《工业互联网安全测试技术》课件- 10 PLC攻击事例流程、PLC外网渗透测试方法

工业互联网安全测试技术《工业互联网安全测试技术》课程组

IndustrialInternetSecurityTestingTechnologyGYHLWAQCSJS-010PLC攻击事例流程、PLC外网渗透测试方法第2章工控操作系统安全测试目录02PLC攻击路径实例展示01PLC攻击事例流程03PLC攻击实例04PLC外网渗透测试方法0101PLC攻击事例流程01PLC攻击事例流程(1)什么是PLC1969年，美国数据设备公司(DEC)研制出世界上第一台可编程控制器，主要用于顺序控制，只能进行逻辑运算，故称为可编程逻辑控制器，简称PLC。可编程逻辑控制器是种专门为在工业环境下应用而设计的数字运算操作电子系统。01PLC攻击事例流程(2)分类PLC的分类标准包括：按结构形式分类（整体式、模块式、单板式），按功能分类（低档机、中档机、高档机）以及按I／O点数和程序容量分类01PLC攻击事例流程(3)PLC系统结构01PLC攻击事例流程(4)PLC基本原理由于输入刷新阶段是紧接输出刷新阶段后马上进行的，所以亦将这两个阶段统称为I／O刷新阶段。实际上，除了执行程序和I／O刷新外，PLC还要进行各种错误检测(自诊断功能)并与编程工具通讯，这些操作统称为“监视服务”。扫描周期的长短主要取决于程序的长短。由于每一个扫描周期只进行一次I／0刷新，故使系统存在输入、输出滞后现象。01PLC攻击事例流程(5)黑客攻击手法网络黑客的主要攻击手法有：获取口令放置木马web欺骗技术电子邮件攻击通过一个节点攻击另一节点网络监听寻找系统漏洞利用缓冲区溢出窃取特权01PLC攻击事例流程(6)网络攻击过程&目的网络攻击过程一般可以分为本地入侵和远程入侵。攻击的一般过程：准备阶段、实施阶段、善后阶段。常见的攻击目的有破坏型和入侵型两种。0202PLC攻击路径实例展示02PLC攻击路径实例展示常用PLC的操作系统，如图所示：(1)通过嵌入式系统漏洞实施攻击02PLC攻击路径实例展示SimaticPLC运行在x86Linux系统之上，那就意味着如果插入一段载荷，就可以对shell进行爆破并连接到该设备。尤其需要注意的是PLC上运行的所有程序都是以root权限运行的，一旦被攻击者攻入，后果非常严重。(1)通过嵌入式系统漏洞实施攻击02PLC攻击路径实例展示(2)通过PLC通信协议漏洞实施攻击由于PLC通信协议是明文传输，而且对于通信对象没有认证过程。因此攻击者可以利用CoDeSys系统，直接和PLC进行连接，捕获两者之间的通信的数据包，然后直接给PLC发送篡改后的控制指令，达到任意启停PLC的操作。02PLC攻击路径实例展示(3)通过PLC互连实施攻击02PLC攻击路径实例展示(3)通过PLC互连实施攻击蠕虫感染PLC过程蠕虫恶意代码执行过程0303PLC攻击实例03PLC攻击实例在本次实验中，我们采用三台设备，一台kali作为扫描主机，一台Ubuntu系统作为攻击主机，以及一台Windows版本的系统运行西门子S7作为目标。在Windows系统上运行西门子S7指纹访问软件进行攻击。步骤1：03PLC攻击实例步骤2：进入kali系统桌面中，启动nmap扫描。针对网段内102端口的地址进行检测，命令如下。如下图：nmap-p102-n/24--open03PLC攻击实例步骤3：扫描出来PLC之后，验证一下该IP是否是PLC。点击VNC界面下方的S7协议仿真工控组件，进入VNC界面查验。03PLC攻击实例步骤4：查验的PLC界面03PLC攻击实例步骤5：根据扫描出来的PLC的IP地址和已知的PLC漏洞信息，进行攻击PLC。本节使用的python脚本地址：/dark-lbp/isfISF是类似于metasploit的基于python的工控漏洞利用框架。