《工業(yè)控制系統(tǒng)信息安全》課件-第十一節(jié) 工業(yè)控制系統(tǒng)安全控制：漏掃與靶場 - p3

11.3漏洞分析上位機(jī)常見安全問題針對上位機(jī)環(huán)境開發(fā)語言多為C/C++，下面我們對使用C/C++開發(fā)的上位機(jī)系統(tǒng)環(huán)境的常見漏洞從源頭進(jìn)行分析。（1）緩沖區(qū)溢出漏洞緩沖區(qū)溢出漏洞一般是在程序編寫的時候不進(jìn)行邊界檢查，超長數(shù)據(jù)可以導(dǎo)致程序的緩沖區(qū)邊界被覆蓋，通過精心布置惡意代碼在某一個瞬間獲得EIP的控制權(quán)并讓惡意代碼獲得可執(zhí)行的時機(jī)和權(quán)限。（2）字符串溢出漏洞字符串存在于各種命令行參數(shù)，在上位機(jī)系統(tǒng)和系統(tǒng)使用者的交互使用過程中會存在輸入的行為。XML在上位機(jī)系統(tǒng)中的廣泛應(yīng)用也使得字符串形式的輸入交互變的更為廣泛。字符串管理和字符串操作的失誤已經(jīng)在實際應(yīng)用過程中產(chǎn)生大量的漏洞，差異錯誤、空結(jié)尾錯誤、字符串截斷和無邊界檢查字符串復(fù)制是字符串常見的4中錯誤。11.3漏洞分析上位機(jī)常見安全問題針對上微機(jī)環(huán)境開發(fā)語言多為C/C++，下面我們對使用C/C++開發(fā)的上位機(jī)系統(tǒng)環(huán)境的常見漏洞從源頭進(jìn)行分析。緩沖區(qū)溢出漏洞字符串溢出漏洞指針相關(guān)漏洞內(nèi)存管理錯誤引發(fā)漏洞整數(shù)溢出漏洞11.3漏洞分析上位機(jī)組件ActiveX控件漏洞分析ActiveX于1996年推向市場。由于支持將原生的Windows技術(shù)嵌入至網(wǎng)頁瀏覽器，ActiveX的發(fā)展很快得到了很多企業(yè)的響應(yīng)。在ActiveX控件當(dāng)中上位機(jī)系統(tǒng)開發(fā)人員往往封裝了很多功能強(qiáng)大的接口攻擊者可以寫一段網(wǎng)頁代碼取調(diào)用別的軟件的ActiveX控件達(dá)到遠(yuǎn)程操作注冊表文件的效果上位機(jī)系統(tǒng)中有很多大量的遠(yuǎn)程交互操作，這些大都是通過ActiveX控件實現(xiàn)的。11.3漏洞分析上位機(jī)組件ActiveX控件漏洞分析使用下列ActiveX漏洞挖掘流程對上位機(jī)ActiveX模塊進(jìn)行漏洞挖掘測試。步驟1：獲取ActiveX空間信息步驟2：判定ActiveX控件是否設(shè)置KillBit步驟3：判定ActiveX控件是否標(biāo)記腳本安全步驟4：挖掘ActiveX模塊的漏洞11.3漏洞分析上位機(jī)組件服務(wù)類漏洞分析服務(wù)的權(quán)限類漏洞可以認(rèn)為是訪問控制缺陷11.3漏洞分析下位機(jī)常見安全問題下位機(jī)暴露在互聯(lián)網(wǎng)中會帶來許多安全隱患。（1）未授權(quán)訪問未授權(quán)訪問指未經(jīng)授權(quán)使用網(wǎng)絡(luò)資源或以未授權(quán)的方式使用網(wǎng)絡(luò)資源，主要包括非法用戶進(jìn)入網(wǎng)絡(luò)或系統(tǒng)進(jìn)行違法操作以及合法用戶以未授權(quán)的方式進(jìn)行操作。（2）通信協(xié)議的脆弱性不僅僅是Modbus協(xié)議，像IEC60870-5-104、Profinet這類主流控制協(xié)議都存在一些常見的安全問題，這些協(xié)議的設(shè)計為了追求實用性和有效性，犧牲了很多安全性。這類脆弱性導(dǎo)致了很多下位機(jī)漏洞的產(chǎn)生。這類通信協(xié)議類的主要漏洞包括明文密碼傳輸漏洞、通信會話無復(fù)雜驗證機(jī)制導(dǎo)致的偽造數(shù)據(jù)攻擊漏洞、通信協(xié)議處理進(jìn)程設(shè)計錯誤導(dǎo)致的溢出漏洞等。