0X01 什么是ICS
ICS是可编程逻辑控制器(PLC)、分散式控制系统(DCS)、监控与数据采集系统(SCADA)等工业系统的总称。
0X01.1 什么是PLC
PLC是软硬件一体设备,各供应商都会设计自己的软件系统,如西门子的S7系统,PLC的结构多种多样,都是以微处理器为核心,通常包括电源模块、中央处理器(CPU)、存储器(RAM/ROM)、输入/输出单元(I/O)、通信接口等部分组成。
下图为西门子S7-300视图
0X01.2 什么是DCS
DCS,分散式控制系统再国内自控行业又称为分布式控制系统、集散控制系统;DCS的基本思想是分散控制、集中操作、分级管理、灵活配置以及方便组态。
典型的DCS硬件系统如下图所示:
工程师站:
工程师站,主要给仪表工程师使用,是作为系统设计和维护的主要工具。仪表工程师可在工程师站上进行系统配置、I/O数据设定、报警和报表设计打印、操作画面设计和控制算法设计等等。
操作员站:
操作员站,主要由运行操作员使用,作为系统投运后日常值班造作的人机接口设备使用。
系统服务器:
一般情况下,每套DCS配置一台或一对冗余的系统服务器,例如系统级的过程实时数据库,存储系统中需要长期保存的过程数据或向企业管理信息系统(MIS)提供单向的过程数据。
主控制器:
主控制器(MCU)是DCS中各个现场控制站的中央处理单元,是DCS的核心设备。
输入/输出设备:
输入/输出设备(I/O)用于采集现场信号或输出控制信号,主要包含模拟输入设备、模拟输出设备、开关量输入设备、开关量输出设备、脉冲量输入设备以及一些其他混合的信号类型。
控制网络:
控制网络用于将主控制器与I/O设备连接起来,其主要设备包括线缆、重复器、终端匹配器、通信介质转换器、通信协议转换器以及其他特殊功能的网络设备。
系统网络:
系统网络用于操作员站、工程师站、系统服务器等操作层设备和主控制器连接起来。组成系统网络的主要设备有网络接口卡、集线器、交换机、路由器、通信线缆等。
机柜:
机柜用于安装主控制器、I/O设备、网络设备以及电源装置。
DCS软件包括下位机软件和上位机软件:
下位机软件:
下位机软件布置再现场控制单元中,是用于实现现场数据采集、数据处理、控制运算、控制输出、实时数据库等功能的应用软件。
上位机软件:
上位机软件包含工程师站组态软件、操作员站运行软件、服务器运行软件以及其他功能的服务软件,其功能用于完成软件编程、操作控制、通信及管理等功能。
0X01.3 什么是SCADA
SCADA(Supervisory Control And Data Acquisition)系统,即数据采集与监视控制系统。SCADA系统是以计算机为基础的DCS与电力自动化监控系统;它应用领域很广,可以应用于电力、冶金、石油、化工、燃气、铁路等领域的数据采集与监视控制以及过程控制等诸多领域。
在电力系统中,SCADA系统应用最为广泛,技术发展也最为成熟。它在远动系统中占重要地位,可以对现场的运行设备进行监视和控制,以实现数据采集、设备控制、测量、参数调节以及各类信号报警等各项功能,即我们所知的"四遥"功能。
RTU(远程终端单元)、FTU(馈线终端单元)是它的重要组成部分;在现今的变电站综合自动化建设中起了相当重要的作用。
高级的SCADA系统包含了以下五个层次:
1. 现场层次的测量仪器、仪表和控制装置;
2. 信号分组终端和RTU;
3. 通信系统;
4. 主站;
5. 企业内部数据处理机构的后台计算机系统。
RTU为每一个现场模拟器和数字传感器之间提供了一个连接接口,通信系统为主站系统和远程站点之间提供了通信通道,其中主站又从各种RTU采集数据。
下图为某scada系统页面,但是没啥数据
0x02 ICS安全背景
ICS信息安全始于2010年“震网”病毒,至此ICS安全走入人们视野。
0x02.1 针对ICS的威胁主要来自两个方面
1. 外网对工控网络的威胁;
