按受影响对象属性分类情况分析
图 3.11 是对漏洞按受影响对象的软、硬件形态进行统计分类的结果。得到软件中的漏洞 占多数的分析结果并不意外,因为从逻辑复杂度来说,相关软件通常都比硬件更复杂,因而 更容易出问题。而且对研究者来说,获得软件作为研究对象相对容易(大部分厂商都提供软 件的测试版本下载),而获得硬件的成本则高得多。所以公开的硬件类漏洞数量一般远少于 软件类漏洞的数量。
受影响对象中软件、硬件的比例
硬件 7.4%
软件 92.6%
软件 硬件
图 3.11 漏洞所涉及对象按软硬件形态的分类分析
按漏洞的攻击途径分类情况分析
通常漏洞按攻击途径划分为以下几类:远程服务器
漏洞、远程客户端漏洞以及本地漏洞,其中:
- 远程服务器漏洞主要是指位于提供网络服务
的进程中的漏洞。攻击者可以通过网络 在另一台电脑上直接进行攻击,而无需用户进行任何操作。- 远程客户端
漏洞则几乎都是 ActiveX 控件的问题。这类漏洞需要诱使用户访问某个 恶意网页才会被触发。- 本地漏洞指的是必须登录到安装软件的计算机上才能利用的漏洞。该类漏洞因利用 条件苛刻,威胁也最小。
根据工业控制系统相关的漏洞按攻击途径的分类统计分析结果(如图 3.12、图 3.13所示) 可知:远程漏洞占绝大多数,本地漏洞很少。而在远程漏洞中,服务器漏洞又占绝大多数。
按漏洞的攻击途径分类
本地 0.9%
远程 99.1%
远程 本地
图 3.12 漏洞按攻击途径的分类分析
远程漏洞的分类
浏览器 16%
服务器 84%
服务器 浏览器
图 3.13 远程漏洞的主要分类
四工业控制系统的攻击场景研究
上述章节重点分析了工业控制系统所存在的脆弱性问题——协议的安全缺陷及相关漏 洞的情况,本章将基于一个虚构的工业控制系统环境(如图 4.1、图 4.2 所示),针对攻击者 可能利用现场无线网络或企业办公网进行渗透攻击,威胁工业控制网络的两种情况,分别介 绍一个虚构的攻击场景案例。
本章描述攻击场景案例(虚构)的目的仅是为了使读者对工业控制系统所面临的可能安 全威胁有一个直观的了解,提高大家的安全防护意识,尽早考虑其工业控制系统所面临的具 体安全风险及应对措施,做到防患于未然。
案例攻击者利用现场无线网络干扰生产的攻击场景
- 案例起因**
工厂 A 和工厂 B 正在争夺一笔巨额海外订单。这笔订单对双方都非常重要,可能直接影 响今后在业界的地位。
工厂 B 的老板悄悄找来了分管技术的副厂长,让他在厂里选两个技术最好的人,设法入 侵工厂 A 的自动化生产系统,使其无力争夺当前这笔订单。IT 部门的小王和自动化部门的小 刘被选中了。 - 案例描述**
图 4.1 给出了虚拟攻击者利用工业控制系统的现场无线网络从工厂 A 的外部逐步渗透, 最终侵入到工艺处理区网络,达到干扰公司 A 的生产控制过程,进而影响其产品质量的攻击 场景示意图。案例的虚拟入侵过程具体描述如下:
第一步:侵入无线运料小车网络
小王从小刘处了解到,工厂 A 也在使用无线运料小车,运料小车通过 802.11b 协议连接 到工艺处理区的网络。小王对无线网络比较熟悉,他认为这可能是比较容易的突破口。
通过实地察看,小王发现工厂 A 的安全保卫工作比较严密,外人并不容易混进去。而距 离围墙最近的厂房也有二十多米。小王带着笔记本电脑在围墙外尝试扫描无线网络,勉强看 到一些信号,但连接很不稳定。并且在围墙外也很容易被人发现。
攻击目标
攻 击 路 径及 步骤 攻击者** 图 4.1 案例 1:攻击者利用现场无线网络干扰工厂生产的攻击场景
于是小王带着一只 16dBi 增益的定向天线,一只大功率无线网卡,和小刘在工厂 A 附近 的一栋居民楼租了间房。这间房和最近的厂房距离大约 200 米。
小王在窗口架设好天线,指向厂房。连接好所有设备后,他运行了一个无线网络信息收 集工具。小王惊奇地发现,运料小车和无线接入点之间的通信甚至没有启用 WEP 加密——事 实上,即使启用了 WEP 这种并不安全的加密方式,也可以很快破解得到密码。
小王很轻松地将笔记本通过无线网络接入了运料小车所在的网络,然后运行网络扫描程 序,开始收集信息。
第二步:侵入工艺处理区网络,干扰生产控制设备
小刘告诉他,接入运料小车所在的工艺处理区网络后,不光可以直接访问网络中所有其 它运料小车和生产设备的 PLC,还有可能访问到 SCADA 服务器和工程师工作站等。
根据小刘提供的信息,小王对扫描结果进行分析,在其中寻找工业控制相关协议的默认 端口,很容易就识别出了几十台运料小车对应的几十个 IP 地址。因为这些运料小车都开启了 TCP/502 端口,也就是 MODBUS 协议使用的端口。
小王通过无线网络抓取了一些运料小车的控制数据,交给小刘分析,希望通过这种方法 了解运料小车的控制协议,但小刘表示这比较困难。小王注意到运料小车的 IP 上除 MODBUS 的 TCP/502 端口外,还开启了 HTTP 服务。他用浏览器访问小车的 HTTP 服务,发现这是运 料小车的管理界面,在这个界面上可以找到厂商、型号等信息。
小刘告诉小王,工业控制系统一般都是集成化的,从运料小车上看到的厂商信息,可能 就是工厂 A 的整套工业控制系统提供商。于是小刘以工厂 B 技术人员的身份,很容易从这家 提供商处索取到了相关文档和试用软件等资料。
利用这些资料,再结合对网络的扫描结果,小王和小刘不但很快摸清了这套工业控制网 络的结构,还知道了如何控制运料小车——他们甚至不需要分析控制协议,直接用从厂家索 取的软件就行了。
小王提出,可以通过控制运料小车,使其改变装料、卸料等时间,让工厂 A 无法生产出 合格的产品。但小刘提醒他说,小车的异常动作可能很容易被发现,从而引起怀疑和追查。
小刘看了小王的扫描结果,参考之前从工厂 A 的控制系统提供商处索取的资料,发现工 艺处理区的网络里还有一些 IP 地址对应的是生产设备的温度控制器。于是他提出,可以一方 面接管对温度控制器的控制,发送伪造的控制命令,使工艺温度略微提高一些,导致产品质 量下降;同时给 SCADA 服务器发送伪造的传感器数据,使 SCADA 服务器认为设备温度仍然 是正常的。这样,即使工厂 A 发现了产品存在问题,也很难找到原因。
小王研究了一会儿,认为这个方案在技术上可行。
攻击持续数日后,果然传出了工厂 A 产品质量出现问题,并找不到原因的消息。还听说 他们找来工业控制系统提供商的技术人员帮忙。于是小王停止了攻击,和小刘悄悄离开了那 栋居民楼。 - 案例结果**
最终,那笔海外订单被工厂 B 获得了,而工厂 A 的生产线也恢复了正常。他们一直不知 道为什么会在那个关键时刻出现问题。曾怀疑是内部有人捣鬼,但察看了监控录像,并没有 发现任何异常。
328
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
