《工业控制系统信息安全》课件-第十一节 工业控制系统安全控制：漏扫与靶场 - p3

11.3漏洞分析上位机常见安全问题针对上位机环境开发语言多为C/C++，下面我们对使用C/C++开发的上位机系统环境的常见漏洞从源头进行分析。（1）缓冲区溢出漏洞缓冲区溢出漏洞一般是在程序编写的时候不进行边界检查，超长数据可以导致程序的缓冲区边界被覆盖，通过精心布置恶意代码在某一个瞬间获得EIP的控制权并让恶意代码获得可执行的时机和权限。（2）字符串溢出漏洞字符串存在于各种命令行参数，在上位机系统和系统使用者的交互使用过程中会存在输入的行为。XML在上位机系统中的广泛应用也使得字符串形式的输入交互变的更为广泛。字符串管理和字符串操作的失误已经在实际应用过程中产生大量的漏洞，差异错误、空结尾错误、字符串截断和无边界检查字符串复制是字符串常见的4中错误。11.3漏洞分析上位机常见安全问题针对上微机环境开发语言多为C/C++，下面我们对使用C/C++开发的上位机系统环境的常见漏洞从源头进行分析。缓冲区溢出漏洞字符串溢出漏洞指针相关漏洞内存管理错误引发漏洞整数溢出漏洞11.3漏洞分析上位机组件ActiveX控件漏洞分析ActiveX于1996年推向市场。由于支持将原生的Windows技术嵌入至网页浏览器，ActiveX的发展很快得到了很多企业的响应。在ActiveX控件当中上位机系统开发人员往往封装了很多功能强大的接口攻击者可以写一段网页代码取调用别的软件的ActiveX控件达到远程操作注册表文件的效果上位机系统中有很多大量的远程交互操作，这些大都是通过ActiveX控件实现的。11.3漏洞分析上位机组件ActiveX控件漏洞分析使用下列ActiveX漏洞挖掘流程对上位机ActiveX模块进行漏洞挖掘测试。步骤1：获取ActiveX空间信息步骤2：判定ActiveX控件是否设置KillBit步骤3：判定ActiveX控件是否标记脚本安全步骤4：挖掘ActiveX模块的漏洞11.3漏洞分析上位机组件服务类漏洞分析服务的权限类漏洞可以认为是访问控制缺陷11.3漏洞分析下位机常见安全问题下位机暴露在互联网中会带来许多安全隐患。（1）未授权访问未授权访问指未经授权使用网络资源或以未授权的方式使用网络资源，主要包括非法用户进入网络或系统进行违法操作以及合法用户以未授权的方式进行操作。（2）通信协议的脆弱性不仅仅是Modbus协议，像IEC60870-5-104、Profinet这类主流控制协议都存在一些常见的安全问题，这些协议的设计为了追求实用性和有效性，牺牲了很多安全性。这类脆弱性导致了很多下位机漏洞的产生。这类通信协议类的主要漏洞包括明文密码传输漏洞、通信会话无复杂验证机制导致的伪造数据攻击漏洞、通信协议处理进程设计错误导致的溢出漏洞等。11.3漏洞分析下位机常见安全问题（3）Web用户借口漏洞为了便于用户管理，目前越来越多下位机配置了Web人机用户接口，但方便的同时也带来了众多的Web安全漏洞。这些漏洞包括命令注入、代码注入、任意文件上传、越权访问、跨站脚本等。（4）后门账号有些下位机设备硬编码系统中存在隐蔽账号的特殊访问命令，工控后门就是特指开发者在系统开发时有意在工控系统代码中设计的隐蔽账户或特殊指令。通过隐蔽的后门，设计者可以以高权限的角色进行设备间访问或操作。工控后门对工控网络造成巨大的威胁。攻击者可以利用它来进行病毒攻击、恶意操控设备等。11.3漏洞分析上下位机典型漏洞分析常见挖掘方法一般来说都是用dll劫持检查工具生成一个测试dll，测试dll里面包含一段特定的标记代码，通过将该测试dll置于不同的路径，重启目标进程后检测特定的标记代码是否执行来检测目标软件是否存在dll劫持漏洞。11.3漏洞分析下位机典型漏洞分析下位机的漏洞很多在控制设备的固件或者硬件芯片之上。