《工業(yè)控制系統(tǒng)信息安全》課件-第十一節(jié) 工業(yè)控制系統(tǒng)安全控制：漏掃與靶場 - 副本

工控設(shè)備漏洞挖掘的可行性11.1.1工業(yè)控制網(wǎng)絡(luò)漏洞挖掘技術(shù)工控設(shè)備和系統(tǒng)有如下一些典型特點(diǎn)：系統(tǒng)的封閉性：設(shè)計(jì)之初的SCADA、DCS、ICS處于封閉網(wǎng)絡(luò)，因此沒有將安全機(jī)制考慮在內(nèi)。數(shù)據(jù)接口的多樣性：多種數(shù)據(jù)接口（如RJ45、RS485、RS232等）和協(xié)議規(guī)約多樣性。通信的復(fù)雜性：專用的通信協(xié)議或規(guī)約（如OPC、Modbus、DNP3、Profibus等）。不可改變性：工控系統(tǒng)程序和固件難以升級。以上特點(diǎn)導(dǎo)致傳統(tǒng)系統(tǒng)信息系統(tǒng)漏洞檢測技術(shù)無法直接應(yīng)用于工業(yè)控制系統(tǒng)，因此需要針對工業(yè)控制系統(tǒng)的特點(diǎn)，研究對應(yīng)的漏洞檢測技術(shù)，分析工業(yè)控制系統(tǒng)中的安全威脅，從而對安全威脅進(jìn)行有效的防御。工控設(shè)備漏洞挖掘的可行性11.1.1工業(yè)控制網(wǎng)絡(luò)漏洞挖掘技術(shù)漏洞挖掘的可行性過去工業(yè)控制設(shè)備通過串行電纜和專有協(xié)議連接到計(jì)算機(jī)網(wǎng)絡(luò)，隨著業(yè)務(wù)的發(fā)展以及傳統(tǒng)IT基礎(chǔ)設(shè)施的開放和技術(shù)滲透，目前通過以太網(wǎng)電纜和標(biāo)準(zhǔn)化的TCP/IP通信協(xié)議連接到計(jì)算機(jī)網(wǎng)絡(luò)的工業(yè)控制系統(tǒng)越來越多。供應(yīng)商提供的大量工控設(shè)備提供了嵌入式Web、開放的FTP、遠(yuǎn)程Telnet等傳統(tǒng)服務(wù)。這些開放的端口和服務(wù)為工控終端設(shè)備漏洞被挖掘和利用打開了通道，也給工控系統(tǒng)造成了巨大的安全隱患。工控設(shè)備漏洞挖掘的可行性11.1.1工業(yè)控制網(wǎng)絡(luò)漏洞挖掘技術(shù)漏洞挖掘的困難性目前，公開的工業(yè)控制設(shè)備的漏洞數(shù)目不多，但漏洞直接關(guān)系到工控生產(chǎn)等實(shí)際業(yè)務(wù)流程的現(xiàn)場設(shè)備，并分布在大量的基礎(chǔ)設(shè)施中。因此如果控制設(shè)備受到攻擊，將會造成直接而嚴(yán)重的損失，如設(shè)備損壞、停機(jī)甚至人員傷亡。需要注意的是，對這些工控設(shè)備的網(wǎng)絡(luò)滲透測試不能在實(shí)際運(yùn)行的系統(tǒng)中進(jìn)行，因?yàn)闈B透測試的某些測試樣本會使設(shè)備達(dá)到極限性能或者出現(xiàn)異常，所以滲透攻擊測試都應(yīng)該運(yùn)行在模擬平臺上，或者正在開發(fā)、測試的系統(tǒng)中。另外，工業(yè)控制設(shè)備通常不公開其內(nèi)部結(jié)構(gòu)，且設(shè)備品牌眾多，體系也各不相同，漏洞挖掘人員對此普遍接觸較少，導(dǎo)致目前對其內(nèi)部結(jié)構(gòu)相關(guān)的研究也比較少，這是目前直接針對工業(yè)控制設(shè)備的漏洞挖掘方法非常少的重要原因。傳統(tǒng)信息系統(tǒng)漏洞挖掘方法適用性分析11.1.2工業(yè)控制網(wǎng)絡(luò)漏洞挖掘技術(shù)傳統(tǒng)信息系統(tǒng)的漏洞挖掘方法主要分為白盒方法、灰盒方法和黑盒方法3中。