2023工業(yè)控制系統(tǒng)安全報(bào)告

工業(yè)控制系統(tǒng)安全報(bào)告20232023工業(yè)控制系統(tǒng)安全報(bào)告P3 P3 P4 工控安全相關(guān)漏洞數(shù)據(jù)統(tǒng)計(jì)P6 工業(yè)互聯(lián)網(wǎng)安全重點(diǎn)事件P9 針對(duì)工控相關(guān)行業(yè)的黑客組P10 針對(duì)工控設(shè)備的惡意軟件P12 常見(jiàn)攻擊手法總結(jié)P13 總結(jié)P14 附錄PAGEPAGE1001 01 概述針對(duì)工控設(shè)備的組織及惡意軟件，總結(jié)出了2023年截止目前工業(yè)互聯(lián)網(wǎng)安全以及工控安全的特點(diǎn)：工控安全漏洞數(shù)量有所增加，高危漏洞占比增大，漏洞類(lèi)型主要為輸入驗(yàn)證不當(dāng)；工業(yè)互聯(lián)網(wǎng)安全事件頻發(fā)，安全事件大多受到因素影響，造成的危害大，影響比較嚴(yán)重；隨著全球政治局勢(shì)的變化，黑客組織的攻擊活動(dòng)逐漸瞄準(zhǔn)國(guó)家重點(diǎn)行業(yè)的工業(yè)控制系統(tǒng)；完全針對(duì)工業(yè)控制系統(tǒng)的惡意軟件數(shù)量雖然不多，但被成功利用后往往造成極大危害。工控安全漏洞數(shù)量有所增加，高危漏洞占比增大，漏洞類(lèi)型主要為輸入驗(yàn)證不當(dāng)；工業(yè)互聯(lián)網(wǎng)安全事件頻發(fā)，安全事件大多受到因素影響，造成的危害大，影響比較嚴(yán)重；隨著全球政治局勢(shì)的變化，黑客組織的攻擊活動(dòng)逐漸瞄準(zhǔn)國(guó)家重點(diǎn)行業(yè)的工業(yè)控制系統(tǒng)；完全針對(duì)工業(yè)控制系統(tǒng)的惡意軟件數(shù)量雖然不多，但被成功利用后往往造成極大危害。2023工業(yè)控制系統(tǒng)安全報(bào)告02 02 工控安全相關(guān)漏洞數(shù)據(jù)統(tǒng)計(jì)2111551業(yè)的工控設(shè)備存在安全漏洞并且被攻擊者利用時(shí)，攻擊所造成的危害往往較為嚴(yán)重。低危漏洞中危漏洞高危漏洞圖1工控安全漏洞數(shù)量統(tǒng)計(jì)18根據(jù)漏洞的CWE類(lèi)型的統(tǒng)計(jì)，上述漏洞主要CWE分類(lèi)如下圖，其中前三類(lèi)主要漏洞類(lèi)型為輸入驗(yàn)證不當(dāng)、跨站腳本、越界寫(xiě)入。18操作系統(tǒng)命令注入 缺少關(guān)鍵功能的身份驗(yàn)

命令注入

越界讀取越界寫(xiě)入 跨站腳本 輸入驗(yàn)證不當(dāng)圖2主要漏洞類(lèi)型數(shù)量漏洞數(shù)量最多的前五個(gè)廠(chǎng)商分別為思科、西門(mén)子、施耐德、羅克韋爾、臺(tái)達(dá)電子，統(tǒng)計(jì)圖如下：思科174西門(mén)子60羅克韋爾37臺(tái)達(dá)電子23

圖3漏洞廠(chǎng)商分布漏洞涉及的思科的前五名產(chǎn)品名稱(chēng)分別為CiscoIOSXE、思科身份服務(wù)引擎、InfraSuiteDeviceMaster、ArmorStart、思科小型企業(yè)系列交換機(jī)，統(tǒng)計(jì)數(shù)據(jù)如下圖：思科身份服務(wù)引擎 InfraSuiteDeviceMasterCiscoIOSXE

4

