《工业控制系统信息安全》课件-第十一节 工业控制系统安全控制：漏扫与靶场 - 副本

工控设备漏洞挖掘的可行性11.1.1工业控制网络漏洞挖掘技术工控设备和系统有如下一些典型特点：系统的封闭性：设计之初的SCADA、DCS、ICS处于封闭网络，因此没有将安全机制考虑在内。数据接口的多样性：多种数据接口（如RJ45、RS485、RS232等）和协议规约多样性。通信的复杂性：专用的通信协议或规约（如OPC、Modbus、DNP3、Profibus等）。不可改变性：工控系统程序和固件难以升级。以上特点导致传统系统信息系统漏洞检测技术无法直接应用于工业控制系统，因此需要针对工业控制系统的特点，研究对应的漏洞检测技术，分析工业控制系统中的安全威胁，从而对安全威胁进行有效的防御。工控设备漏洞挖掘的可行性11.1.1工业控制网络漏洞挖掘技术漏洞挖掘的可行性过去工业控制设备通过串行电缆和专有协议连接到计算机网络，随着业务的发展以及传统IT基础设施的开放和技术渗透，目前通过以太网电缆和标准化的TCP/IP通信协议连接到计算机网络的工业控制系统越来越多。供应商提供的大量工控设备提供了嵌入式Web、开放的FTP、远程Telnet等传统服务。这些开放的端口和服务为工控终端设备漏洞被挖掘和利用打开了通道，也给工控系统造成了巨大的安全隐患。工控设备漏洞挖掘的可行性11.1.1工业控制网络漏洞挖掘技术漏洞挖掘的困难性目前，公开的工业控制设备的漏洞数目不多，但漏洞直接关系到工控生产等实际业务流程的现场设备，并分布在大量的基础设施中。因此如果控制设备受到攻击，将会造成直接而严重的损失，如设备损坏、停机甚至人员伤亡。需要注意的是，对这些工控设备的网络渗透测试不能在实际运行的系统中进行，因为渗透测试的某些测试样本会使设备达到极限性能或者出现异常，所以渗透攻击测试都应该运行在模拟平台上，或者正在开发、测试的系统中。另外，工业控制设备通常不公开其内部结构，且设备品牌众多，体系也各不相同，漏洞挖掘人员对此普遍接触较少，导致目前对其内部结构相关的研究也比较少，这是目前直接针对工业控制设备的漏洞挖掘方法非常少的重要原因。传统信息系统漏洞挖掘方法适用性分析11.1.2工业控制网络漏洞挖掘技术传统信息系统的漏洞挖掘方法主要分为白盒方法、灰盒方法和黑盒方法3中。白盒方法是指在有源代码、对目标完全了解的情况下进行漏洞挖掘，主要方式由源代码审计和走读、源代码静态分析等；灰盒方法是指在有目标文件、对于目标有部分了解的情况下进行的漏洞挖掘，包括二进制插桩、动态污点分析等；黑盒方法是指在对目标完全不了解的情况下进行的漏洞挖掘，典型的代表是模糊测试（Fuzzing）。现阶段，安全研究人员对于工业控制设备的内部结构了解不足，逆向工控设备的技术处于起步阶段，又因为无法获取工控系统的源代码和目标文件，无法采用白盒方法和灰盒方法挖掘漏洞，所以现阶段采用模糊测试来挖掘工控设备漏洞的方法比较常见。11.1.2工业控制网络安全漏洞分析根据漏洞出现于工控系统组建的不同，工控安全漏洞可划分为工控设备漏洞、工控网络协议漏洞、工控软件系统漏洞、工控安全防护设备漏洞等漏洞分类典型设备/协议工控设备漏洞PLC、RTU、DCS、交换机、工业协议网关等工控网络协议漏洞OPC、Modbus、Profibus、CAN等工控软件系统漏洞WinCC、Intouch、KingView、WebAccess等工控安全防护设备漏洞工业防火墙、网闸等11.1.2工业控制网络安全漏洞分析图显示了目前已知的公开工控相关安全漏洞占据了多数，下位机的漏洞主要集中在PLC上，另外，服务器、固件和网络设备也占据了一定的比例。对工控系统而言，可能带来直接隐患的安全漏洞也可以分为SCADA系统软件漏洞、操作系统安全漏洞、网络通信协议安全漏洞、安全策略和管理流程漏洞。11.1.3工业控制网络安全漏洞态势分析工控漏洞的价值被高度重视一些恶意的攻击者不断扫描工控系统的漏洞，并使用针对工控系统的专用黑客工具发动网络攻击。近几年漏洞的数量呈爆发式增长的趋势，主流的工业控制系统也普遍存在安全漏洞，且多为能够造成远程攻击、越权执行的严重威胁类漏洞。中高危漏洞比例居高不下工控相关应用系统和应用软件的安全健壮性不强。