白盒方法是指在有源代碼、對目標(biāo)完全了解的情況下進(jìn)行漏洞挖掘，主要方式由源代碼審計(jì)和走讀、源代碼靜態(tài)分析等；灰盒方法是指在有目標(biāo)文件、對于目標(biāo)有部分了解的情況下進(jìn)行的漏洞挖掘，包括二進(jìn)制插樁、動態(tài)污點(diǎn)分析等；黑盒方法是指在對目標(biāo)完全不了解的情況下進(jìn)行的漏洞挖掘，典型的代表是模糊測試（Fuzzing）。現(xiàn)階段，安全研究人員對于工業(yè)控制設(shè)備的內(nèi)部結(jié)構(gòu)了解不足，逆向工控設(shè)備的技術(shù)處于起步階段，又因?yàn)闊o法獲取工控系統(tǒng)的源代碼和目標(biāo)文件，無法采用白盒方法和灰盒方法挖掘漏洞，所以現(xiàn)階段采用模糊測試來挖掘工控設(shè)備漏洞的方法比較常見。11.1.2工業(yè)控制網(wǎng)絡(luò)安全漏洞分析根據(jù)漏洞出現(xiàn)于工控系統(tǒng)組建的不同，工控安全漏洞可劃分為工控設(shè)備漏洞、工控網(wǎng)絡(luò)協(xié)議漏洞、工控軟件系統(tǒng)漏洞、工控安全防護(hù)設(shè)備漏洞等漏洞分類典型設(shè)備/協(xié)議工控設(shè)備漏洞PLC、RTU、DCS、交換機(jī)、工業(yè)協(xié)議網(wǎng)關(guān)等工控網(wǎng)絡(luò)協(xié)議漏洞OPC、Modbus、Profibus、CAN等工控軟件系統(tǒng)漏洞WinCC、Intouch、KingView、WebAccess等工控安全防護(hù)設(shè)備漏洞工業(yè)防火墻、網(wǎng)閘等11.1.2工業(yè)控制網(wǎng)絡(luò)安全漏洞分析圖顯示了目前已知的公開工控相關(guān)安全漏洞占據(jù)了多數(shù)，下位機(jī)的漏洞主要集中在PLC上，另外，服務(wù)器、固件和網(wǎng)絡(luò)設(shè)備也占據(jù)了一定的比例。對工控系統(tǒng)而言，可能帶來直接隱患的安全漏洞也可以分為SCADA系統(tǒng)軟件漏洞、操作系統(tǒng)安全漏洞、網(wǎng)絡(luò)通信協(xié)議安全漏洞、安全策略和管理流程漏洞。11.1.3工業(yè)控制網(wǎng)絡(luò)安全漏洞態(tài)勢分析工控漏洞的價(jià)值被高度重視一些惡意的攻擊者不斷掃描工控系統(tǒng)的漏洞，并使用針對工控系統(tǒng)的專用黑客工具發(fā)動網(wǎng)絡(luò)攻擊。近幾年漏洞的數(shù)量呈爆發(fā)式增長的趨勢，主流的工業(yè)控制系統(tǒng)也普遍存在安全漏洞，且多為能夠造成遠(yuǎn)程攻擊、越權(quán)執(zhí)行的嚴(yán)重威脅類漏洞。中高危漏洞比例居高不下工控相關(guān)應(yīng)用系統(tǒng)和應(yīng)用軟件的安全健壯性不強(qiáng)。無論是應(yīng)用軟件漏洞還是設(shè)備固件漏洞，都是由于在開發(fā)過程中遺留的安全設(shè)計(jì)和實(shí)現(xiàn)缺陷所導(dǎo)致的，1個高危漏洞就意味著目標(biāo)系統(tǒng)中存在1個甚至多個致命安全性缺陷。11.1.3工業(yè)控制網(wǎng)絡(luò)安全漏洞態(tài)勢分析漏洞類型復(fù)雜，危害嚴(yán)重常見的漏洞類型有信息泄露、緩沖區(qū)溢出、跨站攻擊、拒絕服務(wù)等。其中，信息泄露相關(guān)的漏洞數(shù)量最多，對工控系統(tǒng)的影響主要體現(xiàn)在兩個方面：一方面，企業(yè)內(nèi)部的工藝流程、圖紙、排產(chǎn)計(jì)劃等關(guān)鍵數(shù)據(jù)容易成為攻擊者竊取的對象；另一方面，攻擊者利用間諜工具手機(jī)的各種涉密信息，為后續(xù)具有破壞性的網(wǎng)絡(luò)攻擊提供安全情報(bào)。緊隨其后的是緩沖區(qū)溢出漏洞和跨站攻擊漏洞，緩沖區(qū)溢出在各種操作系統(tǒng)、應(yīng)用軟件中廣泛存在。