ArmorStartST思科小型企業(yè)系列交換機(jī)根據(jù)上述統(tǒng)計(jì)數(shù)據(jù)可以看出，思科由于其產(chǎn)品眾多，影響力大，應(yīng)用范圍廣，且存在的已知漏洞較多，因此更容易成為攻擊者重點(diǎn)關(guān)注的目標(biāo)，其產(chǎn)品存在的漏洞數(shù)量遠(yuǎn)超其他廠(chǎng)商的漏洞數(shù)量。2023工業(yè)控制系統(tǒng)安全報(bào)告03 工業(yè)互聯(lián)網(wǎng)安全重點(diǎn)事件03 工業(yè)互聯(lián)網(wǎng)安全重點(diǎn)事件2023 3.1GhostSec黑客組織對(duì)白俄羅斯的工業(yè)遠(yuǎn)程終端單元進(jìn)行攻擊 20231GhotSec(TU)TU程監(jiān)控工業(yè)自動(dòng)化設(shè)備的操作技術(shù)(T)GhotSecAnonymouslgamTEEOFISTU68v2.fuckPutin。TELEOFISRTU968V23GRS-232RS-485ModbusModbusTCP，因此可以被視為遠(yuǎn)程終端(TU)。此次攻擊活動(dòng)使得受害設(shè)備上的文件均被加密，攻擊者只留下了一封內(nèi)容為“沒(méi)有通知信”的文件，并沒(méi)有索要贖金。經(jīng)安全人員研究發(fā)現(xiàn)，TELEOFISU968222SHt遠(yuǎn)程登錄。攻擊者可能通過(guò)這些配置弱點(diǎn)進(jìn)入設(shè)備內(nèi)部，從而實(shí)現(xiàn)設(shè)備文件加密。目前GhostSec黑客組織已表現(xiàn)出在某些情況下破壞企業(yè)和運(yùn)營(yíng)的能力。GhostSec最新的攻擊活動(dòng)也再次表明，這些組織有興趣尋找ICS設(shè)備，如果這些設(shè)備受到攻擊，可能會(huì)影響工業(yè)自動(dòng)化環(huán)境中的生產(chǎn)和系統(tǒng)安全性。 3.2多個(gè)品牌汽車(chē)中存在安全漏洞可進(jìn)行遠(yuǎn)程控制與跟蹤 20231amcurry2022GPS(1BMWSSOWADL接口VIN（2）902000OnStar、GoldstarFleetLocate，通過(guò)安裝在車(chē)輛中的獨(dú)立設(shè)備來(lái)跟蹤和管理車(chē)輛。這些設(shè)備具有被跟蹤和接收任意命令的功能，例如鎖定啟動(dòng)器，使車(chē)輛無(wú)法啟動(dòng)。由于SpireonGPS1500研究。該公司存在著一個(gè)及其老舊的管理門(mén)戶(hù)網(wǎng)站，安全人員僅通過(guò)一個(gè)極其簡(jiǎn)單的SQL注入方法就獲得了該公司GPSGPSSpieon步操控車(chē)輛。由于這些設(shè)備被普遍安裝在美國(guó)的拖拉機(jī)、高爾夫球車(chē)、警車(chē)和救護(hù)車(chē)等車(chē)輛上，因此每種設(shè)備的影響各不相同。安全人員表示，他們甚至可以加入美國(guó)警察局的車(chē)隊(duì)并監(jiān)視車(chē)輛位置。更多汽車(chē)風(fēng)險(xiǎn)點(diǎn)見(jiàn)詳見(jiàn)附錄。 3.3OPIsrael活動(dòng)導(dǎo)致以色列灌溉系統(tǒng)停止運(yùn)行 202349(UpperGallee)10OPIsaelOpIsael(OpIsael)網(wǎng)站發(fā)起攻擊的活動(dòng)，活動(dòng)每年進(jìn)行一次，目的是反對(duì)以色列政府、破壞以色列的基礎(chǔ)設(shè)施，參與活動(dòng)的黑客主要來(lái)自于阿拉伯世界和伊斯蘭國(guó)家。此次活動(dòng)使胡拉谷地區(qū)數(shù)千臺(tái)灌溉監(jiān)測(cè)系統(tǒng)遭到攻擊，活動(dòng)除了造成恐慌之外，還直接影響了農(nóng)業(yè)地區(qū)的生產(chǎn)。根據(jù)黑客組織在社交媒體發(fā)布的資料可以看出，此次攻擊活動(dòng)中，攻擊者還攻陷了UnitronicsV570（可編程邏輯控制器）。 3.4Suncor遭到黑客攻擊導(dǎo)致其公司大范圍停電影響加拿大多個(gè)城市的加油站 2023625SuncorSuncorEnergy48310Suncor到20238SunorSuncor 3.5武漢地震數(shù)據(jù)采集設(shè)備被植入后門(mén)程序 2023720132023工業(yè)控制系統(tǒng)安全報(bào)告3.6日本名古屋港口遭受勒索攻擊 202374ockbitLockbit此次針對(duì)航運(yùn)港口的勒索軟件攻擊并非孤立事件。