11.3漏洞分析下位機(jī)常見安全問題（3）Web用戶借口漏洞為了便于用戶管理，目前越來越多下位機(jī)配置了Web人機(jī)用戶接口，但方便的同時也帶來了眾多的Web安全漏洞。這些漏洞包括命令注入、代碼注入、任意文件上傳、越權(quán)訪問、跨站腳本等。（4）后門賬號有些下位機(jī)設(shè)備硬編碼系統(tǒng)中存在隱蔽賬號的特殊訪問命令，工控后門就是特指開發(fā)者在系統(tǒng)開發(fā)時有意在工控系統(tǒng)代碼中設(shè)計的隱蔽賬戶或特殊指令。通過隱蔽的后門，設(shè)計者可以以高權(quán)限的角色進(jìn)行設(shè)備間訪問或操作。工控后門對工控網(wǎng)絡(luò)造成巨大的威脅。攻擊者可以利用它來進(jìn)行病毒攻擊、惡意操控設(shè)備等。11.3漏洞分析上下位機(jī)典型漏洞分析常見挖掘方法一般來說都是用dll劫持檢查工具生成一個測試dll，測試dll里面包含一段特定的標(biāo)記代碼，通過將該測試dll置于不同的路徑，重啟目標(biāo)進(jìn)程后檢測特定的標(biāo)記代碼是否執(zhí)行來檢測目標(biāo)軟件是否存在dll劫持漏洞。11.3漏洞分析下位機(jī)典型漏洞分析下位機(jī)的漏洞很多在控制設(shè)備的固件或者硬件芯片之上。VxWorks是世界上使用最廣泛的一種在嵌入式系統(tǒng)中部署的實時操作系統(tǒng)對VxWorks的一些網(wǎng)絡(luò)協(xié)議（RPC(remoteprocedurecall)、FTP、TFTP、NTP等）可以通過Sulley進(jìn)行模糊測試，對于沒有可用的精確崩潰檢測的問題，可以使用WDBRPC作為解決方案。11.4工控網(wǎng)絡(luò)設(shè)備漏洞分析已知的工控網(wǎng)絡(luò)設(shè)備的很多安全問題大多數(shù)都發(fā)生在這些設(shè)備的Shell及對外提供的Web、SNMP、Telnet等服務(wù)上，其中，常見Web服務(wù)安全問題如下所示。（1）SQL注入漏洞SQL注入漏洞是由于Web應(yīng)用程序沒有對用戶輸入數(shù)據(jù)的合法性進(jìn)行判斷，攻擊者通過Web頁面的輸入?yún)^(qū)域（如URL、表單等），用精心構(gòu)造的SQL語句插入特殊字符和指令，通過與數(shù)據(jù)庫交互獲得私密信息或者篡改數(shù)據(jù)庫信息。SQL注入攻擊在Web攻擊中非常流行，攻擊者可以利用SQL注入漏洞獲得管理員權(quán)限，在網(wǎng)頁上加掛木馬和各種惡意程序，盜取企業(yè)和用戶敏感信息。（1）SQL注入漏洞/userinfo.php?id=1訪問服務(wù)select*fromuserswheeid=

$_GET['id'];

/userinfo.php?id=-1

unionselectdatabase(）select*fromuserswhereid=-1unionselectdatabase()在確定存在SQL注入漏洞的情況下，通過手工或者工具的方式，將數(shù)據(jù)庫中的敏感信息dump出來，或者利用數(shù)據(jù)庫的特定獲取系統(tǒng)的權(quán)限。通過簡單的測試，測試這個參數(shù)存在SQL注入利用的可能，存在SQL注入漏洞11.4工控網(wǎng)絡(luò)設(shè)備漏洞分析11.4工控網(wǎng)絡(luò)設(shè)備漏洞分析（2）跨站腳本漏洞跨站腳本漏洞是因為Web應(yīng)用程序沒有對用戶提交的語句和變量進(jìn)行過濾或限制，攻擊者通過Web頁面的輸入?yún)^(qū)域向數(shù)據(jù)庫或HTML頁面中提交惡意代碼，當(dāng)用戶打開有惡意代碼的鏈接或頁面時，惡意代碼通過瀏覽器自動執(zhí)行，從而達(dá)到攻擊的目的。跨站腳本漏洞危害很大，尤其是目前被廣泛使用的網(wǎng)絡(luò)銀行，通過跨站腳本漏洞攻擊者可以冒充受害者訪問用戶重要賬戶，盜竊企業(yè)重要信息?？缯灸_本攻擊的危害包括竊取Cookie、放蠕蟲、網(wǎng)站釣魚等?？缯灸_本攻擊的分類主要有存儲型XSS、反射型XSS、DOM型XSS等。