这是工业控制资深人士的研究成果。在下图中可以大致看一下Exploit模块，其中包含一些具有高度通用性的工业控制协议的漏洞利用模块。03PLC攻击实例步骤6：进入Ubuntu系统中，打开终端窗口，进入到下载的isf文件夹当中，输入pythonisf.py，输入设置s7_300_400_plc_control模块，发现只需要设置目标IP即可开始攻击03PLC攻击实例步骤7：可以看到PLC的日志显示，有客户端连接到了PLCServer上，并执行了Stop指令。03PLC攻击实例步骤8：查看连接到该台Server的Client现在的状态，已经是Stop的状态。0404PLC外网渗透测试方法04PLC外网渗透测试方法(1)信息收集工具从外网渗透测试PLC时，我们需要借助信息收集、安全分析、安全测试、漏洞利用等工具进行实现。Shodan，是一个主机、联网设备搜索引擎，利用Shodan使用特定的语法即可搜索出海量的物联网设备、摄像头、路由器、打印机、SCADA系统、PLC等。04PLC外网渗透测试方法(1)信息收集工具Shodan于2013年借鉴Digitalbond开发的工控设备识别开源项目Redpoint发布的多个PLC和SCADA系统的指纹特征，从而增加了针对工控协议的探测，用户可以直接使用工控协议的端口直接检索该协议的所有数据.至今Shodan已经支持了如右表超过30种工控协议的扫描和识别。04PLC外网渗透测试方法(1)信息收集工具Shodan搜索中国所有西门子PLC，命令为：port:102country:CN。如左图所示；搜索中国所有标题包含SCADA的Web命令为：port:80title:SCADAcountry:CN。如右图所示：04PLC外网渗透测试方法(2)安全分析工具Wireshark工具可以捕捉网络通信的原始数据包，并为用户提供关于网络和上层协议的各种信息。是学习和了解工控通信协议，甚至是进行工控私有协议逆向时必需的必备工具。04PLC外网渗透测试方法(2)安全分析工具Wireshark界面：04PLC外网渗透测试方法(2)安全分析工具使用Wireshark抓取并分析Modbus协议(左图)，使用Wireshark抓取并分析西门子PLC的S7协议(右图)。04PLC外网渗透测试方法(3)安全测试工具Nessus，曾经是一款开源的是一款漏洞扫描软件，该工具已经有超过10年的历史了，该软件从2005年开始有了双重发行，并仅对非商业目的的使用是免费的。但工具已经不再是免费的了，并且从3.0版开始，并不再开源。为了适应Nessus的商业化和开源代码的不开源化，开发了开放式漏洞评估系统(OpenVulnerabilityAssessmentSystemOpenVAS)04PLC外网渗透测试方法(3)安全测试工具Nessus/OpenVAS可以有效帮助我们在工控安全的渗透与检查评估过程中，评估检查系统漏洞，Nessus提供了多种漏洞扫描策略，通常推荐使用“BasicNetworkScan”，进行漏洞扫描。04PLC外网渗透测试方法(3)安全测试工具对于Nessus/OpenVAS扫描发现的漏洞，可以留意“ExploitableWith”该漏洞是否可利用。04PLC外网渗透测试方法(4)漏洞利用工具MetasploitFramework，MetasploitFramework是一个编写，测试和使用exploit代码的完善环境。同时作为一个缓冲区溢出测试使用的辅助工具，也可以说是一个漏洞利用和测试平台。04PLC外网渗透测试方法(4)漏洞利用工具进入MSF的交互界面可以通过命令（search“scada”）可列出所有SCADA相关的漏洞利用和测试插件，也可搜索对应软件是否存在可利用的插件。04PLC外网渗透测试方法(4)漏洞利用工具以力控ForceControl组态软件举例：