《工業(yè)互聯(lián)網(wǎng)安全測試技術(shù)》課件- 10 PLC攻擊事例流程、PLC外網(wǎng)滲透測試方法

工業(yè)互聯(lián)網(wǎng)安全測試技術(shù)《工業(yè)互聯(lián)網(wǎng)安全測試技術(shù)》課程組

IndustrialInternetSecurityTestingTechnologyGYHLWAQCSJS-010PLC攻擊事例流程、PLC外網(wǎng)滲透測試方法第2章工控操作系統(tǒng)安全測試目錄02PLC攻擊路徑實例展示01PLC攻擊事例流程03PLC攻擊實例04PLC外網(wǎng)滲透測試方法0101PLC攻擊事例流程01PLC攻擊事例流程(1)什么是PLC1969年，美國數(shù)據(jù)設(shè)備公司(DEC)研制出世界上第一臺可編程控制器，主要用于順序控制，只能進行邏輯運算，故稱為可編程邏輯控制器，簡稱PLC?？删幊踢壿嬁刂破魇欠N專門為在工業(yè)環(huán)境下應(yīng)用而設(shè)計的數(shù)字運算操作電子系統(tǒng)。01PLC攻擊事例流程(2)分類PLC的分類標準包括：按結(jié)構(gòu)形式分類（整體式、模塊式、單板式），按功能分類（低檔機、中檔機、高檔機）以及按I／O點數(shù)和程序容量分類01PLC攻擊事例流程(3)PLC系統(tǒng)結(jié)構(gòu)01PLC攻擊事例流程(4)PLC基本原理由于輸入刷新階段是緊接輸出刷新階段后馬上進行的，所以亦將這兩個階段統(tǒng)稱為I／O刷新階段。實際上，除了執(zhí)行程序和I／O刷新外，PLC還要進行各種錯誤檢測(自診斷功能)并與編程工具通訊，這些操作統(tǒng)稱為“監(jiān)視服務(wù)”。掃描周期的長短主要取決于程序的長短。由于每一個掃描周期只進行一次I／0刷新，故使系統(tǒng)存在輸入、輸出滯后現(xiàn)象。01PLC攻擊事例流程(5)黑客攻擊手法網(wǎng)絡(luò)黑客的主要攻擊手法有：獲取口令放置木馬web欺騙技術(shù)電子郵件攻擊通過一個節(jié)點攻擊另一節(jié)點網(wǎng)絡(luò)監(jiān)聽尋找系統(tǒng)漏洞利用緩沖區(qū)溢出竊取特權(quán)01PLC攻擊事例流程(6)網(wǎng)絡(luò)攻擊過程&目的網(wǎng)絡(luò)攻擊過程一般可以分為本地入侵和遠程入侵。攻擊的一般過程：準備階段、實施階段、善后階段。常見的攻擊目的有破壞型和入侵型兩種。0202PLC攻擊路徑實例展示02PLC攻擊路徑實例展示常用PLC的操作系統(tǒng)，如圖所示：(1)通過嵌入式系統(tǒng)漏洞實施攻擊02PLC攻擊路徑實例展示SimaticPLC運行在x86Linux系統(tǒng)之上，那就意味著如果插入一段載荷，就可以對shell進行爆破并連接到該設(shè)備。尤其需要注意的是PLC上運行的所有程序都是以root權(quán)限運行的，一旦被攻擊者攻入，后果非常嚴重。(1)通過嵌入式系統(tǒng)漏洞實施攻擊02PLC攻擊路徑實例展示(2)通過PLC通信協(xié)議漏洞實施攻擊由于PLC通信協(xié)議是明文傳輸，而且對于通信對象沒有認證過程。因此攻擊者可以利用CoDeSys系統(tǒng)，直接和PLC進行連接，捕獲兩者之間的通信的數(shù)據(jù)包，然后直接給PLC發(fā)送篡改后的控制指令，達到任意啟停PLC的操作。02PLC攻擊路徑實例展示(3)通過PLC互連實施攻擊02PLC攻擊路徑實例展示(3)通過PLC互連實施攻擊蠕蟲感染PLC過程蠕蟲惡意代碼執(zhí)行過程0303PLC攻擊實例03PLC攻擊實例在本次實驗中，我們采用三臺設(shè)備，一臺kali作為掃描主機，一臺Ubuntu系統(tǒng)作為攻擊主機，以及一臺Windows版本的系統(tǒng)運行西門子S7作為目標。在Windows系統(tǒng)上運行西門子S7指紋訪問軟件進行攻擊。步驟1：03PLC攻擊實例步驟2：進入kali系統(tǒng)桌面中，啟動nmap掃描。針對網(wǎng)段內(nèi)102端口的地址進行檢測，命令如下。如下圖：nmap-p102-n/24--open03PLC攻擊實例步驟3：掃描出來PLC之后，驗證一下該IP是否是PLC。點擊VNC界面下方的S7協(xié)議仿真工控組件，進入VNC界面查驗。03PLC攻擊實例步驟4：查驗的PLC界面03PLC攻擊實例步驟5：根據(jù)掃描出來的PLC的IP地址和已知的PLC漏洞信息，進行攻擊PLC。本節(jié)使用的python腳本地址：/dark-lbp/isfISF是類似于metasploit的基于python的工控漏洞利用框架。