據(jù)《DasIS針對(duì)工控相關(guān)行業(yè)的黑客組織針對(duì)工控相關(guān)行業(yè)的攻擊整體呈現(xiàn)增長(zhǎng)趨勢(shì)，隨著全球政治局勢(shì)的變化，具有政府背景的黑客組織越來(lái)越多，比如朝鮮支持的黑客組織KimsukyWhiteElephant04 針對(duì)工控相關(guān)行業(yè)的黑客組織CHERNOVITECHERITE20210PLC及其他使用OPCUA2021SoarQube2022itblit、GgsISGhostSecGhostSecAnonymousGhostSecMafia、GSM，攻擊行業(yè)包括衛(wèi)星、火車(chē)基礎(chǔ)設(shè)施、工業(yè)控制系統(tǒng)等。GhostSec2015，GhostSecISIS#OPISIS過(guò)攻擊行動(dòng)維護(hù)其認(rèn)為的正義。GhostSecLERS100ISTUSQi40GBModbus（IS）模ICSChryseneChrysene2014似乎利用受害目標(biāo)之間的信任關(guān)系來(lái)攻擊其主要目標(biāo)，從而進(jìn)行供應(yīng)鏈攻擊。該組織之前曾被追蹤為兩個(gè)不同的組織（AT34OilRg），但由于其攻擊活動(dòng)重疊性非常高而合并。2023工業(yè)控制系統(tǒng)安全報(bào)告05 05 針對(duì)工控設(shè)備的惡意軟件 5.1COSMICENERGY：可用于中斷電力的惡意軟件 OSMICEERGYIST20112IEC6080-5-14(IE-14)（(TU）交互來(lái)造成電力中斷，這類(lèi)設(shè)備通常被應(yīng)用于歐洲、中東和亞洲的輸電和配電運(yùn)營(yíng)網(wǎng)絡(luò)。OMICENERGYPIEHOPLIGHTWORK。PIEHOPPythonPyInallerMSQLTUPIEHOPLIGHTORK向遠(yuǎn)程系統(tǒng)發(fā)出IE-104“ON“OFFLIGHTORKC++編寫(xiě)的中斷工具，通過(guò)實(shí)現(xiàn)IE-104CPTU的狀態(tài)。它制作可配置的IE-104應(yīng)用服務(wù)數(shù)據(jù)單元(ADU)TU(IA)的狀態(tài)更改為開(kāi)或關(guān)。LIGHTWORKIEC-104攻擊者使用COSMICENERGY攻擊前，需要獲取目標(biāo)的環(huán)境信息，如MSSQL服務(wù)器IP地址、MSSQL登錄憑據(jù)、目標(biāo)IEC-104設(shè)備IP地址等。然后攻擊者可利用MSSQL服務(wù)器作為訪(fǎng)問(wèn)OT的管道系統(tǒng)。 5.2PIPEDREAM：CHERNOVITE組織針對(duì)工業(yè)控制系統(tǒng)的新興惡意軟件 PIPEDREAMIS能。PIPEDREAM使用了多種不同的協(xié)議，包括FINS、Modbus、CoDeSys等。此外，PIPEDREAM還包含針對(duì)WinwsDasCoDeSysPLC 5.3INDUSTROYER：操控電網(wǎng)的惡意軟件 INDUSTROYER（也稱(chēng)為CrashOverride）被認(rèn)為是第一個(gè)已知的專(zhuān)門(mén)針對(duì)電網(wǎng)的惡意軟件。INDUSTROYER201612月針對(duì)烏克蘭電網(wǎng)的一次攻擊活動(dòng)中被發(fā)現(xiàn)，該攻擊導(dǎo)致基輔部分地區(qū)停電長(zhǎng)達(dá)一個(gè)小時(shí)。