VxWorks是世界上使用最广泛的一种在嵌入式系统中部署的实时操作系统对VxWorks的一些网络协议（RPC(remoteprocedurecall)、FTP、TFTP、NTP等）可以通过Sulley进行模糊测试，对于没有可用的精确崩溃检测的问题，可以使用WDBRPC作为解决方案。11.4工控网络设备漏洞分析已知的工控网络设备的很多安全问题大多数都发生在这些设备的Shell及对外提供的Web、SNMP、Telnet等服务上，其中，常见Web服务安全问题如下所示。（1）SQL注入漏洞SQL注入漏洞是由于Web应用程序没有对用户输入数据的合法性进行判断，攻击者通过Web页面的输入区域（如URL、表单等），用精心构造的SQL语句插入特殊字符和指令，通过与数据库交互获得私密信息或者篡改数据库信息。SQL注入攻击在Web攻击中非常流行，攻击者可以利用SQL注入漏洞获得管理员权限，在网页上加挂木马和各种恶意程序，盗取企业和用户敏感信息。（1）SQL注入漏洞/userinfo.php?id=1访问服务select*fromuserswheeid=

$_GET['id'];

/userinfo.php?id=-1

unionselectdatabase(）select*fromuserswhereid=-1unionselectdatabase()在确定存在SQL注入漏洞的情况下，通过手工或者工具的方式，将数据库中的敏感信息dump出来，或者利用数据库的特定获取系统的权限。通过简单的测试，测试这个参数存在SQL注入利用的可能，存在SQL注入漏洞11.4工控网络设备漏洞分析11.4工控网络设备漏洞分析（2）跨站脚本漏洞跨站脚本漏洞是因为Web应用程序没有对用户提交的语句和变量进行过滤或限制，攻击者通过Web页面的输入区域向数据库或HTML页面中提交恶意代码，当用户打开有恶意代码的链接或页面时，恶意代码通过浏览器自动执行，从而达到攻击的目的。跨站脚本漏洞危害很大，尤其是目前被广泛使用的网络银行，通过跨站脚本漏洞攻击者可以冒充受害者访问用户重要账户，盗窃企业重要信息。跨站脚本攻击的危害包括窃取Cookie、放蠕虫、网站钓鱼等。跨站脚本攻击的分类主要有存储型XSS、反射型XSS、DOM型XSS等。西门子SCALANCEX-300系列交换机中存在一个存储型跨站脚本漏洞。XSS（跨站脚本攻击），它指的是恶意攻击者往Web页面里插入恶意脚本代码，而程序对于用户输入内容未过滤，当用户浏览该页面时，嵌入Web里面的脚本代码会被执行，从而达到恶意攻击用户的特殊目的。（2）跨站脚本漏洞反射型具体原理就是当用户提交一段代码的时候，服务端会马上返回页面的执行结果。那么当攻击者让被攻击者提交一个伪装好的带有恶意代码的链接时，服务端也会立刻处理这段恶意代码，并返回执行结果。通过在链接上添加js动态脚本来达到攻击的目的。存储型当攻击者提交一段恶意脚本作为内容时，并且服务端不加过滤的话，这段恶意脚本会持久的存在在这个页面上，从而使每个访问这个页面的用户都会执行这段恶意代码。DOM的XSS这种XSS攻击方式基于DOM的XSS则是在链接上添加一个带参数的DOM元素，将要执行的脚本语句写入这个DOM的特定事件中，通过触发事件来达到执行这段脚本语句的目的。目前主流过滤XSS的三种技术过滤，就是将提交上来的数据中的敏感词汇直接过滤掉。例如对"<script>"、"<a>"、"<img>"等标签进行过滤，有的是直接删除这类标签中的内容，有的是过滤掉之类标签中的on事件或是'javascript'等字符串，让他们达不到预期的DOM效果。编码，像一些常见的字符，如“<”、“>”等。对这些字符进行转换编码或者转义，让他们不直接出现在脚本中，从而使浏览器不会去执行这段脚本。编码有，有URL编码，unicode编码，HTML编码等。限制，构造一个攻击链接往往需要较长的字符串。对提交上来的数据长度做一个限制，这样就能解决一个即使真的存在一个XSS漏洞。