利用緩沖區(qū)溢出漏洞，惡意攻擊代碼可以導(dǎo)致應(yīng)用程序運(yùn)行失敗、系統(tǒng)宕機(jī)、重新啟動，甚至用于執(zhí)行非授權(quán)代碼，對工業(yè)現(xiàn)場的智能設(shè)備下達(dá)非法指令（如修改運(yùn)行參數(shù)、關(guān)閉閥門開關(guān)等）。漏洞的補(bǔ)丁發(fā)布嚴(yán)重滯后發(fā)現(xiàn)漏洞并打補(bǔ)丁在信息安全領(lǐng)域是安全防護(hù)工作的常態(tài)，但在工控安全領(lǐng)域卻經(jīng)常面臨這發(fā)現(xiàn)了漏洞卻無補(bǔ)丁可補(bǔ)的尷尬狀態(tài)。11.2.1工業(yè)控制網(wǎng)絡(luò)安全漏洞分析技術(shù)方法漏洞檢測技術(shù)方法工控系統(tǒng)漏洞檢測的關(guān)鍵技術(shù)（1）構(gòu)建工控系統(tǒng)漏洞庫需要構(gòu)建工控系統(tǒng)專有漏洞庫。在漏洞庫的設(shè)計(jì)中需要遵循以下幾條原則：從漏洞庫的建議性、有效性出發(fā)，選擇文本方式記錄漏洞。對每個存在安全隱患的網(wǎng)絡(luò)服務(wù)建立對應(yīng)的漏洞庫文件。對漏洞危險(xiǎn)性進(jìn)行分級。提供漏洞危害性描述和建議的解決方案。

11.2.1工業(yè)控制網(wǎng)絡(luò)安全漏洞分析技術(shù)方法漏洞檢測技術(shù)方法（2）基于工業(yè)漏洞庫的漏洞檢測技術(shù)基于工業(yè)漏洞庫的漏洞檢測技術(shù)通過漏洞掃描引擎選用合適的檢測規(guī)則，結(jié)合工控系統(tǒng)漏洞庫，掃描系統(tǒng)中的關(guān)鍵目標(biāo)系統(tǒng)和設(shè)備的脆弱性。另外，需要完整支持Modbus、DNP3、Profinet等工業(yè)通信協(xié)議，以及支持ICMPPing掃描、端口掃描等傳統(tǒng)掃描技術(shù)。漏洞掃描的策略主要分為主機(jī)漏洞掃描和網(wǎng)絡(luò)漏洞掃描主機(jī)漏洞掃描一般特指在上位機(jī)環(huán)境，包括操作員站、工程師站和服務(wù)器安裝漏洞掃描的代理工具或者直接部署服務(wù)實(shí)現(xiàn)，從而方便實(shí)現(xiàn)對文件、進(jìn)程、內(nèi)存等對象的訪問。網(wǎng)絡(luò)漏洞掃描則更多是針對目標(biāo)系統(tǒng)、服務(wù)或者資源較低的工業(yè)設(shè)備本身進(jìn)行的，通過構(gòu)造特殊的數(shù)據(jù)包發(fā)送給目標(biāo)，收集反饋信息來判斷是否有特定的漏洞存在。11.2.1工業(yè)控制網(wǎng)絡(luò)安全漏洞分析技術(shù)方法漏洞檢測技術(shù)方法（3）漏洞檢測執(zhí)行漏洞檢測的主要方法包括直接測試、推理測試和憑證測試三種。直接測試：特指利用漏洞特點(diǎn)發(fā)現(xiàn)目標(biāo)系統(tǒng)漏洞方法，根據(jù)掃描檢測或者滲透方式的不同，有些是直接有明確反饋而被觀測到的，還有一些是需要稍作分析或者間接觀測到的，由于其粗暴的攻擊特性有的時候可能會造成檢測的目標(biāo)對象被破壞，但也正因?yàn)槿绱藴?zhǔn)確性比較高。典型的測試應(yīng)用是Web服務(wù)漏洞測試和拒絕服務(wù)漏洞測試。推理測試：指根據(jù)相關(guān)系統(tǒng)、應(yīng)用的版本、時序結(jié)果判斷是否具有某個漏洞，并結(jié)合目標(biāo)所表現(xiàn)出來的行為情況分析是否具有感染漏洞的行為特征的檢測方法。這種方法對目標(biāo)系統(tǒng)影響非常小，但是可能有較高的誤檢測情況。憑證測試：是在已有訪問服務(wù)的授權(quán)情況下，進(jìn)行對應(yīng)檢測的方式。