2. 工控网络内部脆弱性引起的威胁。
ICS与传统信息系统在网络安全防护方面有着巨大的不同,最鲜明的一个特点即两者对信息安全机密性、完整性和可用性(CIA)的关注度不同。传统信息系统更看重信息的机密性,而ICS为了保证工业过程的可靠、稳定,对可用性的要求达到了极高的程度。
在ICS中,系统的可用性直接影响的是企业的生产,系统故障、简单的误操作都有可能导致不可估量的经济损失,在特定的环境下,甚至可能危害人员生命。由于其高可用性要求,通常的系统设计周期长达10~15年之久,系统上线后全年无休,很少升级和打补丁。因此,ICS的脆弱性是与生俱来的,每一年新公开的ICS漏洞数量都居高不下。
下图为国家ICS漏洞库近期报表
0x02.2 工业互联网现状
2010年伊朗核设施感染震网(Stuxnet)病毒,严重威胁核反应堆安全运营;
2011年黑客入侵数据采集与监控系统,使美国伊利诺伊州城市供水系统供水泵遭到破坏;
2012年 Flam火焰病毒在中东多个国家暴发,致使大量敏感信息泄漏;
2014年Havex病毒席卷欧美,劫持电力工控设备,阻断电力供应,在中国也发现少量样本;
2015年BlackEnergy攻击乌克兰电力系统,导致大规模停电,伊万诺弗兰科夫斯克地区超过?半家庭(约140万人)遭遇停电困扰,整个停电事件持续数小时;
2016年食尸鬼行动针对30多个国家(包括中国)的工业、制造业和工程管理机构发起了定向渗透?侵,有130多个机构已被确认受害;
2017年 WannaCry勒索病毒全球爆发,大量工业现场主机被感染;
2018年 台积电在台湾多地的?产基地遭到了病毒感染,导致多条重要产线停摆 2019年委内瑞拉最?发电?遭破坏,全国?停电 ;
2019年 全球最?铝?产商遭 lockergoga 勒索软件攻击;
2021年2月美国佛罗里达州奥兹马市一家水处理设施的系统被攻击,攻击者试图改变控制水酸度的 NaOH 碱液浓度,并在准备将碱液浓度提高到111倍时被发现;
2021年3月电脑巨头宏碁(acer)遭遇REvil勒索软件攻击,攻击者向其索要5000万美元的赎金;
2021年4月挪威能源及基础设施技术方案供应商Volue公司遭到Ryuk勒索软件攻击;
2021年5月美国最大的燃油管道商Colonial Pipeline遭勒索软件攻击;
2021年5月全球最大的肉类供应商JBS遭到勒索软件攻击,此次黑客攻击致其在美所有牛肉加工厂都已关闭,这意味着将近1/4的产能消失,而猪肉生产同样陷入停滞。
0x03 工业控制系统威胁解读
ICS架构脆弱性
首先以能源行业为例介绍一下网络大体的划分:
依据《电力监控系统安全防护规定》,发电企业、电网企业内部基计算机和网络技术的业务系统原则上划分为两个大区:
1. 生产控制大区
2. 管理信息大区
其中生产控制大区可分为:
控制区(I区)
非控制区(II区)
管理信息大区可分为:
管理区(安全区III)
信息区(安全区IV)
ICS诞生于20世纪六七十年代,虽然近些年引入了很多新的技术,但其体系架构没有大的变化,主要有以下几个原因:
1.体系架构已经过多年的迭代和修补,它们是稳定可靠的。
2.从研发角度来看,研发一个新的体系架构成本极高。
3.全新的架构需要长时间的测试才能用于现场。
4.不断更新的体系架构不利于产品的延续性。
5.从使用者和投资者的角度看,没有明确的更新需求。
典型的ICS常见的体系架构脆弱性如下
1.生产控制大区和管理信息大区之间存在弱分离,ICS用于现场控制时几乎不与管理信息大区交互,但是随着信息化和智能化发展以及工业互联的需要,生产控制大区和管理信息大区的通道被建立,但是由于缺少有效的防护手段,入侵者也可以很容易的从信息网突破至工控网络。
2.由于传统的现场总线网络总是处于封闭的环境中,所以没有必要对网络上连接的不同元素集成身份验证机制。
3.对网络负载均衡没有有效的技术手段,无法抵御DoS攻击。
