如何入门工控漏洞挖掘

工控安全研究的现状

首先工控安全研究的主要动力是国家和工控厂商，国家非常关注这块的安全，因为这个是关乎民生经济的大事。国内的工控厂商相比国外来说对安全这块不是很重视，大多是为了过个等保。大家可以搜索下“工控安全”，跑出来大多数各种安全设备部署的方案，而很少有从“攻击”的角度去研究工控系统是否安全。国内愿意分享工控漏洞挖掘技术少之又少，即使分享出来的，大多数都是“边角料”，这就导致普通人想从事工控漏洞挖掘的门槛相对较高。
所以想要快速入门工控漏洞挖掘的同学与其等着所谓的大佬分享技术，不如化被动为主动，经常关注下国外的工控安全研究团队。重点关注这些团队披露出的漏洞分析思路，都是可以借鉴的，下到简单的明文传输，上到复杂的RCE，应有尽有。
思科的talos：
https://talosintelligence.com/vulnerability_reports
claroty 团队
https://www.claroty.com/blog/
美国的ICS CERT
https://www.cisa.gov/uscert/ics/advisories
空客：
https://airbus-cyber-security.com/blog/
Armis：
https://www.armis.com/blog

工控漏挖的特殊性

1.OT系统与IT系统的漏洞挖掘有着明显的不同，OT系统的可用性是排在第一位的，所以，远程的拒绝服务漏洞对于工控系统来说是致命的，漏洞评分相对较高。
2.OT系统封闭性相对较高，设备相对昂贵，小到几百，大到几百万，同时OT系统的软件在厂商官方网站往往下载不到。只能联系经销商获取。
3.工控控制类设备往往跑的是RTOS（Vxworks，SMX，GHS，ADONIS。。。），这些系统研究资料非常少。一般只能使用PCB的硬件调试口进行调试。在上面进行RCE相对困难，当然不是没可能，只是难度较高。

基础知识

从安全转过来的其实不用了解太多的专业知识。重点了解控制器的一些编程语言以及基础的工控协议。

 

选择挖掘的厂商和目标

对一个新人来说，刚开始入门工控漏洞挖掘最开始不要选择国外如西门子，GE这些大厂，这些安全性相对较高，盲目上手容易打击信心。可以从国内厂商开始入手，挖掘漏洞产出相对较高，等熟悉之后可以开始尝试国外大厂。

 挖掘哪些漏洞：
软件类比设备类相对好获取，可以下载试用版进行使用。而设备可能相对昂贵。
有预算的时候可以进行购买研究。

 

无论是设备上还是软件上，FUZZ是挖掘漏洞非常好的方法，推荐我常用的fuzz工具：
https://github.com/jtpereyda/boofuzz
https://talosintelligence.com/mutiny_fuzzer
通过这些工具可以让脆弱的工控设备、工控软件在几分钟进入crash状态。

工控固件分析

分析工控设备固件不仅能够发现一些敏感信息（后门，私钥），也可以进一步帮助我们理解协议的实现，增加模糊工具的覆盖率。

漏洞赏金

事实上，即使是最大的工控厂商西门子也没有相关的奖励计划（估计也是这方面人研究比较少的原因^_^）。挖工控漏洞基本靠情怀，无所不pwn的极客精神以及敢于挑战的决心。可能最后只能尴尬地吹个牛，说挖出漏洞影响很多国内外关键的基础设施以此自我安慰XDDDD