2010年,伊朗震網病毒事件爆光,揭開了工業控制系統( “工控系統 ”)的“神秘面紗”,也拉開了攻擊工控系統的序幕。随後十年間爆發了衆多與工控系統關聯的安全事件,例如:針對電力、水利、能源、交通等基礎設施的定向攻擊或針對式攻擊(APT,advanced persistent threat),對社會秩序造成較大影響;針對生産制造等企業的定向攻擊,竊取商業機密,影響正常生産;撒網式攻擊,特别是2017年席卷全球的WannaCry勒索病毒,工控系統亦成為“疫”區,且在近兩年仍餘波不斷。
此外,世界知名的黑客大會,如BlackHat、DefCon等,紛紛将工控安全納入議題;2020年1月世界高水準黑客大賽Pwn2Own更首次将工控納入比賽。可以看出,工控領域似乎正在成為“黑道”和“白道”的藍海,工控系統的漏洞和攻擊面也正随着工業網際網路的發展,更多的暴露于攻擊者。
工業控制系統應用領域
1、工業控制系統的整體攻擊思路
(1)攻擊目标
強目的性、針對式的攻擊通常是以破壞工控裝置、造成工廠停産、工序異常、次品率增加,甚至火災爆炸等嚴重後果為目标。現代工廠中,大部分現場生産裝置都是由控制系統(如:PLC-可程式設計邏輯控制器、數控車床、DCS-分布式控制系統)進行現場操作。是以,攻擊者的目标是通過直接或間接攻擊或影響控制系統而實作。下文将以工廠PLC舉例,闡述黑客對工控系統的攻擊思路。
黑客攻擊目标舉例
(2)攻擊場景
針對式直接攻擊
直接攻擊PLC,是指利用PLC存在的漏洞,或通過密碼破解等方式繞過安全認證,成功控制PLC并進行指令修改,實作攻擊目的。目前較多的PLC處于内網,尚不能通過網際網路直接通路,在此情景下,直接攻擊一般通過實體接觸PLC,或通過内部辦公網絡連接配接到PLC等方式而實作。随着工廠智能化的提升,裝置實作互聯互通,大量PLC系統連入網際網路,将更易于黑客對PLC發起直接攻擊。
針對式間接攻擊
間接攻擊PLC,是指擷取PLC上一層監控系統(如HMI、IPC、SCADA等)的控制權,通過監控系統向PLC發送惡意指令,或幹擾監控系統與PLC的正常通訊,實作攻擊目的。采用間接攻擊場景,通常是由于攻擊者無法直接接觸到控制系統,或對工廠内部PLC系統了解有限,因而轉向攻擊存在大量攻擊者熟悉的IT部件的過程與監控層系統。例如,攻擊者首先獲得IPC(工業計算機)的控制權,分析IPC和PLC之間的傳輸模式,構造惡意指令,通過IPC傳輸給PLC,間接影響PLC的正常工作或阻斷生産狀态的監控和預警。
非針對式攻擊
非針對式攻擊,或稱為撒網式攻擊,是指惡意程式利用系統或網絡的共性漏洞,無差異化感染系統并在内網傳播,影響正常生産秩序。此類攻擊場景雖然不針對工控系統,但由于目前工控環境的安全措施較為薄弱,使得撒網式攻擊在世界範圍内屢屢得手。撒網式攻擊通常以病毒或惡意程式為主,例如,攻擊者利用員工安全意識薄弱,發送釣魚郵件,感染接收者的電腦,再利用網絡環境的脆弱性,在辦公網快速傳播,再蔓延至生産網,感染具有共性漏洞的系統,如IPC等,影響生産或造成破壞。
(3)攻擊途徑
工控系統的攻擊途徑大體包含内部發起和外部發起兩類。内部發起又可分為自辦公網滲透到工廠網以及工廠中的房間現場發起攻擊;外部發起包含針對式攻擊(如APT)和撒網式攻擊。
工控環境攻擊路徑
内部發起
辦公網為起點
- 在辦公網環境内,使用nmap等工具掃描和擷取網段和資産資訊,特别是正常工控系統和IT系統端口,Siemens 102,modbus 502,EthernetIP 44818、445、3389等;
