工控安全入门分析.docx

工控安全入门分析.docx

《工控安全入门分析.docx》由会员分享，可在线阅读，更多相关《工控安全入门分析.docx（12页珍藏版）》请在冰豆网上搜索。

工控安全入门分析

工控安全入门分析

————————————————————————————————作者:

————————————————————————————————日期：

ﻩ

０x00写在前面

工业4．0，物联网趋势化，工控安全实战化。

安全从业保持敏感，本篇以科普角度对工控安全做入门分析,大牛绕过,不喜轻喷。

0ｘ01专业术语

SCAＤA：

数据采集与监视控制系统

ICS：

工业控制系统

DＣS：

分布式控制系统／集散控制系统

PCS：

过程控制系统

ESD:

应急停车系统

PLC：

可编程序控制器（PｒogｒａｍmableＬｏｇic　Coｎtroｌleｒ）

ＲTU:

远程终端控制系统

IED:

智能监测单元

HMI:

人机界面（ＨuｍanMacｈiｎｅＩnｔerｆacｅ）

MＩS:

管理信息系统（ManａgementＩｎfoｒmation　Ｓystem）

ＳＩS：

生产过程自动化监控和管理系统（Ｓｕpervisorｙ Ｉnｆormaｔioｎ System）

MＥS:

制造执行管理系统

0ｘ02协议端口及测试脚本

∙协议科普

oModｂus

MODBUS协议定义了一个与基础通信层无关的简单协议数据单元（ＰDU）。

特定总线或网络上的MODBUS协议映射能够在应用数据单元（ADＵ）上引入一些附加域。

安全问题：

▪缺乏认证：

仅需要使用一个合法的Ｍodbus地址和合法的功能码即可以建立一个Modbｕs会话

▪缺乏授权:

没有基于角色的访问控制机制，任意用户可以执行任意的功能。

▪缺乏加密：

地址和命令明文传输，可以很容易地捕获和解析

oＰＲOFＩBUS

一种用于工厂自动化车间级监控和现场设备层数据通信与控制的现场总线技术,可实现现场设备层到车间级监控的分散式数字控制和现场通信网络

oDNP3

DNP（DistribｕｔedNetworkProtocoｌ,分布式网络协议）是一种应用于自动化组件之间的通讯协议,常见于电力、水处理等行业。

简化OSＩ模型,只包含了物理层，数据层与应用层的体系结构（ＥＰＡ）。

SＣAＤA可以使用ＤNP协议与主站、RTU、及IＥD进行通讯。

oICCP

电力控制中心通讯协议。

oOPC

过程控制的OＬE（OLＥｆorProcesｓＣontrol）。

ＯPC包括一整套接口、属性和方法的标准集，用于过程控制和制造业自动化系统。

oBACnet

楼宇自动控制网络数据通讯协议（ADaｔａ　CommunicａtionPｒotocol　fｏrＢuildｉngAutomationａndControlNｅtwｏｒkｓ）。

BACnet协议是为计算机控制采暖、制冷、空调HVＡC系统和其他建筑物设备系统定义服务和协议

oCIP

通用工业协议，被devicｅNｅt、ContrｏＩＮet、ＥtｈerNet/IP三种网络所采用。

oSieｍｅnsS7

属于第7层的协议，用于西门子设备之间进行交换数据，通过ＴSAＰ,可加载MPI,DP,以太网等不同物理结构总线或网络上，ＰLＣ一般可以通过封装好的通讯功能块实现。

o其他工控协议

IEC　60８70-５-104、EtherNet/IP、TriｄiumNiagaｒaＦoｘ、CｒｉｍsonV３、ＯMＲON　FINS、PCWorx、ＰroConOｓ、MELSEC-Q。

按需求自行查阅资料。

∙信息探测

o协议测试脚本

PS:

简要测试，大量脚本自行测试。

o相关搜索引擎

Sｈoｄaｎ搜索

PＳ：

Shｏｄａn搜索引擎介绍 

Zｏomeye搜索

PS：

敏感信息,你懂得。

oEtheｒｎet/IP44818

nmａｐ　-p４4818-－ｓcriｐtenｉｐ-enuｍerate.nse85．132.1７９.*

oＭｏｄbus502

nmap--ｓcripｔ　modicon-inｆo.nｓe-Ｐn　-p　502-sＶ91.８3.43.*

oIEC6１８70-5-10１/1０4２４04

ｎmａp-Pn-n-d--scriｐtiec-idenｔifｙ.nse－-script－argｓ=ｉec-iｄenｔify　-p2４0４80.３4.２53.*

oSiemeｎｓS7102

nmaｐ-ｐ　102－-scriｐtｓ7－eｎumerate-sV１40.２0７．1５２.*

nmap-d--ｓcriｐt　ｍms-identify.nsｅ-－sｃripｔ－args='ｍms-identify.ｔiｍeouｔ=500＇-ｐ　1０2　IP

oTrｉｄｉumNiagａｒａ　Ｆox1９1１

nmaｐ-p1911－-scriｐtfｏｘ-infｏ99．55.238.*

o意义何在

上述ＮSＥ脚本意义:

1.定位工控系统及协议模块。

2.收集目标工控的信息,如版本、内网IP、模块、硬件信息等。

3.结合对应的NSＥ脚本进一步拓展，例如自定义空间搜素引擎。

∙脚本资源

oGｉｔhub测试脚本

oExpｌｏiｔ-db测试脚本

0ｘ03乌云工控漏洞的分析

∙工控相关漏洞分析

针对乌云主站的漏洞进行关键字搜索：

工控（３1）、ＳCADA（15）、Ｍoｄbｕｓ（9）、PＬC并进一步整合得到如下列表。

在以上的漏洞列表中,可以得出如下结论:

1.乌云工控漏洞的案例中,绝大多起因是弱口令（弱口令最多的是12345６,其次是aｄｍin）、注入类漏洞。

2.能够挖出工控的精华漏洞的人也是特定的那几位，且在Kcｏn2０15也有过演讲。

3.挖掘此类漏洞主要解决两个问题

1.如何找到工控相关的系统和地址

2.Getshelｌ后,基于工控知识如何操控系统

4.根据漏洞中的细节可以进一步的复测和拓展，进而为工控系统的漏洞挖掘提供非线性思路。

1.结合GHＤB关键字的搜素：

例如ｉnｕrｌ：

ＳＣADＡ……

2.链接地址含SCＡDA、Moｄｂｕs等协议的关键字……

3.其他KEY：

MIＳ、ＳIS、ＤCS、PLC、ICS、监控系统……

4.相关公司:

南京科远、金风科技、天能集团、国电南瑞、华润燃气、积成电子、重庆三峰、东方电子……

5.至于利用以上四点去做什么,呵呵…

∙工控精华漏洞分析

乌云工控相关的精华漏洞如下7个,在思路亮点中分析了漏洞的核心,同样也可能是获得打雷精华的理由。

几乎共同点均是操控了对应的工控系统。

0ｘ04参考资源

∙工控专题

oZoｏmEye工控专题:

oＳｈodan工控专题：

∙牛人分享

oZ－０ｎe专注于工控安全攻防技术研究：

o网络空间工控设备的发现与入侵：

o工控安全攻防演练场景实现分享（轨道交通）:

o工业网络渗透，直击工控安全的罩门（zph，暂无资料）

o工控系统安全威胁与应对探索（Kimon）

oExｐloiｔPLC　onｔｈeiｎｔerｎeｔ（Z-0ne）：

∙其他参考

oGoogle　＆bａｉｄu

o协议安全分析专业公司——科诺康:

oMoｄbｕs通讯协议学习　-认识篇: