工控安全入门分析.docx

1、工控安全入门分析0x00写在前面工业4.0，物联网趋势化，工控安全实战化。安全从业保持敏感，本篇以科普角度对工控安全做入门分析，大牛绕过，不喜轻喷。0x01专业术语SCADA：数据采集与监视控制系统ICS：工业控制系统DCS：分布式控制系统/集散控制系统PCS：过程控制系统ESD：应急停车系统PLC：可编程序控制器(Programmable Logic Controller)RTU：远程终端控制系统IED：智能监测单元HMI：人机界面(Human Machine Interface)MIS：管理信息系统(Management Information System)SIS： 生产过程自动化监控和

2、管理系统（SupervisoryInformationSystem）MES：制造执行管理系统0x02协议端口及测试脚本 协议科普o ModbusMODBUS协议定义了一个与基础通信层无关的简单协议数据单元（PDU）。特定总线或网络上的MODBUS协议映射能够在应用数据单元（ADU）上引入一些附加域。安全问题： 缺乏认证：仅需要使用一个合法的Modbus地址和合法的功能码即可以建立一个Modbus会话 缺乏授权：没有基于角色的访问控制机制， 任意用户可以执行任意的功能。 缺乏加密：地址和命令明文传输， 可以很容易地捕获和解析o PROFIBUS一种用于工厂自动化车间级监控和现场设备层数据通信与控

3、制的现场总线技术，可实现现场设备层到车间级监控的分散式数字控制和现场通信网络o DNP3DNP(Distributed Network Protocol,分布式网络协议)是一种应用于自动化组件之间的通讯协议，常见于电力、水处理等行业。简化OSI模型，只包含了物理层，数据层与应用层的体系结构（EPA）。SCADA可以使用DNP协议与主站、RTU、及IED进行通讯。o ICCP电力控制中心通讯协议。o OPC过程控制的OLE （OLE for Process Control）。OPC包括一整套接口、属性和方法的标准集，用于过程控制和制造业自动化系统。o BACnet楼宇自动控制网络数据通讯协议（A

4、 Data Communication Protocol for Building Automation and Control Networks）。BACnet 协议是为计算机控制采暖、制冷、空调HVAC系统和其他建筑物设备系统定义服务和协议o CIP通用工业协议，被deviceNet、ControINet、EtherNet/IP三种网络所采用。o Siemens S7属于第7层的协议，用于西门子设备之间进行交换数据，通过TSAP，可加载MPI,DP,以太网等不同物理结构总线或网络上，PLC一般可以通过封装好的通讯功能块实现。o 其他工控协议IEC 60870-5-104、EtherNet/

5、IP、Tridium Niagara Fox、Crimson V3、OMRON FINS、PCWorx、ProConOs、MELSEC-Q。按需求自行查阅资料。 信息探测o 协议测试脚本PS：简要测试，大量脚本自行测试。o 相关搜索引擎Shodan搜索PS：Shodan搜索引擎介绍Zoomeye搜索PS：敏感信息，你懂得。o Ethernet/IP 44818nmap -p 44818 -script enip-enumerate.nse 85.132.179.*o Modbus 502nmap -script modicon-info.nse -Pn -p 502 -sV 91.83.43.

6、*o IEC 61870-5-101/104 2404nmap -Pn -n -d -script iec-identify.nse -script-args=iec-identify -p 2404 80.34.253.*o Siemens S7 102nmap -p 102 -script s7-enumerate -sV 140.207.152.*nmap -d -script mms-identify.nse -script-args=mms-identify.timeout=500 -p 102 IPo Tridium Niagara Fox 1911nmap -p 1911 -sc

7、ript fox-info 99.55.238.*o 意义何在上述NSE脚本意义：1. 定位工控系统及协议模块。2. 收集目标工控的信息，如版本、内网IP、模块、硬件信息等。3. 结合对应的NSE脚本进一步拓展，例如自定义空间搜素引擎。 脚本资源o Github测试脚本o Exploit-db测试脚本0x03乌云工控漏洞的分析 工控相关漏洞分析针对乌云主站的漏洞进行关键字搜索：工控(31)、SCADA(15)、Modbus(9)、PLC并进一步整合得到如下列表。在以上的漏洞列表中，可以得出如下结论：1. 乌云工控漏洞的案例中，绝大多起因是弱口令(弱口令最多的是123456，其次是admin)、

8、注入类漏洞。2. 能够挖出工控的精华漏洞的人也是特定的那几位，且在Kcon2015也有过演讲。3. 挖掘此类漏洞主要解决两个问题1. 如何找到工控相关的系统和地址2. Getshell后，基于工控知识如何操控系统4. 根据漏洞中的细节可以进一步的复测和拓展，进而为工控系统的漏洞挖掘提供非线性思路。1. 结合GHDB关键字的搜素：例如inurl:SCADA2. 链接地址含SCADA、Modbus等协议的关键字3. 其他KEY：MIS、SIS、DCS、PLC、ICS、监控系统4. 相关公司：南京科远、金风科技、天能集团、国电南瑞、华润燃气、积成电子、重庆三峰、东方电子5. 至于利用以上四点去做什么

9、，呵呵 工控精华漏洞分析乌云工控相关的精华漏洞如下7个，在思路亮点中分析了漏洞的核心，同样也可能是获得打雷精华的理由。几乎共同点均是操控了对应的工控系统。0x04参考资源 工控专题o ZoomEye工控专题：o Shodan工控专题： 牛人分享o Z-0ne专注于工控安全攻防技术研究 ：o 网络空间工控设备的发现与入侵：o 工控安全攻防演练场景实现分享（轨道交通）：o 工业网络渗透，直击工控安全的罩门(zph，暂无资料)o 工控系统安全威胁与应对探索(Kimon)o Exploit PLC on the internet（Z-0ne）： 其他参考o Google & baiduo 协议安全分析专业公司科诺康：o Modbus通讯协议学习 - 认识篇：