- 成功擷取系統控制權後,嘗試以該主機為跳闆,使用Pass the Hash等方式滲透其他系統,找尋工控相關系統PLC、IPC和SCADA等,以實作攻擊目的;
- 若均未成功,轉向采用社會工程等方式進一步擷取相關資訊(如高權限賬号等);
- 同時,考慮設法進入工廠工廠中的房間内部,轉為現場攻擊方式;
- 一些內建控制系統的中控平台,或者内網的一些類SCADA等組态控制系統的web應用端或者dll、dat容易被劫持後形成工程師站的提權。
工廠中的房間現場為起點
在工廠中的房間内發起攻擊工控系統是最為直接的方法,手段和選擇同樣是多樣化的:
- 進入工廠中的房間後,仔細觀察工廠中的房間内的情況,尋找IPC或者控制系統的位置,為後續攻擊嘗試做準備。
攻擊嘗試一:
- 首選目标為控制系統(如PLC),尋找是否存在未上鎖,或者網線接口暴露在外的裝置;
- 嘗試了解相關的控制系統基本資訊,例如所使用的品牌,版本等;
- 嘗試使用電腦在現場連接配接控制系統,利用弱密碼等脆弱性,嘗試惡意指令注入、權限繞過、重播攻擊等。
攻擊嘗試二:
- 嘗試對現場運作的IPC或者HMI進行攻擊,例如對運作的IPC插入惡意U盤植入惡意程式;
- 針對未設定權限的IPC或者HMI直接操作,如修改控制系統的指令等惡意操作。
外部發起
針對式攻擊
APT 攻擊是典型的外部發起的針對式攻擊,攻擊過程包含
- 對目标企業進行資訊收集以初步了解該企業的基本情況;
- 利用Google、Baidu等搜尋引擎尋找暴露在網際網路上的域名或伺服器;
- 利用爬蟲技術盡可能擷取網站所有連結、子域名、C段等;
- 嘗試對網站應用進行高危漏洞利用,例如惡意檔案上傳、指令執行、SQL注入、跨站腳本、賬戶越權等;
- 嘗試擷取網站webshell,再提升至伺服器權限;
- 以該伺服器為跳闆打入内網環境,轉變為内部攻擊的模式;
- 通過從網際網路搜尋外網郵箱的使用者名,根據企業的特點,針對式地給這些使用者發送釣魚郵件,以中招的電腦為跳闆打入内部環境,轉變為内部攻擊的模式;
- 利用僞造門禁卡,或者僞裝參觀、面試人員或者尾随内部員工的方式實體進入企業内部,轉變成為内部攻擊的模式。
撒網式攻擊
- 利用Google和Baidu等搜尋引擎找出暴露在網際網路上企業的域名,若發現可以利用的漏洞則轉為針對式攻擊;
- 利用社工,盡可能多收集企業的員工的郵箱,大批量發送釣魚郵件;
- 使用Shodan搜尋引擎,針對暴露在網際網路上的工控系統發起攻擊,成功後轉為内部攻擊。
黑客攻擊鍊(Cyber Kill Chain)
一般來說,攻擊者通常以低成本、撒網式的攻擊手段,如發送釣魚郵件等社工式,開始攻擊嘗試。當受害者點開附在釣魚郵件内的惡意連結或惡意程式時,“潘多拉之盒”就此打開,攻擊者将嘗試攻陷受害者的裝置,并以此裝置為跳闆,打入企業内網。如果工控網絡未能做到與辦公網絡的有效隔離,攻擊者可以在進入辦公網絡後掃描并分析發現相關工控資産。目前許多工廠工控環境抵禦網絡攻擊的能力較弱,大多存在弱密碼,權限設定不當,共享賬号和密碼,更新檔和脆弱性管理缺失,網絡隔離和防護不充分等高危漏洞,使得攻擊者利用這些漏洞,在企業工控網内大範圍、無阻攔、跨領域的對工控資産進行攻擊,最終導緻工業資料洩露、裝置破壞、工序異常、次品率增加、火災爆炸甚至威脅員工安全等嚴重後果,形成完整的黑客攻擊鍊。
2、工業控制系統能否有效抵禦攻擊?
