工业控制系统安全分析及渗透测试经验分享Word格式文档下载.docx

1、工控系统渗透测试作为一种了解工业控制系统安全威胁的重要手段，受到越来越多人的关注。本文以工业控制系统安全分析为出发点，从工控资产、工控协议、工控漏洞、漏洞利用、风险验证和攻击方法等方面，多角度分析工控安全现状，分享渗透测试经验。02工控资产指纹提取及网络发现2.1工控资产识别Shodan是目前最流行的网络空间搜索引擎，它扫描HTTP，FTP，SSH，Telnet，SNMPand SIP等协议，通过分析客户端与服务端交互过程中的信息，识别全网设备。利用Shodan使用特定的语法即可搜索出海量的物联网设备、摄像头、路由器、打印机、SCADA系统、PLC等。还可以用端口扫描工具Nmap。Nmap，即

2、NetworkMapper，是一款开源免费的网络发现（NetworkDiscovery）和安全审计（Security Auditing）工具。Nmap最初是由Fyodor在1997年开始创建的。随后在开源社区众多的志愿者参与下，该工具逐渐成为非常受欢迎的安全必备工具之一。此外，还可以用网络嗅探工具wireshark抓取并分析工业协议。2.2工控资产指纹提取ICT，即信息与通信技术（informationandcommunicationstechnology）。在该领域，指纹识别是一种使用不同信息来描述网络上运行的设备或软件的技术，大多用于远程识别设备的硬件、操作系统、正在运行的软件和其他信息。

3、ICT技术已被广泛用于指纹识别系统。攻击者扫描网络获取设备指纹来关联漏洞入侵系统，而防御者则使用设备指纹来发现系统漏洞并检测系统网络异常。在工业控制系统（ICS）中，指纹识别技术还用于查找ICS系统中的漏洞并检测攻击行为。指纹提取有主动和被动两种方法。主动指纹提取需要工具主动扫描网络系统以获得信息。主动扫描识别是指收集生成指纹所需的所有信息，但是主动识别不是在任何时候都起作用，主动扫描更有可能使网络繁忙并且容易被检测出来。由于被动识别方法对ICS的干扰小且自动化程度高，在工业控制领域更容易被接受。研究人员还加大了对被动识别的投入。虽然有一些成熟的基于TCP /IP协议栈的被动识别工具，但是为了

4、避免干扰正常的工业生产，研究人员更倾向于使用网络流量特征分析方法。就目前的研究环境而言，基于网络流量特征的被动识别方法在通用性和准确性方面还有待提高。03工控协议分析及模糊测试3.1Modbus协议Modbus常见的类型包括：ASCII、RTU、TCP标准的Modicon控制器使用RS232C实现串行的Modbus。Modbus的ASCII、RTU协议规定了消息、数据的结构、命令和就答的方式，数据通讯采用Master/Slave方式，Master端发出数据请求消息，Slave端接收到正确消息后就可以发送数据到Master端以响应请求；Master端也可以直接发消息修改Slave端的数据，实现双

5、向读写。Modbus是一种应用层协议，它定义了与基础网络无关的数据单元（ADU），可以在以太网（TCP/IP）或串行链路上（RS232、RS485等）进行通信（以太网ADU和串行ADU略有不同）。在串行链路的主从通信中，Modbus主设备可以连接一个或N（最大为247）个从设备，主从设备之间的通信包括单播模式和广播模式。3.2S7协议西门子设备使用多种不同现场总线协议，例如：MPI、Profibus、IE、Profinet等。Profinet用于将PLC连接到I/O模块，而不是设备的管理协议。S7以太网通信协议，主要用于将PLC连接到PC站（PG/PC - PLC 通信）。S7通信支持两种方式

6、，一是基于客户端（Client）/服务器（Server）的单边通信，二是基于伙伴（Partner）/伙伴（Partner）的双边通信。客户端（Client）/服务器（Server）模式是最常用的通信方式，也称作S7单边通信。在该模式中，只需要在客户端一侧进行配置和编程；服务器一侧只需要准备好需要被访问的数据，不需要任何编程（服务器的“服务”功能是硬件提供的，不需要用户软件的任何设置）。在S7通信中客户端是是资源的索取者，而服务器则是资源的提供者。服务器（Server）通常是S7-PLC的CPU，它的资源就是其内部的变量/数据等。客户端通过S7通信协议，对服务器的数据进行读取或写入的操作。3.3

7、工业协议模糊测试模糊测试（Fuzzing）的定义：向目标系统提供非预期的输入并监视异常结果来发现软件漏洞的方法。工控协议模糊测试模糊测试方法如图1所示。图1 模糊测试方法分类工业控制网络协议的模糊测试通过构造畸形数据包，并将畸形数据包发送给被测工控目标，从而测试工业控制网络协议的安全性。流程图如图2所示。图2 工业控制网络协议安全分析方法流程图04 PLC常见漏洞挖掘方法（1）端口动态测试首先，使用Nmap进行端口扫描，确定端口服务。其次，开始端口动态测试-FTP：使用自己常用的TOP字典对服务进行弱口令尝试。部分工控厂商会使用自己的公司名、协议、官网地址等作为ICS设备的密码。最后，进行端口

