2022工控系統(tǒng)安全威脅應對

工控系統(tǒng)安全威脅與應對探索2024提綱工控背景工控系統(tǒng)入侵方式應對探索工業(yè)4.0與兩化融合工控系統(tǒng)ICS工業(yè)控制系統(tǒng)SCADA數(shù)據(jù)采集與監(jiān)控系統(tǒng)DCS分散式控制系統(tǒng)SCADA系統(tǒng)SCADA系統(tǒng)工控組件PLC可編程邏輯控制器遠程控制單元HMI人機交互界面現(xiàn)場設備PLC№(4?)№(4?)/(/$№)(I/0CPUI/0$CPU接口電路、功能模塊、通信模塊、電源梯形圖LAD順序流程圖SFC指令表IL威脅趨勢~2014ICS-CERT~2010

2013“Dragonfly2012FlameDuqu2010 威脅來源協(xié)議安全 網(wǎng)絡隔離安全意識 漏洞管理工業(yè)網(wǎng)絡協(xié)議ModbusS3/S5/S7DNP3 ProfinetEthernet/IP…Modbus協(xié)議的總線協(xié)議Electric）發(fā)布于1979標準開放，免費使用輸協(xié)議之一Modbus協(xié)議masterInitiatemasterInitiaterequestslavefunccode datareqPerformactionInitiateresponseReceiveresponsefunccodedataresp8位地址長度，每個Master持247個Slave簡單清晰的協(xié)議內(nèi)容無加密與身份認證Modbus協(xié)議AdditionalAdditionaladdressFunctioncodeDataErrorcheckPDUADUModbusFrameModbus協(xié)議IPIPPacketTCPPacketProtocolID2Byte 2ByteLength2ByteUnitID1ByteFunctionCode1ByteData256orPDUPDUADUADUModbusTCPFrameModbus協(xié)議FunctionNameReadCoilsSingleMultipleCoilsReadInputRegisterSingleRead/WriteMultiple

FunctionCode0x010x050x150x040x060x23Modbus協(xié)議維基百科——Modbus所有功能碼\h/wiki/ModbusModbus協(xié)議ProtocolID Length UnitID FunctionCode DataModbus協(xié)議RS-232/RS-485RS-232/RS-485NetworkModbusTCP入侵方式工業(yè)化信息化融合推進工控組件脆弱性設備升級維護成本高安全意識薄弱