4.简单的两层网络容易造成恶意代码的大范围传播,无法抵抗蠕虫、Rootkit病毒的传播。
ICS操作系统脆弱性
ICS操作系统包含两个部分:
一是操作站、工程师站以及服务器使用的操作系统,通常以Windows 为主;
二是控制器所使用的实时嵌入式操作系统,这部分系统通常以嵌入式的LinuxsVxWorks或自动化厂商自研为主。
操作系统的脆弱性主要体现在下面几个方面:
1.操作系统在没有发现明显安全问题之前,仍正常使用。
2.操作系统的升级打补丁没有及时得到升级。
3.操作系统信息安全补丁在安装之前没有做安全测试,导致补丁因系统的兼容性影响系统的稳定运行,造成设备故障、设备异常报错等现象,影响系统的可用性。
4.由于厂商自身技术的限制,自研操作系统存在大量的安全漏洞。
厂区单位高发漏洞,MS-17010以及MS08067漏洞
ICS应用软件脆弱性
应用软件的脆弱性具有潜在威胁,它们使得攻击者可以完全控制目标系统。典型的工业控制系统应用软件漏洞有以下几种。
1.缓冲区溢出漏洞,工业控制系统的软件大多数受缓冲区溢出漏洞的影响,攻击者可以利用缓冲区溢出漏洞对ICS系统造成拒绝服务攻击,甚至是执行任意命令;
2.SQL注入漏洞,攻击者利用该漏洞可获取数据库敏感信息,严重情况下甚至可以执行危险函数命令,获取webshell。
3.整数溢出漏洞,攻击者利用该漏洞可直接影响ICS应用软件的可用性,最常见的就是超长字符串导致服务器崩溃,只有重启系统才能恢复,影响了系统的连续性。
案例过于敏感,不便于展示。
4.格式化字符串,是指用于指示数据的具有特殊格式的字符串,一旦攻击者知道缓冲区的位置,攻击者就可以将执行流引导至对应的位置,夹杂着恶意指令的数据可导致特殊的DOS攻击。
5.目录遍历漏洞,可能会泄露系统的敏感信息,甚至是造成任意文件的下载,若是系统中存放其他敏感信息文件,那么便会造成严重的影响,例如:施耐德某型号存在的任意文件下载漏洞,同时jar包文件又同时存在硬编码漏洞,ftp用户名以及密码以铭文的方式存储在jar包内,这样的话就造成了很严重的信息泄露,攻击者可直接获得FTP服务器的控制劝权限。
某SCADA系统存在任意文件读取漏洞,攻击者可以读取系统任意文件
ICS安全策略脆弱性
追求可用性,牺牲安全性是很多工业控制系统存在的普遍问题(部分策略可能会影响系统的体验),缺乏完整有效的安全策略与管理流程也给工业控制系统信息安全带来了一定的威胁。
典型的安全策略脆弱性主要体现在以下几个方面:
1.经常使用默认配置:使用默认的配置通常会导致主机开启不必要的端口,以及容易被利用的服务和应用程序等,例如默认开启的IPC共享文件等;
2.关键性配置没有保存或备份:事故发生后可以通过备份数据进行恢复,降低损失;
3.移动介质摆动攻击:移动硬盘、U盘、刻录光盘等没有进行严格的安全测试,若是移动设备已经被植入木马,那么当移动设备插入工控主机,工控主机可能收到严重的威胁;
4.主机防火墙未开启:部分组态软件的通信可能会受到防火墙的影响,所以一些厂商在部署组态软件的时候关闭了防火墙,这样就留下了很严重的安全隐患;
5.不安全的密码管理机制:多数厂区的密码存在公用现象,且缺乏密码失效策略,这样的话若是一台主机失陷,其余主机也很容易就被攻破;
6.密码口令长时间不更改;
7.未安装入侵检测/入侵防御软件:入侵检测/防御系统不仅可以检测攻击行为并及时拦截,同时也会给人以预警,事后提供一定的溯源追踪能力;
8.未定期维护系统日志:系统日志记录了系统的详细信息,很多时候通过系统日志可以检测出系统存在的问题;
9.未安装主机卫士等防病毒软件等。
ICS网络硬件脆弱性
硬件脆弱性带来的安全风险不言而喻,工控信息安全的本质是保护硬件资产的可用性,下面介绍几种工业控制系统常见的脆弱性。
1.针对关键系统的物理保护不全面:对控制中心、现场装置、便携式设备、电子装置和其他工业控制系统部件的访问需控制。