11.4工控网络设备漏洞分析已知的工控网络设备的很多安全问题大多数都发生在这些设备的Shell及对外提供的Web、SNMP、Telnet等服务上，其中，常见Web服务安全问题如下所示。（3）文件包含漏洞文件包含漏洞是指攻击者向Web服务器发送请求时，在URL添加非法参数，Web服务器端程序变量过滤不严，把非法的文件名作为参数处理。这些非法的文件名可以是服务器本地的某个文件，也可以是远端的某个恶意文件。由于这种漏洞是由PHP变量过滤不严导致的，所以只有基于PHP开发的Web应用程序才有可能存在文件包含漏洞。11.4工控网络设备漏洞分析已知的工控网络设备的很多安全问题大多数都发生在这些设备的Shell及对外提供的Web、SNMP、Telnet等服务上，其中，常见Web服务安全问题如下所示。（4）命令执行漏洞命令执行漏洞是指通过URL发起请求，在Web服务器端执行未授权的命令，获取系统信息，篡改系统配置，控制整个系统，使系统瘫痪等。命令执行漏洞主要有两种情况：通过目录遍历漏洞，访问系统文件夹，执行指定的系统命令。攻击者提交特殊的字符或者命令，Web程序没有进行检测或者绕过Web应用程序过滤，把用户提交的请求作为指令进行解析，导致执行任意命令。11.4工控网络设备漏洞分析已知的工控网络设备的很多安全问题大多数都发生在这些设备的Shell及对外提供的Web、SNMP、Telnet等服务上，其中，常见Web服务安全问题如下所示。（5）信息泄露漏洞信息泄露漏洞是由于Web服务器或者应用程序没有正确处理一些特殊请求，泄露Web服务器的一些敏感信息，如用户名、密码、源代码、服务器信息、配置信息等。造成信息泄露主要有以下3种原因：Web服务器配置存在问题，导致一些系统文件或者配置文件暴露在互联网中。Web服务器本身存在漏洞，在浏览器中输入一些特殊的字符，可以访问未授权的文件或者动态脚本文件源码。Web网站的程序编写存在问题，对用户提交请求没有进行适当的过滤，直接使用用户提交上来的数据。11.5靶场网络空间靶场是用于网络战争培训和网络技术开发的虚拟环境，并可提供用于加强政府和军事机构使用的网络基础设施和计算机系统稳定性、安全性以及性能的工具。网络空间靶场涉及大规模网络仿真、网络流量/服务与用户行为模拟、试验数据采集与评估、系统安全与管理等多项复杂的理论和技术，是一个复杂的综合系统。11.5靶场网络空间靶场的特点主要包括仿真性、广泛性、自动化以及综合性。网络空间靶场具有仿真性的特点。建成的网络靶场尽可能贴近实际环境，尤其是对于重要信息系统和大型关键基础设施网络系统。网络空间靶场具有广泛性的特点。网络安全涉及军事、政府、工业等多个领域，包括能源、金融、石油、交通、航空、电信等多个掌握国家命脉的行业。网络空间靶场需要兼顾不同领域间的差异，尽可能保证整个平台的通用性。网络空间靶场针对不同的试验目的，可以通过管理控制软件对硬件资源进行调度，实现不同的试验场景。网络空间靶场的一个重要特性是自动化。可以通过较小的改变实现对测试环境的改变。可以模拟网络的多样性，并在不同加密层级同时处理多个对象。网络空间靶场具有综合性的特点。网络空间靶场可以建立专门的试验平台对信息系统安全性进行验证，并与国家安全机构、工业控制部门共享研究数据，整个平台应该具有互连性，方便数据的传输和共享。11.5靶场大规模网络仿真包括模型模拟和虚拟化两种方法。在模型模拟方面,有基于并行离散事件的网络模拟器。虚拟化为基础的网络空间仿真，又分为节点虚拟化和链路虚拟化两方面。在节点虚拟化方面,有作为云计算平台中最具代表性的Openstack和在轻量级的节点虚拟化方面最具有代表性的是docker，这是一种基于linuxcontainer(LXC)的技术。在链路虚拟化方面,有作为网络仿真平台的代表Emulab，通过协议栈的方式拦截数据包,并通过一个或多个管道模拟带宽、传播时延、丢包率等链路特性,具有较高宿主机内部的链路仿真逼真度。11.5靶场网络流量/