11.2.2模糊測試漏洞挖掘技術(shù)因?yàn)楹茈y獲取工控應(yīng)用軟件的源代碼或目標(biāo)文件，因此目前對于工控系統(tǒng)未知漏洞的挖掘主要采用的是模糊測試（Fuzzing）的方法Fuzzing技術(shù)是一種通過構(gòu)造能使軟件崩潰的畸形輸入來發(fā)現(xiàn)系統(tǒng)中存在漏洞的安全測試方法，通常被用來挖掘網(wǎng)絡(luò)協(xié)議、文件、ActiveX控件中存在于輸入驗(yàn)證和應(yīng)用邏輯中的漏洞，其自動化程度高、適應(yīng)性廣的特點(diǎn)使其成為漏洞挖掘領(lǐng)域最有效的方法之一。Fuzzing測試包括協(xié)議解析、測試用例生成、異常捕獲和定位三個階段。協(xié)議解析是通過公開資料或者對網(wǎng)絡(luò)數(shù)據(jù)流量的分析，理解待測協(xié)議的層次、包字段結(jié)構(gòu)、會話過程等信息，為后續(xù)生成測試用例打下基礎(chǔ)；測試用例生成依據(jù)上一階段分析出來的包字段結(jié)構(gòu)，給待測對象發(fā)送采用變異方式生成的畸形測試用例；異常捕獲和定位的目的是通過多種探測手段發(fā)現(xiàn)由測試用例觸發(fā)的異常，保存異常相關(guān)數(shù)據(jù)信息，為后續(xù)異常的定位和重現(xiàn)提供依據(jù)。11.2.2模糊測試漏洞挖掘技術(shù)傳統(tǒng)的Fuzzing工具難以測試工控網(wǎng)絡(luò)協(xié)議由于工控系統(tǒng)以及工控網(wǎng)絡(luò)協(xié)議的特殊性，傳統(tǒng)網(wǎng)絡(luò)協(xié)議Fuzzing測試技術(shù)無法直接應(yīng)用，具體體現(xiàn)在協(xié)議解析、異常捕獲和定位以及部署方式上存在的困難。（1）工控網(wǎng)絡(luò)協(xié)議解析方面對于公開的控制協(xié)議，雖然可以使用基于生成的Fuzzing技術(shù)進(jìn)行測試，但由于工控協(xié)議面向控制協(xié)議、高度結(jié)構(gòu)化、控制字段數(shù)量較多，使得需要構(gòu)造大量的變異器，測試效率不高。對于私有的控制協(xié)議，需要先弄清楚協(xié)議的結(jié)構(gòu)才能進(jìn)行模糊測試。一般來說，有兩種思路：對協(xié)議棧的代碼進(jìn)行逆向分析，分析出重要的數(shù)據(jù)結(jié)構(gòu)和工作流程；抓取協(xié)議會話數(shù)據(jù)包，根據(jù)歷史流量來推測協(xié)議語義。對于大量使用私有協(xié)議的基于嵌入式的工控系統(tǒng)來說，其運(yùn)行環(huán)境較為封閉，很難使用加載調(diào)試器的方法對協(xié)議棧的二進(jìn)制代碼進(jìn)行逆向分析。相比之下，采用基于數(shù)據(jù)流量的協(xié)議解析方法更實(shí)際。然而，工控設(shè)備具有時間敏感、面向會話的特點(diǎn)，使得部署需要大規(guī)模網(wǎng)絡(luò)流量輸入的基于突變的傳統(tǒng)Fuzzing測試工具并不現(xiàn)實(shí)。11.2.2模糊測試漏洞挖掘技術(shù)傳統(tǒng)的Fuzzing工具難以測試工控網(wǎng)絡(luò)協(xié)議（2）工控網(wǎng)絡(luò)協(xié)議異常捕獲和定位方面目前在網(wǎng)絡(luò)協(xié)議Fuzzing測試中常用的異常檢測手段主要有返回信息分析、調(diào)試器跟蹤及日志跟蹤3種方法。對于返回信息分析，主要通過分析請求發(fā)送后得到的返回信息判斷目標(biāo)是否出錯，其優(yōu)點(diǎn)是處理簡單，但由于工控設(shè)備具有較快的自修復(fù)能力，在發(fā)生異常后網(wǎng)絡(luò)進(jìn)程灰自動重啟，如果請求收發(fā)頻率不夠高，將無法捕獲發(fā)生的異常。