,或者偽裝參觀、面試人員或者尾隨內部員工的方式物理進入企業(yè)內部,轉變成為內部攻擊的模式。
撒網式攻擊
利用Google和Baidu等搜索引擎找出暴露在互聯(lián)網上企業(yè)的域名,若發(fā)現(xiàn)可以利用的漏洞則轉為針對式攻擊;
利用社工,盡可能多收集企業(yè)的員工的郵箱,大批量發(fā)送釣魚郵件;
使用Shodan搜索引擎,針對暴露在互聯(lián)網上的工控系統(tǒng)發(fā)起攻擊,成功后轉為內部攻擊。
黑客攻擊鏈(Cyber Kill Chain)
一般來說,攻擊者通常以低成本、撒網式的攻擊手段,如發(fā)送釣魚郵件等社工式,開始攻擊嘗試。當受害者點開附在釣魚郵件內的惡意鏈接或惡意程序時,“潘多拉之盒”就此打開,攻擊者將嘗試攻陷受害者的設備,并以此設備為跳板,打入企業(yè)內網。如果工控網絡未能做到與辦公網絡的有效隔離,攻擊者可以在進入辦公網絡后掃描并分析發(fā)現(xiàn)相關工控資產。當前許多工廠工控環(huán)境抵御網絡攻擊的能力較弱,大多存在弱口令,權限設置不當,共享賬號和密碼,補丁和脆弱性管理缺失,網絡隔離和防護不充分等高危漏洞,使得攻擊者利用這些漏洞,在企業(yè)工控網內大范圍、無阻攔、跨領域的對工控資產進行攻擊,最終導致工業(yè)數據泄露、設備破壞、工序異常、次品率增加、火災爆炸甚至威脅員工安全等嚴重后果,形成完整的黑客攻擊鏈。
02 工業(yè)控制系統(tǒng)能否有效抵御攻擊?
工控系統(tǒng)能否有效阻擊黑客攻擊,取決于攻守雙方的準備和措施。目前來看,攻擊者更加積極研究工控系統(tǒng)漏洞和攻擊手段,而企業(yè)在當下更著重于高效生產和數字化轉型,對工控安全的關注和投入相對滯后;加上工控系統(tǒng)的陳舊性和非標準性,使得暴露在攻擊者面前可利用的脆弱性較多,舉例如下:
組織與人員
未落實安全責任
管理層重視不足,部門間安全職責不清晰,無明確安全部門或崗位。
安全意識薄弱
員工對工控系統(tǒng)的安全意識相對薄弱,特別是生產或一線員工。傳統(tǒng)型企業(yè)的“隱匿式安全”(security by obscurity),認為嚴格物理安全和訪問管理即可確保安全,認為未發(fā)生安全事件即是安全,這往往使得企業(yè)忽略對網絡安全的建設,未能及時補救隱患。
管理與監(jiān)督
“經驗式”管理
工控系統(tǒng)自身缺乏安全設計與考量,是很多企業(yè)存在的普遍現(xiàn)象,通過實施適當安全保障措施,可以有效彌補。但很多企業(yè)并沒有建立有效的安全策略和措施,僅依靠個人經驗和歷史經驗進行管理。
應急響應機制缺失
缺少應急響應機制,出現(xiàn)突發(fā)事件時無法快速組織人力和部署應對措施來控制事件進一步蔓延,并在最短時間內解決問題和恢復生產。
缺少恰當的口令策略
未設置恰當的口令策略和管理,如弱口令,共享口令,多臺主機或設備共用一個口令,以及口令共享給第三方供應商等情形,增加密碼泄露風險。
缺乏安全審計日志
系統(tǒng)出現(xiàn)安全事件后,無法追蹤和分析事件源頭和原因,以避免類似情形的再次發(fā)生。
網絡與架構
“防君子式”網絡隔離
內部辦公網絡和工廠網絡缺乏有效隔離,未劃分安全域進行防護,導致辦公網絡的攻擊或病毒蔓延至工廠網絡,造成生產影響。
不安全的通訊協(xié)議
工業(yè)控制協(xié)議非標準化,且大多存在安全隱患,例如CAN、DNP3.0、Modbus、IEC60870-5-101。
不安全的遠程訪問
為方便維修工程師和供應商的遠程調試,未對遠程訪問部署安全措施和監(jiān)控,此類遠程訪問功能可能是攻擊者利用率最高的漏洞之一。
復雜的結構
工控系統(tǒng)的結構相對于IT環(huán)境而言更為復雜,攻擊面較多。典型的工控環(huán)境一般會有以下組成部件:控制器(PLC、數控車床、DCS)、SCADA系統(tǒng)、工業(yè)計算機、工業(yè)軟件、HMI、網絡、交換機、路由器、工業(yè)數據庫等,其中任意一個環(huán)節(jié)或者部件出現(xiàn)問題就有可能導致整個工控系統(tǒng)被攻擊。
主機與設備
認證與授權
為了日常使用方便,重要控制系統(tǒng)未設置密碼、設置弱密碼或共用密碼,將密碼貼在現(xiàn)場機器上,這些“便利”往往也為攻擊者的入侵提供了極大的便利。
防病毒軟件
未安裝病毒防護軟件,未及時更新病毒庫,非正版軟件等。
操作系統(tǒng)陳舊性
現(xiàn)在的工廠環(huán)境中,使用越來越多的計算機系統(tǒng),然而由于工業(yè)控制系統(tǒng)的更新迭代的時間相比于IT系統(tǒng)要長很多,使得工業(yè)控制系統(tǒng)中存在大量陳舊的計算機系統(tǒng),如windows xp、windows 2003等操作系統(tǒng),存在大量可被攻擊利用的高危漏洞。
默認配置
許多工廠在安裝設備時,使用了默認口令、默認路徑,開啟不必要且不安全的端口和服務等默認配置。
離線設備管理
對于離線設備,往往認為是安全的,忽視網絡安全保護措施。但隨著企業(yè)數字化的推進或在業(yè)務需要時進行網絡連接時,此類設備可能會成為安全體系的短板和缺口。
物理防護
硬件調試接口
重要控制系統(tǒng)的機架未上鎖,或暴露在外的調試接口未有效防護。
物理端口
未對IPC等通用接口進行有效管理或禁用,如USB、PS/2等外部接口,可能存在設備未授權接入風險,導致病毒感染或者程序非法修改。
外部人員訪問
人員進出車間管控不嚴,特別是外部人員,如供應商等。
上述匯總的可以被攻擊者利用的部分脆弱性,企業(yè)可結合自身業(yè)務特點予以關注,短期考慮針對高風險漏洞采取一定的補償性措施,中長期依據業(yè)務和數字化發(fā)展規(guī)劃,逐步建立起與業(yè)務和生產同步發(fā)展的工控安全管控體系。
北京市公安局海淀分局備案號:11010802023656號