攻擊面更脆弱的系統(tǒng)更多的攻擊面

模擬環(huán)境協(xié)議分析設備識別攻擊工具/手動攻擊測試模擬環(huán)境[ModbusPal]Slave節(jié)點仿真模擬\h/網(wǎng)絡分析[Wireshark]\hhttps://www.wir\h/Modbus/S7/DNP3協(xié)議解析本地模擬攻防[mbtget]Perl腳本Modbus協(xié)議工具/sourceperl/mbtget本地模擬攻防[MetasploitFramework]auxiliary/scanner/scada/modbus_findunitidauxiliary/scanner/scada/modbusclientauxiliary/scanner/scada/modbusdetected探索發(fā)現(xiàn)目標PLC、RTU..工控設備無一幸免網(wǎng)絡空間搜索引擎黑暗“Google”探索發(fā)現(xiàn)目標[Nmap]modbus-discover.nsemodbus-enum.nse注意《NISTSP800-82》1.降低掃描速度—scan-delay=12.TCP替代UDP3.避免使用nmap4.不推薦nmap5.不要嘗試對運行中的設備進行測試探索發(fā)現(xiàn)目標[plcscan]TCP/502TCP/102端口PLC/p/plcscan探索發(fā)現(xiàn)目標[ModTest]針對Modbus分析協(xié)議、掃描、指紋識別、Fuzzing、甄別蜜罐/ameng929/ModTest探索發(fā)現(xiàn)目標[ModTest]Modbus分析協(xié)議/ameng929/ModTest探索發(fā)現(xiàn)目標[ModTest]ModbusFuzzing/ameng929/ModTest方式:針對FunctionCode針對DiagnosticsCode發(fā)現(xiàn)：90/91/99功能碼識別工控蜜罐的方式拒絕服務探索發(fā)現(xiàn)目標[ModTest]Modbus指紋識別/ameng929/ModTest識別更多的plc設備信息更邪惡的入侵方式…入侵方式[UnityXL]施耐德PLC編程軟件\h/入侵方式[UnityXL]施耐德PLC編程軟件\h/發(fā)現(xiàn)：可遠程接入設備但遠程傳輸項目失敗原因：UnityProXL版本多樣兼容性差入侵方式分析UnityProXL軟件協(xié)議、認證方式軟件使用Modbus功能碼90進行通信協(xié)議內(nèi)容無加密！入侵方式分析UnityProXL軟件協(xié)議、認證方式通過90功能碼進行身份識別與握手請求、消息同步通過ModTest測試，90功能碼協(xié)議無認證，可進行包重放入侵方式分析UnityProXL軟件協(xié)議、認證方式0x00,0x0f,0x00,0x00,0x00,0x0d,0x00,0x5a,0x00,0x20,0x00,0x14,0x00,0x64,0x00,0x00,0x00,0xf6,0x03協(xié)議中發(fā)現(xiàn)讀取PLC0x00,0x0f,0x00,0x00,0x00,0x0d,0x00,0x5a,0x00,0x20,0x00,0x14,0x00,0x64,0x00,0x00,0x00,0xf6,0x03重放請求，獲得PLC設備項目信息針對應答數(shù)據(jù)選擇針對的UnityProXL軟件V5.0 UnityXL5.0入侵方式通過針對版本的UnityProXL軟件獲取到PLC權限可查看實時數(shù)據(jù)表、修改上傳PLC程序、停止PLC執(zhí)行!!!入侵方式通過Shodan進行設備探索與入侵針對施耐德PLC編程軟件的Dorkport:502V5.0.stuV5.0——編程軟件版本號.stu——施耐德PLC程序后綴應對探索[工控蜜罐]協(xié)議仿真scapy、pymodbus/tecpal/PyModbus對讀寫PLCCoil、Register值的響應對43功能碼讀取PLC設備信息的響應對17功能碼請求從節(jié)點信息的響應對90功能碼讀取ModiconPLC信息的響應應對探索[工控蜜罐]Web管理登陸界面應對探索[工控蜜罐]其他選擇組件FTPSNMPTELNET其他工控協(xié)議應對探索[工控蜜罐]conpot/mushorg/conpot應對探索[工控蜜罐]SCADAHoneynet\h/tools/scada-honeynet/應對探索[工控蜜罐]Modhoney在PyModbus與Z-one版本上進行了改進與優(yōu)化/ameng929/Modhoney增加了對于TransactionID的識別與應答增加了對于功能碼90的識別與應答配合conpot更容易被網(wǎng)絡搜索引擎發(fā)現(xiàn)應對探索[工控蜜罐]Modhoney在PyModbus與Z-one版本上進行了改進與優(yōu)化/ameng929/Modhoney增加了對于TransactionID的識別與應答增加了對于功能碼90的識別與應答配合conpot更容易被網(wǎng)絡搜索引擎發(fā)現(xiàn)應對探索[工控蜜罐]發(fā)現(xiàn)198.20.70.114Shodan71.6.216.34Rapid719CreditSuisseGroup/CANA185.35.62.11SwitzerlandGroup12BSB-ServiceGmbHGermany09IntergeniaAGGermany38Livenetsp.zo.o.141.212.122.xxx UniversityofMichiganCollegeofEngineering蜜罐捕獲數(shù)據(jù)主要為協(xié)議掃描其中嚴重的威脅為對地址數(shù)據(jù)的改寫應對探索Shodan對于蜜罐系統(tǒng)的甄別應對探索蜜罐甄別方法RealRealHoneyHoney對于43(0x2B)功能碼中的異常數(shù)據(jù)的應答應對探索蜜罐甄別方法RealRealHoneyHoney對于01(0x01)功能碼中的異常數(shù)據(jù)的應答應對探索工控蜜罐的必要性發(fā)現(xiàn)網(wǎng)絡空間掃面引擎IP地址，攔截掃描了解掃描引擎的指紋識別方法，收集信息掌握黑客的進一步攻擊行為收集異常數(shù)據(jù)中可能的0-Day健壯蜜罐系統(tǒng)，使其更難被甄別，更好的偽裝應對探索[SnortforICS]開源入侵檢測\hhttps://www.snor\h\h/tools/quickdraw/應對探索[