INDUSTROYERIEC60870-5-101(akaIEC101)、IEC60870-5-104(akaIEC104)、IEC61850、OLEforProcessControlAccess(OPCDA)，INDUSTROYERIS2023工業(yè)控制系統(tǒng)安全報(bào)告06 06 常見(jiàn)攻擊手法總結(jié)社會(huì)工程學(xué)社會(huì)工程學(xué)是利用人性薄弱點(diǎn)進(jìn)行攻擊的一種手段，攻擊者可通過(guò)該手段收集目標(biāo)信息從而發(fā)起攻擊活動(dòng)。信息來(lái)源渠道包括目標(biāo)官網(wǎng)、APP應(yīng)用、公眾號(hào)、小程序等。利用信息收集工具獲取信息攻擊者可以通過(guò)企業(yè)信息查詢(xún)工具獲取廠(chǎng)商信息，通過(guò)fofa、shodan等測(cè)繪工具收集目標(biāo)的資產(chǎn)信息，通過(guò)Nmap、御劍等各類(lèi)安全工具收集目標(biāo)資產(chǎn)的更詳細(xì)信息。釣魚(yú)攻擊（魚(yú)叉式釣魚(yú)攻擊）釣魚(yú)攻擊作為最為廣泛的攻擊手段，同樣也被工控攻擊所利用，主要用作初始誘餌的投遞。利用已知或零日漏洞攻擊者常常會(huì)收集已公開(kāi)漏洞的利用載荷，整理制作成攻擊工具。一些高級(jí)黑客還會(huì)針對(duì)某些常用產(chǎn)品進(jìn)行安全研究，試圖掌握尚未被人所知的零日漏洞并大肆利用。通過(guò)漏洞利用，攻擊者往往可以獲得主機(jī)的遠(yuǎn)程訪(fǎng)問(wèn)權(quán)限。部署木馬后門(mén)攻擊者在獲得主機(jī)的訪(fǎng)問(wèn)權(quán)限后，將會(huì)通過(guò)部署遠(yuǎn)控木馬或者設(shè)置后門(mén)的方式進(jìn)一步擴(kuò)大其操控權(quán)限，對(duì)工業(yè)控制系統(tǒng)進(jìn)行滲透，造成數(shù)據(jù)竊取和運(yùn)行中斷。除了以上攻擊方式外，攻擊者中還存在一類(lèi)以盈利為目的的勒索軟件組織，這些團(tuán)伙的攻擊行業(yè)范圍非常廣泛，此外，擁有政治背景的攻擊者在攻擊過(guò)程中還具有擦除痕跡、加強(qiáng)隱蔽性的特點(diǎn)，這類(lèi)攻擊者的目標(biāo)多以長(zhǎng)期潛伏竊取機(jī)密信息為主。07 07 總結(jié)從目前國(guó)內(nèi)工控相關(guān)的政策也可以看出，國(guó)家正在積極推動(dòng)工業(yè)互聯(lián)網(wǎng)平臺(tái)體系壯大，積極促進(jìn)工業(yè)互聯(lián)網(wǎng)安全保障體系的完善。工控安全雖然只是網(wǎng)絡(luò)空間安全的一個(gè)分支，但是工業(yè)控制系統(tǒng)應(yīng)用于各類(lèi)重要行業(yè)，甚至涉及許多關(guān)鍵基礎(chǔ)設(shè)施。因此當(dāng)工控系統(tǒng)遭到破壞時(shí)，其帶來(lái)的危害是異常嚴(yán)重的。這樣的破壞不僅僅對(duì)相關(guān)行業(yè)造成巨大的影響，還可能對(duì)整個(gè)社會(huì)造成嚴(yán)重的后果。工控行業(yè)相關(guān)單位需要加強(qiáng)對(duì)工控系統(tǒng)所處的網(wǎng)絡(luò)環(huán)境監(jiān)控，及時(shí)關(guān)注工控安全情報(bào)，加強(qiáng)安全防護(hù)，做好數(shù)據(jù)安全保障。2023工業(yè)控制系統(tǒng)安全報(bào)告08 附錄08 附錄關(guān)閉非必要的開(kāi)放端口，只開(kāi)放服務(wù)需要的端口進(jìn)行通信，避免其它端口被攻擊者所利用；關(guān)注使用產(chǎn)品（硬件、軟件）的漏洞信息，及時(shí)更新系統(tǒng)補(bǔ)丁，定期檢查、修補(bǔ)系統(tǒng)漏洞，尤其針對(duì)高?