2.非法用户对设备的访问:对工业控制系统设备的访问必须仅限于必要的合法用户,原因在于安全需求,如紧急情况中的关闭或重启操作。
3.对工业控制系统的非法远程访问:远程访问手段使得控制系统工程师和产品提供商可以远程访问系统,而这种访问能力必须受到信息安全机制的控制,防止非授权用户可以访问工业控制系统。
4.网络中存在的双网卡配置:使用双网卡连接不同网络的机器,允许非授权访问网络以及在不同网络间相互传输数据的情形。
5.无线电频率和电磁脉冲:控制系统中的硬件存在无线电频率和电磁脉冲方面的脆弱性,可以引发控制指令的短暂中断,甚至导致电路板的永久破坏。
6.对网络设备的物理保护不完备:网络设备的访问将受到严格控制以防止发生破坏或中断事故。
7.不安全的物理端口:不安全的USB和PS/2端口可以允许非授权连接外围设备。
8.外部人员可以访问工业控制系统的设备和网络连接:对工业控制系统网络设备的物理访问必须仅限于合法员工。
ICS网络通信脆弱性
由于工业控制系统的通信源于现场总线网络,在从现场总线过渡到工业以太网协议的过程中,为了满足工业环境的要求,只是简单地将现场总线协议进行了TCP封装。下面是几个典型的通信方面的脆弱性:
1.通信协议以明文形式应用:那些非法监视工业控制系统网络活动的入侵者可以使用协议分析工具还原在网络中传输的协议内容。
2.对用户、数据和设备的认证过程不规范或缺乏认证机制:大多数工业控制系统协议都缺乏认证机制,这就可能导致重放、修改或欺骗网络数据等问题。
3.缺乏通信过程的完整性校验:很多工业控制系统专用协议中没有完整性校验机制,入侵者可以在不被察觉的情况下操纵通信过程。
案例如下:
或许此案例与通信脆弱性并不关联,但是跟其原因也是因为企业缺乏较强的认证机制导致企业受损。
2016年4月,CCTV播出了一则新闻“前员工人侵富士康网络∶疯狂洗白iPhone获利300万”。该名员工通过在富士康内部秘密安装无线路由器的方式侵入了苹果公司的网络,为他人提供“改机、解锁”服务共计9000次,5个月违法所得共计300余万元。
这实际上就用到了“无线跳板”。据悉整个攻击流程是∶
该员工在厂区内安装无线路由器,并利用无线网桥将无线信号桥接到厂区外民房内的接收设备;随后攻击者利用桥接出来的无线信号便可直接连入企业内网,侵入内网中的各种信息系统。
无线网桥设备主要用于室外工作、远距离传输,由无线收发器和天线组成。其中无线收发器由发射机和接收机组成,发射机将从局域网获得的数据编码变成特定的频率信号,再通过天线将它发送;接收机则相反,将从天线获取的频率信号解码还原成数据,再发送到局域网中。传输距离根据设备性能的不同,可达几公里到几十公里。
新闻中的攻击者通过组合使用私接路由器和无线网桥的方法,将针对企业内网攻击的实施范围扩大到几公里,极大增强了攻击的隐秘性,这样的攻击手段便是无线跳板攻击
这也是近源渗透的一种主要手段,据笔者所知,很多企业内部无线网络都缺乏一定的安全管理规范,这也就导致了钓鱼网络、无线网桥攻击的兴起。
ICS网络边界脆弱性
工业控制系统诞生于封闭的环境,网络边界的划分只是简单地按照生产业务来界定,没有考虑安全的问题,典型的网络边界脆弱性体现在以下几个方面:
1.没有严格界定网络边界范围:如果控制系统网络没有严格界定清晰的网络边界,将不能保证在网络中部署必要的信息安全控制措施,将导致对系统和数据的非法访问,以及相关的其他问题。
2.没有配置防火墙或防火墙配置不当:缺乏正确配置的防火墙将造成不必要的数据流量在网络间传输,如控制和调整网络的指令。这种情况将导致很多问题,包括使得攻击行为和病毒可以在网络间传输,导致敏感数据容易遭受其他网络用户的监视/窃取,并使得独立的用户可以非授权访问网络。
3.在工业控制系统网络中缺少行为和日志审计:没有完整和正确的日志记录,将不可能追查到安全事故是如何发生的,这样的话会对溯源造成一定的难度。