西門子SCALANCEX-300系列交換機(jī)中存在一個存儲型跨站腳本漏洞。XSS（跨站腳本攻擊），它指的是惡意攻擊者往Web頁面里插入惡意腳本代碼，而程序?qū)τ谟脩糨斎雰?nèi)容未過濾，當(dāng)用戶瀏覽該頁面時，嵌入Web里面的腳本代碼會被執(zhí)行，從而達(dá)到惡意攻擊用戶的特殊目的。（2）跨站腳本漏洞反射型具體原理就是當(dāng)用戶提交一段代碼的時候，服務(wù)端會馬上返回頁面的執(zhí)行結(jié)果。那么當(dāng)攻擊者讓被攻擊者提交一個偽裝好的帶有惡意代碼的鏈接時，服務(wù)端也會立刻處理這段惡意代碼，并返回執(zhí)行結(jié)果。通過在鏈接上添加js動態(tài)腳本來達(dá)到攻擊的目的。存儲型當(dāng)攻擊者提交一段惡意腳本作為內(nèi)容時，并且服務(wù)端不加過濾的話，這段惡意腳本會持久的存在在這個頁面上，從而使每個訪問這個頁面的用戶都會執(zhí)行這段惡意代碼。DOM的XSS這種XSS攻擊方式基于DOM的XSS則是在鏈接上添加一個帶參數(shù)的DOM元素，將要執(zhí)行的腳本語句寫入這個DOM的特定事件中，通過觸發(fā)事件來達(dá)到執(zhí)行這段腳本語句的目的。目前主流過濾XSS的三種技術(shù)過濾，就是將提交上來的數(shù)據(jù)中的敏感詞匯直接過濾掉。例如對"<script>"、"<a>"、"<img>"等標(biāo)簽進(jìn)行過濾，有的是直接刪除這類標(biāo)簽中的內(nèi)容，有的是過濾掉之類標(biāo)簽中的on事件或是'javascript'等字符串，讓他們達(dá)不到預(yù)期的DOM效果。編碼，像一些常見的字符，如“<”、“>”等。對這些字符進(jìn)行轉(zhuǎn)換編碼或者轉(zhuǎn)義，讓他們不直接出現(xiàn)在腳本中，從而使瀏覽器不會去執(zhí)行這段腳本。編碼有，有URL編碼，unicode編碼，HTML編碼等。限制，構(gòu)造一個攻擊鏈接往往需要較長的字符串。對提交上來的數(shù)據(jù)長度做一個限制，這樣就能解決一個即使真的存在一個XSS漏洞。11.4工控網(wǎng)絡(luò)設(shè)備漏洞分析已知的工控網(wǎng)絡(luò)設(shè)備的很多安全問題大多數(shù)都發(fā)生在這些設(shè)備的Shell及對外提供的Web、SNMP、Telnet等服務(wù)上，其中，常見Web服務(wù)安全問題如下所示。（3）文件包含漏洞文件包含漏洞是指攻擊者向Web服務(wù)器發(fā)送請求時，在URL添加非法參數(shù)，Web服務(wù)器端程序變量過濾不嚴(yán)，把非法的文件名作為參數(shù)處理。這些非法的文件名可以是服務(wù)器本地的某個文件，也可以是遠(yuǎn)端的某個惡意文件。由于這種漏洞是由PHP變量過濾不嚴(yán)導(dǎo)致的，所以只有基于PHP開發(fā)的Web應(yīng)用程序才有可能存在文件包含漏洞。11.4工控網(wǎng)絡(luò)設(shè)備漏洞分析已知的工控網(wǎng)絡(luò)設(shè)備的很多安全問題大多數(shù)都發(fā)生在這些設(shè)備的Shell及對外提供的Web、SNMP、Telnet等服務(wù)上，其中，常見Web服務(wù)安全問題如下所示。（4）命令執(zhí)行漏洞命令執(zhí)行漏洞是指通過URL發(fā)起請求，在Web服務(wù)器端執(zhí)行未授權(quán)的命令，獲取系統(tǒng)信息，篡改系統(tǒng)配置，控制整個系統(tǒng)，使系統(tǒng)癱瘓等。命令執(zhí)行漏洞主要有兩種情況：通過目錄遍歷漏洞，訪問系統(tǒng)文件夾，執(zhí)行指定的系統(tǒng)命令。攻擊者提交特殊的字符或者命令，Web程序沒有進(jìn)行檢測或者繞過Web應(yīng)用程序過濾，把用戶提交的請求作為指令進(jìn)行解析，導(dǎo)致執(zhí)行任意命令。