對于調(diào)試器跟蹤，主要通過監(jiān)視服務(wù)器進(jìn)程，在進(jìn)程出錯時抓取進(jìn)程異常信息并重啟來實(shí)現(xiàn)，但由于工控設(shè)備運(yùn)行環(huán)境封閉，且使用嵌入式系統(tǒng)，難以安裝第三方調(diào)試工具，因而該方法只適用于工控設(shè)備機(jī)對協(xié)議棧的分析，無法應(yīng)用在PLC等工控設(shè)備上。對于日志跟蹤，主要通過解析服務(wù)器日志判斷進(jìn)程是否發(fā)生異常，但由于工控設(shè)備屬嵌入式系統(tǒng)，計(jì)算、存儲和網(wǎng)絡(luò)訪問均受到嚴(yán)格的制約，在PLC等工控設(shè)備上難以實(shí)現(xiàn)對一場事件的日志記錄和訪問。11.2.2模糊測試漏洞挖掘技術(shù)傳統(tǒng)的Fuzzing工具難以測試工控網(wǎng)絡(luò)協(xié)議（3）Fuzzing測試工具的部署方式方面目前，由于在傳統(tǒng)信息系統(tǒng)中C/S模式的Client端漏洞利用較困難，價(jià)值相對不高，因而傳統(tǒng)網(wǎng)絡(luò)協(xié)議Fuzzing測試技術(shù)主要針對Server端軟件，較少涉及Client端，但有些工控系統(tǒng)Client端負(fù)責(zé)數(shù)據(jù)采集與監(jiān)視控制，其網(wǎng)絡(luò)協(xié)議棧存在的漏洞可能導(dǎo)致重要數(shù)據(jù)傳輸實(shí)時性的喪失，影響生產(chǎn)控制過程的正常運(yùn)行，因此只測試Server端的Fuzzing測試工具不能滿足工控協(xié)議測試的需求。11.2.2模糊測試漏洞挖掘技術(shù)工控Fuzzing測試框架的設(shè)計(jì)準(zhǔn)則工控網(wǎng)絡(luò)協(xié)議Fuzzing測試框架應(yīng)該遵循以下幾點(diǎn)準(zhǔn)則。（1）支持對私有工控網(wǎng)絡(luò)協(xié)議的測試由于大量工控網(wǎng)絡(luò)協(xié)議結(jié)構(gòu)不公開，對私有協(xié)議的支持成為工控網(wǎng)絡(luò)協(xié)議Fuzzing測試框架的首要需求。一般來說，對于私有協(xié)議的模糊測試思路主要有離線分析和在線分析兩種。基于離線分析：梳理協(xié)議的結(jié)構(gòu)和內(nèi)容，生成協(xié)議模型，然后在此基礎(chǔ)上進(jìn)行Fuzzing測試，即先將私有協(xié)議變成公有協(xié)議，再使用基于生成的方法產(chǎn)生測試數(shù)據(jù)基于線性分析：只是使用在線的方式，通過人工智能的方法對工控網(wǎng)絡(luò)協(xié)議的使用網(wǎng)絡(luò)流量進(jìn)行學(xué)習(xí)，生成并完善協(xié)議的語義結(jié)構(gòu)11.2.2模糊測試漏洞挖掘技術(shù)工控Fuzzing測試框架的設(shè)計(jì)準(zhǔn)則（2）不依賴本地調(diào)試進(jìn)行異常捕獲和定位作為工控系統(tǒng)的核心組件，PLC等物理設(shè)備運(yùn)行環(huán)境封閉且存儲計(jì)算資源受限，無法通過附加調(diào)試組件的方式記錄異常事件并保存日志，只能依賴網(wǎng)絡(luò)探測的方式。較為可行的方法之一是使用心跳機(jī)制，以間歇性“請求-響應(yīng)”的形式探測目標(biāo)是否出錯，同時結(jié)合異常隔離機(jī)制，在每傳輸一組測試用例后通過發(fā)送心跳包的方式檢測對象是否發(fā)生異常，如果一定的時間閾值未收到回復(fù)包，則認(rèn)為測試對象發(fā)生了異常，需采取逐步隔離的方式，如圖10-5所示，從該組用例中找出觸發(fā)異常的單個測試用例，并保存異常產(chǎn)生的流量數(shù)據(jù)，以便進(jìn)一步分析。11.2.2模糊測試漏洞挖掘技術(shù)