4.在工业控制系统网络中缺少网络安全监视:如果没有对工业控制系统网络的安全状态进行常规监视,将不能及时发现安全事故,从而可能导致不必要的损毁或破坏。
案例如下:
笔者某次参加厂区应急响应工作,虽然最后成功的解决了问题,但是并没有能做到溯源工作,这里的溯源不仅仅是指捕获攻击者的手法、攻击者利用的漏洞点位等。
由于很多厂区都处于比较单一的网络架构,缺乏安全设备和全流量设备的防护,这就导致了企业被攻击后很难及时发现攻击者,并且由于缺乏流量记录、日志记录,这也就导致了即使发现了攻击者留下的恶意文件,但是也很难确定,攻击者的攻击手法。
并且此次攻击具备恶意的蠕虫传播性质,攻击者通过实时数据库服务器攻击II区设备,由于厂区缺少网闸隔离设备、缺少工控网络隔离环境,导致病毒成功的扩散到了三区信息网,这也给清理工作增加了工作的难度和范围。
ICS协议脆弱性
大部分的工业控制系统协议,如Modbus、DNP、101协议,是在很多年以前设计的。工业控制系统协议缺乏保密和验证机制,特别是缺乏验证一个主站和从站之间发送的消息完整性的技术。
攻击者可以利用工业控制系统的这些安全限制破坏工业控制系统,常见的攻击场景如下:
1.拒绝服务攻击:包括模拟主站、向RTU发送无意义的信息、消耗控制网络的处理器资源
和带宽资源等。
2.中间人攻击:缺乏完整性检查的漏洞使攻击者可以访问生产网络,修改合法消息或制造假消息,并将它们发送到从站。
3.重放攻击:安全机制的缺乏使攻击者重复发送合法的工业消息,并将它们发送到从站设备,从而造成设备损毁、过程关闭等后果。
4.欺骗攻击:恶意攻击者向操作人员发送欺骗信息,导致操作中心不能正确了解生产控制现场的实际工况,诱使其执行错误操作。修改控制系统装置或设备的软件,导致发生不可报见的后果。
案例如下:
某次厂区攻防演练,笔者由内网环境成功获取众多Modbus协议设备,并做到了线圈的读取操作,由于Modbus缺乏认证机制,导致攻击者在获取了一定的访问权限之后便可以对线圈、寄存器进行读写,而这种操作对于厂区无异于是致命的!这样不仅会导致厂区数据的泄露,还会影响厂区生产的合格率,甚至是出现重大的安全事故!上文也提到了,ICS对于系统的完整性和可用性是非常看重的,虽然这类攻击很难像传统互联网一样Getshell,但是却往往可以让厂区单位损失惨重。
图就不上了,来一张modbus协议读取的小demo吧
参考如下文
https://mp.weixin.qq.com/s?__biz=Mzg2NDcwNjkzNw==&mid=2247485089&idx=1&sn=e328d7e84cfe87b321d52e5486d6a66e&chksm=ce640eb7f91387a1e0013fe1839468e2be034f0ab7823bd516deca3f73800ee9719238725cac&token=1739740144&lang=zh_CN#rd
ICS运维脆弱性
工业控制系统是工业生产的核心,其7×24小时的不间断运行给运维带来了安全挑战,主要
体现在以下几个方面:
1.安全补丁:安全补丁很重要,特别是在Windows操作系统中。但在工业控制系统中,很少能找到临时补丁,补丁程序可能会对软件产生严重的干扰。一些补丁需要重启系统才能有效,这可能会干扰生产系统的正常运行。
2.防病毒引擎更新:杀毒软件可能影响工控软件的正常运行,此外,更新需要控制网络访问Internet。但是由于工控网络的隔离需求,一般尽可能保持控制网络的隔离,这也就导致了病毒库版本老旧,无法及时识别到新型的病毒。
3.缺乏迭代安全分析:对基础设施的安全评估通常被视为“一次性分析”,缺乏周期性的安全检查与风险评估。
4.厂商运维带来的安全问题:工业控制系统的特殊性使得运维工作需要厂商工程师的参与,这为组织的信息安全带来了巨大的挑战。
Copyright © 2005-2021 网信安全世界版权所有