8、动态测试-Telnet：在获取到Telnet密码信息后，结合刚才获取的FTP账号信息，提取RTU设备固件信息，进行RTU固件设备分析。（2）通信协议重放攻击重放攻击（Replay Attacks）又称重播攻击、回放攻击，是指攻击者发送一个目的主机已接收过的包，来达到欺骗系统的目的，主要用于身份认证过程，破坏认证的正确性。重放攻击可以由发起者，也可以由拦截并重发该数据的敌方进行。攻击者利用网络监听或者其他方式盗取认证凭据，之后再把它重新发给认证服务器。针对工控软硬件协议重放关注重点：数据写入命令（Write Var）、程序块的删除与下载（Download/Delet Block）、CPU停止与冷

9、热启动（PLC Control）、数据恢复出厂设置（PLCControl）。重放攻击成功与否在于是否存在时序、是否有校验、是否有加密。（3）工控协议模糊测试工控协议模糊测试的目的是测试工业控制网络协议实现的健壮性，它是采用构造畸形数据包，将畸形数据包发送给被测工控目标，从而测试被测工业控制网络协议的安全性，是寻找服务端漏洞和远程利用漏洞的必要手段，也是挖掘PLC、SCADA漏洞的必要手段。（4）文件格式模糊测试文件格式模糊测试是针对文件处理软件进行模糊安全测试，根据处理文件类型，文件处理软件被区分为：图文处理软件Microsoft Office、媒体处理软件音乐视频播放软件、其它文件处理型软件

10、专用文件处理软件如WinRAR。无论哪种类型的文件处理软件，都将软件处理的文件类型称为文档文件，即待处理的文件。例如：Word程序处理的文档文件就是doc类型的文件，doc文档中包含各种各样的文字或者图片信息。它是寻找本地利用漏洞的必要手段。文档文件在保存数据信息时，往往采用特殊的编码格式，这些编码格式一般都采用非文本形式，即文档保存的数据不是明文格式，以doc文档文件为例，用记事本打开一个doc文档，会发现全部是乱码。（5）文件劫持DLL劫持通常当一个可执行文件运行时，加载器将可执行模块映射到进程的地址空间中，加载器分析可执行模块的输入表，并设法找出任何需要的DLL，将它们映射到进程的地址空

11、间中。由于输入表中只包含DLL名而没有它的路径名，因此加载程序必须在磁盘上搜索DLL文件。首先会尝试从当前程序所在的目录加载DLL，如果未找到，则在Windows系统目录中查找，最后是在环境变量中列出的各个目录下查找。利用这个特点，先伪造一个系统同名的DLL，提供同样的输出表，每个输出函数转向真正的系统DLL。程序调用系统DLL时会先调用当前目录下伪造的DLL，完成相关功能后，再跳到系统DLL同名函数里执行。这个过程形象地描述就是系统DLL被“劫持”了。05漏洞利用脚本编写编程语言可选用Python，Python是一种解释型的、面向对象的、带有动态语义的高级程序设计语言。在IDE方面可选择Py

12、Charm。它是一种PythonIDE，带有一整套可以帮助用户在使用Python语言开发时提高效率的工具，比如调试、语法高亮、Project管理、代码跳转、智能提示、自动完成、单元测试、版本控制。此外，该IDE提供了一些高级功能，以支持Django框架下的专业Web开发。通讯库可选择低级别的网络服务支持基本的Socket，它提供了标准的BSD Sockets API，可以访问底层操作系统Socket接口的全部方法。图3为程序实现S7通信，图4为Pyshark分析流量。图3 程序实现S7通讯图4 Pyshark分析流量06工业网络风险验证以及工业控制系统安全攻防技巧6.1风险验证风险验证工具分为

13、五个类别：信息收集工具如Shodan、Zmap、Nmap；安全测试工具如系统漏洞评估Nessus/OpenVAS、Web漏洞评估AWVS、开源模糊测试框架Peach Fuzzer；安全分析工具Wireshark；漏洞利用工具如渗透测试框架Metasploit Framework；其他工具如TCP/UDP调试工具、TCP/UDP数据包发送工具、Hping-TCP/IP数据包生成工具等。那么如何使用这些工具？比如在信息收集中，利用Shodan使用特定的语法即可搜索出海量的物联网设备、摄像头、路由器、打印机、SCADA系统、PLC等。Shodan主要收集Web服务器以及FTP、SSH、Telnet、SNMP、IMAP、SIP、实时流协议等常见应用服务超过300个TCP/UDP网络端口的服务Banner标识，使用者通过匹配端口和服务的特征关键字即可搜索到和特征相似的全球联网设备。在什么情况下会用ZMap？当在172.16.0.0/16，192.168.0.0/16，甚至是10.0.0.0/8这种较大规模网络进行安全评估时，使用Nmap的速率将极大降低测试效率，使用ZMap将可以快速在大中规模网络环境内评估指定工控端口的开放情况。其他工具的使用也同样需要因事制宜，灵活运用。6.2测试方法思路在工业控制系统中，渗透测试主要分为以下几步：渗透应用业务系统、内网