；?day最大限度地減少所有控制系統(tǒng)設(shè)備或系統(tǒng)的網(wǎng)絡(luò)暴露面，確保重要系統(tǒng)無(wú)法通過(guò)互聯(lián)網(wǎng)訪(fǎng)問(wèn)；在不同的網(wǎng)絡(luò)邊界之間部署邊界安全防護(hù)設(shè)備，實(shí)現(xiàn)安全訪(fǎng)問(wèn)控制，阻斷非法網(wǎng)絡(luò)訪(fǎng)問(wèn)，嚴(yán)格禁止沒(méi)有防護(hù)的工業(yè)控制網(wǎng)絡(luò)與互聯(lián)網(wǎng)連接；做好身份驗(yàn)證管理。設(shè)置復(fù)雜密碼，并保持定期更換登錄口令習(xí)慣；使用威脅情報(bào)服務(wù)，及時(shí)關(guān)注工控情報(bào)漏洞和事件信息，對(duì)相關(guān)威脅指示器進(jìn)行阻斷。品牌汽車(chē)風(fēng)險(xiǎn)點(diǎn) 品牌風(fēng)險(xiǎn)點(diǎn)起亞1、僅使用VIN1號(hào)碼即可完全遠(yuǎn)程鎖定、解鎖、發(fā)動(dòng)機(jī)啟動(dòng)、發(fā)動(dòng)機(jī)停止、精確定位、閃光車(chē)頭燈和按喇叭車(chē)輛；2、通過(guò)VIN號(hào)碼(姓名、電話(huà)號(hào)碼、電子郵件地址、實(shí)際地址)完全遠(yuǎn)程帳戶(hù)接管和PII披露；3、研究人員可以利用該漏洞阻止用戶(hù)遠(yuǎn)程管理其車(chē)輛、更改所有權(quán)：特別是對(duì)于起亞汽車(chē)，研究人員能夠遠(yuǎn)程訪(fǎng)問(wèn)360度全景攝像頭并查看汽車(chē)的實(shí)時(shí)圖像。本田英菲尼迪日產(chǎn)謳歌梅賽德斯-奔馳1、通過(guò)配置不當(dāng)?shù)腟SO(單點(diǎn)登錄)訪(fǎng)問(wèn)數(shù)百個(gè)內(nèi)部應(yīng)用程序，包括SSO背后的多個(gè)Github實(shí)例、公司內(nèi)部聊天工具、SonarQube、Jenkins等工具、用于管理AWS實(shí)例的內(nèi)部云部署服務(wù)、車(chē)輛內(nèi)部相關(guān)接口；2、在多個(gè)系統(tǒng)上遠(yuǎn)程執(zhí)行代碼；3、存在內(nèi)存泄漏可導(dǎo)致員工/客戶(hù)PII2泄露、帳戶(hù)訪(fǎng)問(wèn)?，F(xiàn)代1、研究人員僅使用受害者電子郵件地址即可完全遠(yuǎn)程鎖定、解鎖、發(fā)動(dòng)機(jī)啟動(dòng)、發(fā)動(dòng)機(jī)停止、精確定位、閃光車(chē)頭燈和按喇叭車(chē)輛；2、通過(guò)受害者電子郵件地址(姓名、電話(huà)號(hào)碼、電子郵件地址、實(shí)際地址)完全遠(yuǎn)程控制賬戶(hù)并披露PII；3、能夠遠(yuǎn)程鎖定用戶(hù)、更改用戶(hù)所有權(quán)。創(chuàng)世紀(jì)寶馬存在內(nèi)部SSO漏洞能夠使研究人員像員工一樣訪(fǎng)問(wèn)任何應(yīng)用程序，如訪(fǎng)問(wèn)內(nèi)部經(jīng)銷(xiāo)商門(mén)戶(hù)或者越權(quán)訪(fǎng)問(wèn)任何應(yīng)用程序。勞斯萊斯品牌風(fēng)險(xiǎn)點(diǎn)法拉利1、可在零互動(dòng)的情況下接管任何法拉利客戶(hù)帳戶(hù)；2、IDOR3可以訪(fǎng)問(wèn)任何法拉利客戶(hù)記錄；3、缺乏訪(fǎng)問(wèn)控制，研究人員可通過(guò)CMS系統(tǒng)創(chuàng)建、修改、刪除管理員用戶(hù)帳戶(hù)以及所有能夠修改法拉利網(wǎng)站頁(yè)面的用戶(hù)帳戶(hù)；4、能夠在api.erariomHTTP斯皮瑞恩存在多個(gè)漏洞，包括：11550/更新設(shè)備固件；2Spireon34、獲取Spireon所有產(chǎn)品的完全管理訪(fǎng)問(wèn)權(quán)限。福特1、量產(chǎn)車(chē)TelematicsAPI的完整內(nèi)存泄露；2、泄露