工控系統能否有效阻擊黑客攻擊,取決于攻守雙方的準備和措施。目前來看,攻擊者更加積極研究工控系統漏洞和攻擊手段,而企業在當下更着重于高效生産和數字化轉型,對工控安全的關注和投入相對滞後;加上工控系統的陳舊性和非标準性,使得暴露在攻擊者面前可利用的脆弱性較多,舉例如下:
(1)組織與人員
未落實安全責任
管理層重視不足,部門間安全職責不清晰,無明确安全部門或崗位。
安全意識薄弱
員工對工控系統的安全意識相對薄弱,特别是生産或一線員工。傳統型企業的“隐匿式安全”(security by obscurity),認為嚴格實體安全和通路管理即可確定安全,認為未發生安全事件即是安全,這往往使得企業忽略對網絡安全的建設,未能及時補救隐患。
(2)管理與監督
“經驗式”管理
工控系統自身缺乏安全設計與考量,是很多企業存在的普遍現象,通過實施适當安全保障措施,可以有效彌補。但很多企業并沒有建立有效的安全政策和措施,僅依靠個人經驗和曆史經驗進行管理。
應急響應機制缺失
缺少應急響應機制,出現突發事件時無法快速組織人力和部署應對措施來控制事件進一步蔓延,并在最短時間内解決問題和恢複生産。
缺少恰當的密碼政策
未設定恰當的密碼政策和管理,如弱密碼,共享密碼,多台主機或裝置共用一個密碼,以及密碼共享給第三方供應商等情形,增加密碼洩露風險。
缺乏安全審計日志
系統出現安全事件後,無法追蹤和分析事件源頭和原因,以避免類似情形的再次發生。
(3)網絡與架構
“防君子式”網絡隔離
内部辦公網絡和工廠網絡缺乏有效隔離,未劃分安全域進行防護,導緻辦公網絡的攻擊或病毒蔓延至工廠網絡,造成生産影響。
不安全的通訊協定
工業控制協定非标準化,且大多存在安全隐患,例如CAN、DNP3.0、Modbus、IEC60870-5-101。
不安全的遠端通路
為友善維修工程師和供應商的遠端調試,未對遠端通路部署安全措施和監控,此類遠端通路功能可能是攻擊者使用率最高的漏洞之一。
複雜的結構
工控系統的結構相對于IT環境而言更為複雜,攻擊面較多。典型的工控環境一般會有以下組成部件:控制器(PLC、數控車床、DCS)、SCADA系統、工業計算機、工業軟體、HMI、網絡、交換機、路由器、工業資料庫等,其中任意一個環節或者部件出現問題就有可能導緻整個工控系統被攻擊。
(4)主機與裝置
認證與授權
為了日常使用友善,重要控制系統未設定密碼、設定弱密碼或共用密碼,将密碼貼在現場機器上,這些“便利”往往也為攻擊者的入侵提供了極大的便利。
防病毒軟體
未安裝病毒防護軟體,未及時更新病毒庫,非正版軟體等。
作業系統陳舊性
現在的工廠環境中,使用越來越多的計算機系統,然而由于工業控制系統的更新疊代的時間相比于IT系統要長很多,使得工業控制系統中存在大量陳舊的計算機系統,如windows xp、windows 2003等作業系統,存在大量可被攻擊利用的高危漏洞。
預設配置
許多工廠在安裝裝置時,使用了預設密碼、預設路徑,開啟不必要且不安全的端口和服務等預設配置。
離線裝置管理
對于離線裝置,往往認為是安全的,忽視網絡安全保護措施。但随着企業數字化的推進或在業務需要時進行網絡連接配接時,此類裝置可能會成為安全體系的短闆和缺口。
(5)實體防護
硬體調試接口
重要控制系統的機架未上鎖,或暴露在外的調試接口未有效防護。
實體端口
未對IPC等通用接口進行有效管理或禁用,如USB、PS/2等外部接口,可能存在裝置未授權接入風險,導緻病毒感染或者程式非法修改。
外部人員通路
人員進出工廠中的房間管控不嚴,特别是外部人員,如供應商等。
上述彙總的可以被攻擊者利用的部分脆弱性,企業可結合自身業務特點予以關注,短期考慮針對高風險漏洞采取一定的補償性措施,中長期依據業務和數字化發展規劃,逐漸建立起與業務和生産同步發展的工控安全管控體系。
本文轉自:工業安全産業聯盟、普華永道