1、工控安全入门分析0x00写在前面工业4.0,物联网趋势化,工控安全实战化。安全从业保持敏感,本篇以科普角度对工控安全做入门分析,大牛绕过,不喜轻喷。0x01专业术语SCADA:数据采集与监视控制系统ICS:工业控制系统DCS:分布式控制系统/集散控制系统PCS:过程控制系统ESD:应急停车系统PLC:可编程序控制器(Programmable Logic Controller)RTU:远程终端控制系统IED:智能监测单元HMI:人机界面(Human Machine Interface)MIS:管理信息系统(Management Information System)SIS: 生产过程自动化监控和
2、管理系统(SupervisoryInformationSystem)MES:制造执行管理系统0x02协议端口及测试脚本 协议科普o ModbusMODBUS协议定义了一个与基础通信层无关的简单协议数据单元(PDU)。特定总线或网络上的MODBUS协议映射能够在应用数据单元(ADU)上引入一些附加域。安全问题: 缺乏认证:仅需要使用一个合法的Modbus地址和合法的功能码即可以建立一个Modbus会话 缺乏授权:没有基于角色的访问控制机制, 任意用户可以执行任意的功能。 缺乏加密:地址和命令明文传输, 可以很容易地捕获和解析o PROFIBUS一种用于工厂自动化车间级监控和现场设备层数据通信与控
3、制的现场总线技术,可实现现场设备层到车间级监控的分散式数字控制和现场通信网络o DNP3DNP(Distributed Network Protocol,分布式网络协议)是一种应用于自动化组件之间的通讯协议,常见于电力、水处理等行业。简化OSI模型,只包含了物理层,数据层与应用层的体系结构(EPA)。SCADA可以使用DNP协议与主站、RTU、及IED进行通讯。o ICCP电力控制中心通讯协议。o OPC过程控制的OLE (OLE for Process Control)。OPC包括一整套接口、属性和方法的标准集,用于过程控制和制造业自动化系统。o BACnet楼宇自动控制网络数据通讯协议(A
4、 Data Communication Protocol for Building Automation and Control Networks)。BACnet 协议是为计算机控制采暖、制冷、空调HVAC系统和其他建筑物设备系统定义服务和协议o CIP通用工业协议,被deviceNet、ControINet、EtherNet/IP三种网络所采用。o Siemens S7属于第7层的协议,用于西门子设备之间进行交换数据,通过TSAP,可加载MPI,DP,以太网等不同物理结构总线或网络上,PLC一般可以通过封装好的通讯功能块实现。o 其他工控协议IEC 60870-5-104、EtherNet/
5、IP、Tridium Niagara Fox、Crimson V3、OMRON FINS、PCWorx、ProConOs、MELSEC-Q。按需求自行查阅资料。 信息探测o 协议测试脚本PS:简要测试,大量脚本自行测试。o 相关搜索引擎Shodan搜索PS:Shodan搜索引擎介绍Zoomeye搜索PS:敏感信息,你懂得。o Ethernet/IP 44818nmap -p 44818 -script enip-enumerate.nse 85.132.179.*o Modbus 502nmap -script modicon-info.nse -Pn -p 502 -sV 91.83.43.
6、*o IEC 61870-5-101/104 2404nmap -Pn -n -d -script iec-identify.nse -script-args=iec-identify -p 2404 80.34.253.*o Siemens S7 102nmap -p 102 -script s7-enumerate -sV 140.207.152.*nmap -d -script mms-identify.nse -script-args=mms-identify.timeout=500 -p 102 IPo Tridium Niagara Fox 1911nmap -p 1911 -sc
7、ript fox-info 99.55.238.*o 意义何在上述NSE脚本意义:1. 定位工控系统及协议模块。2. 收集目标工控的信息,如版本、内网IP、模块、硬件信息等。3. 结合对应的NSE脚本进一步拓展,例如自定义空间搜素引擎。 脚本资源o Github测试脚本o Exploit-db测试脚本0x03乌云工控漏洞的分析 工控相关漏洞分析针对乌云主站的漏洞进行关键字搜索:工控(31)、SCADA(15)、Modbus(9)、PLC并进一步整合得到如下列表。在以上的漏洞列表中,可以得出如下结论:1. 乌云工控漏洞的案例中,绝大多起因是弱口令(弱口令最多的是123456,其次是admin)、
8、注入类漏洞。2. 能够挖出工控的精华漏洞的人也是特定的那几位,且在Kcon2015也有过演讲。3. 挖掘此类漏洞主要解决两个问题1. 如何找到工控相关的系统和地址2. Getshell后,基于工控知识如何操控系统4. 根据漏洞中的细节可以进一步的复测和拓展,进而为工控系统的漏洞挖掘提供非线性思路。1. 结合GHDB关键字的搜素:例如inurl:SCADA2. 链接地址含SCADA、Modbus等协议的关键字3. 其他KEY:MIS、SIS、DCS、PLC、ICS、监控系统4. 相关公司:南京科远、金风科技、天能集团、国电南瑞、华润燃气、积成电子、重庆三峰、东方电子5. 至于利用以上四点去做什么
9、,呵呵 工控精华漏洞分析乌云工控相关的精华漏洞如下7个,在思路亮点中分析了漏洞的核心,同样也可能是获得打雷精华的理由。几乎共同点均是操控了对应的工控系统。0x04参考资源 工控专题o ZoomEye工控专题:o Shodan工控专题: 牛人分享o Z-0ne专注于工控安全攻防技术研究 :o 网络空间工控设备的发现与入侵:o 工控安全攻防演练场景实现分享(轨道交通):o 工业网络渗透,直击工控安全的罩门(zph,暂无资料)o 工控系统安全威胁与应对探索(Kimon)o Exploit PLC on the internet(Z-0ne): 其他参考o Google & baiduo 协议安全分析专业公司科诺康:o Modbus通讯协议学习 - 认识篇:
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1