11.4工控網(wǎng)絡(luò)設(shè)備漏洞分析已知的工控網(wǎng)絡(luò)設(shè)備的很多安全問題大多數(shù)都發(fā)生在這些設(shè)備的Shell及對外提供的Web、SNMP、Telnet等服務(wù)上，其中，常見Web服務(wù)安全問題如下所示。（5）信息泄露漏洞信息泄露漏洞是由于Web服務(wù)器或者應(yīng)用程序沒有正確處理一些特殊請求，泄露Web服務(wù)器的一些敏感信息，如用戶名、密碼、源代碼、服務(wù)器信息、配置信息等。造成信息泄露主要有以下3種原因：Web服務(wù)器配置存在問題，導(dǎo)致一些系統(tǒng)文件或者配置文件暴露在互聯(lián)網(wǎng)中。Web服務(wù)器本身存在漏洞，在瀏覽器中輸入一些特殊的字符，可以訪問未授權(quán)的文件或者動態(tài)腳本文件源碼。Web網(wǎng)站的程序編寫存在問題，對用戶提交請求沒有進(jìn)行適當(dāng)?shù)倪^濾，直接使用用戶提交上來的數(shù)據(jù)。11.5靶場網(wǎng)絡(luò)空間靶場是用于網(wǎng)絡(luò)戰(zhàn)爭培訓(xùn)和網(wǎng)絡(luò)技術(shù)開發(fā)的虛擬環(huán)境，并可提供用于加強(qiáng)政府和軍事機(jī)構(gòu)使用的網(wǎng)絡(luò)基礎(chǔ)設(shè)施和計算機(jī)系統(tǒng)穩(wěn)定性、安全性以及性能的工具。網(wǎng)絡(luò)空間靶場涉及大規(guī)模網(wǎng)絡(luò)仿真、網(wǎng)絡(luò)流量/服務(wù)與用戶行為模擬、試驗數(shù)據(jù)采集與評估、系統(tǒng)安全與管理等多項復(fù)雜的理論和技術(shù)，是一個復(fù)雜的綜合系統(tǒng)。11.5靶場網(wǎng)絡(luò)空間靶場的特點主要包括仿真性、廣泛性、自動化以及綜合性。網(wǎng)絡(luò)空間靶場具有仿真性的特點。建成的網(wǎng)絡(luò)靶場盡可能貼近實際環(huán)境，尤其是對于重要信息系統(tǒng)和大型關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)系統(tǒng)。網(wǎng)絡(luò)空間靶場具有廣泛性的特點。網(wǎng)絡(luò)安全涉及軍事、政府、工業(yè)等多個領(lǐng)域，包括能源、金融、石油、交通、航空、電信等多個掌握國家命脈的行業(yè)。網(wǎng)絡(luò)空間靶場需要兼顧不同領(lǐng)域間的差異，盡可能保證整個平臺的通用性。網(wǎng)絡(luò)空間靶場針對不同的試驗?zāi)康模梢酝ㄟ^管理控制軟件對硬件資源進(jìn)行調(diào)度，實現(xiàn)不同的試驗場景。網(wǎng)絡(luò)空間靶場的一個重要特性是自動化?？梢酝ㄟ^較小的改變實現(xiàn)對測試環(huán)境的改變?？梢阅M網(wǎng)絡(luò)的多樣性，并在不同加密層級同時處理多個對象。網(wǎng)絡(luò)空間靶場具有綜合性的特點。網(wǎng)絡(luò)空間靶場可以建立專門的試驗平臺對信息系統(tǒng)安全性進(jìn)行驗證，并與國家安全機(jī)構(gòu)、工業(yè)控制部門共享研究數(shù)據(jù)，整個平臺應(yīng)該具有互連性，方便數(shù)據(jù)的傳輸和共享。11.5靶場大規(guī)模網(wǎng)絡(luò)仿真包括模型模擬和虛擬化兩種方法。在模型模擬方面,有基于并行離散事件的網(wǎng)絡(luò)模擬器。虛擬化為基礎(chǔ)的網(wǎng)絡(luò)空間仿真，又分為節(jié)點虛擬化和鏈路虛擬化兩方面。在節(jié)點虛擬化方面,有作為云計算平臺中最具代表性的Openstack和在輕量級的節(jié)點虛擬化方面最具有代表性的是docker，這是一種基于linuxcontainer(LXC)的技術(shù)。在鏈路虛擬化方面,有作為網(wǎng)絡(luò)仿真平臺的代表Emulab，通過協(xié)議棧的方式攔截數(shù)據(jù)包,并通過一個或多個管道模擬帶寬、傳播時延、丟包率等鏈路特性,具有較高宿主機(jī)內(nèi)部的鏈路仿真逼真度。11.5靶場網(wǎng)絡(luò)流量/