這是工業(yè)控制資深人士的研究成果。在下圖中可以大致看一下Exploit模塊，其中包含一些具有高度通用性的工業(yè)控制協(xié)議的漏洞利用模塊。03PLC攻擊實例步驟6：進入Ubuntu系統(tǒng)中，打開終端窗口，進入到下載的isf文件夾當中，輸入pythonisf.py，輸入設(shè)置s7_300_400_plc_control模塊，發(fā)現(xiàn)只需要設(shè)置目標IP即可開始攻擊03PLC攻擊實例步驟7：可以看到PLC的日志顯示，有客戶端連接到了PLCServer上，并執(zhí)行了Stop指令。03PLC攻擊實例步驟8：查看連接到該臺Server的Client現(xiàn)在的狀態(tài)，已經(jīng)是Stop的狀態(tài)。0404PLC外網(wǎng)滲透測試方法04PLC外網(wǎng)滲透測試方法(1)信息收集工具從外網(wǎng)滲透測試PLC時，我們需要借助信息收集、安全分析、安全測試、漏洞利用等工具進行實現(xiàn)。Shodan，是一個主機、聯(lián)網(wǎng)設(shè)備搜索引擎，利用Shodan使用特定的語法即可搜索出海量的物聯(lián)網(wǎng)設(shè)備、攝像頭、路由器、打印機、SCADA系統(tǒng)、PLC等。04PLC外網(wǎng)滲透測試方法(1)信息收集工具Shodan于2013年借鑒Digitalbond開發(fā)的工控設(shè)備識別開源項目Redpoint發(fā)布的多個PLC和SCADA系統(tǒng)的指紋特征，從而增加了針對工控協(xié)議的探測，用戶可以直接使用工控協(xié)議的端口直接檢索該協(xié)議的所有數(shù)據(jù).至今Shodan已經(jīng)支持了如右表超過30種工控協(xié)議的掃描和識別。04PLC外網(wǎng)滲透測試方法(1)信息收集工具Shodan搜索中國所有西門子PLC，命令為：port:102country:CN。如左圖所示；搜索中國所有標題包含SCADA的Web命令為：port:80title:SCADAcountry:CN。如右圖所示：04PLC外網(wǎng)滲透測試方法(2)安全分析工具Wireshark工具可以捕捉網(wǎng)絡(luò)通信的原始數(shù)據(jù)包，并為用戶提供關(guān)于網(wǎng)絡(luò)和上層協(xié)議的各種信息。是學習和了解工控通信協(xié)議，甚至是進行工控私有協(xié)議逆向時必需的必備工具。04PLC外網(wǎng)滲透測試方法(2)安全分析工具Wireshark界面：04PLC外網(wǎng)滲透測試方法(2)安全分析工具使用Wireshark抓取并分析Modbus協(xié)議(左圖)，使用Wireshark抓取并分析西門子PLC的S7協(xié)議(右圖)。04PLC外網(wǎng)滲透測試方法(3)安全測試工具Nessus，曾經(jīng)是一款開源的是一款漏洞掃描軟件，該工具已經(jīng)有超過10年的歷史了，該軟件從2005年開始有了雙重發(fā)行，并僅對非商業(yè)目的的使用是免費的。但工具已經(jīng)不再是免費的了，并且從3.0版開始，并不再開源。為了適應(yīng)Nessus的商業(yè)化和開源代碼的不開源化，開發(fā)了開放式漏洞評估系統(tǒng)(OpenVulnerabilityAssessmentSystemOpenVAS)04PLC外網(wǎng)滲透測試方法(3)安全測試工具Nessus/OpenVAS可以有效幫助我們在工控安全的滲透與檢查評估過程中，評估檢查系統(tǒng)漏洞，Nessus提供了多種漏洞掃描策略，通常推薦使用“BasicNetworkScan”，進行漏洞掃描。04PLC外網(wǎng)滲透測試方法(3)安全測試工具對于Nessus/OpenVAS掃描發(fā)現(xiàn)的漏洞，可以留意“ExploitableWith”該漏洞是否可利用。04PLC外網(wǎng)滲透測試方法(4)漏洞利用工具MetasploitFramework，MetasploitFramework是一個編寫，測試和使用exploit代碼的完善環(huán)境。同時作為一個緩沖區(qū)溢出測試使用的輔助工具，也可以說是一個漏洞利用和測試平臺。04PLC外網(wǎng)滲透測試方法(4)漏洞利用工具進入MSF的交互界面可以通過命令（search“scada”）可列出所有SCADA相關(guān)的漏洞利用和測試插件，也可搜索對應(yīng)軟件是否存在可利用的插件。04PLC外網(wǎng)滲透測試方法(4)漏洞利用工具以力控ForceControl組態(tài)軟件舉例：