无论是应用软件漏洞还是设备固件漏洞，都是由于在开发过程中遗留的安全设计和实现缺陷所导致的，1个高危漏洞就意味着目标系统中存在1个甚至多个致命安全性缺陷。11.1.3工业控制网络安全漏洞态势分析漏洞类型复杂，危害严重常见的漏洞类型有信息泄露、缓冲区溢出、跨站攻击、拒绝服务等。其中，信息泄露相关的漏洞数量最多，对工控系统的影响主要体现在两个方面：一方面，企业内部的工艺流程、图纸、排产计划等关键数据容易成为攻击者窃取的对象；另一方面，攻击者利用间谍工具手机的各种涉密信息，为后续具有破坏性的网络攻击提供安全情报。紧随其后的是缓冲区溢出漏洞和跨站攻击漏洞，缓冲区溢出在各种操作系统、应用软件中广泛存在。利用缓冲区溢出漏洞，恶意攻击代码可以导致应用程序运行失败、系统宕机、重新启动，甚至用于执行非授权代码，对工业现场的智能设备下达非法指令（如修改运行参数、关闭阀门开关等）。漏洞的补丁发布严重滞后发现漏洞并打补丁在信息安全领域是安全防护工作的常态，但在工控安全领域却经常面临这发现了漏洞却无补丁可补的尴尬状态。11.2.1工业控制网络安全漏洞分析技术方法漏洞检测技术方法工控系统漏洞检测的关键技术（1）构建工控系统漏洞库需要构建工控系统专有漏洞库。在漏洞库的设计中需要遵循以下几条原则：从漏洞库的建议性、有效性出发，选择文本方式记录漏洞。对每个存在安全隐患的网络服务建立对应的漏洞库文件。对漏洞危险性进行分级。提供漏洞危害性描述和建议的解决方案。

11.2.1工业控制网络安全漏洞分析技术方法漏洞检测技术方法（2）基于工业漏洞库的漏洞检测技术基于工业漏洞库的漏洞检测技术通过漏洞扫描引擎选用合适的检测规则，结合工控系统漏洞库，扫描系统中的关键目标系统和设备的脆弱性。另外，需要完整支持Modbus、DNP3、Profinet等工业通信协议，以及支持ICMPPing扫描、端口扫描等传统扫描技术。漏洞扫描的策略主要分为主机漏洞扫描和网络漏洞扫描主机漏洞扫描一般特指在上位机环境，包括操作员站、工程师站和服务器安装漏洞扫描的代理工具或者直接部署服务实现，从而方便实现对文件、进程、内存等对象的访问。网络漏洞扫描则更多是针对目标系统、服务或者资源较低的工业设备本身进行的，通过构造特殊的数据包发送给目标，收集反馈信息来判断是否有特定的漏洞存在。11.2.1工业控制网络安全漏洞分析技术方法漏洞检测技术方法（3）漏洞检测执行漏洞检测的主要方法包括直接测试、推理测试和凭证测试三种。直接测试：特指利用漏洞特点发现目标系统漏洞方法，根据扫描检测或者渗透方式的不同，有些是直接有明确反馈而被观测到的，还有一些是需要稍作分析或者间接观测到的，由于其粗暴的攻击特性有的时候可能会造成检测的目标对象被破坏，但也正因为如此准确性比较高。典型的测试应用是Web服务漏洞测试和拒绝服务漏洞测试。推理测试：指根据相关系统、应用的版本、时序结果判断是否具有某个漏洞，并结合目标所表现出来的行为情况分析是否具有感染漏洞的行为特征的检测方法。这种方法对目标系统影响非常小，但是可能有较高的误检测情况。凭证测试：是在已有访问服务的授权情况下，进行对应检测的方式。11.2.2模糊测试漏洞挖掘技术因为很难获取工控应用软件的源代码或目标文件，因此目前对于工控系统未知漏洞的挖掘主要采用的是模糊测试（Fuzzing）的方法Fuzzing技术是一种通过构造能使软件崩溃的畸形输入来发现系统中存在漏洞的安全测试方法，通常被用来挖掘网络协议、文件、ActiveX控件中存在于输入验证和应用逻辑中的漏洞，其自动化程度高、适应性广的特点使其成为漏洞挖掘领域最有效的方法之一。Fuzzing测试包括协议解析、测试用例生成、异常捕获和定位三个阶段。协议解析是通过公开资料或者对网络数据流量的分析，理解待测协议的层次、包字段结构、会话过程等信息，为后续生成测试用例打下基础；测试用例生成依据上一阶段分析出来的包字段结构，给待测对象发送采用变异方式生成的畸形测试用例；异常捕获和定位的目的是通过多种探测手段发现由测试用例触发的异常，保存异常相关数据信息，为后续异常的定位和重现提供依据。11.2.2模糊测试漏洞挖掘技术传统的Fuzzing工具难以测试工控网络协议由于工控系统以及工控网络协议的特殊性，传统网络协议Fuzzing测试技术无法直接应用，具体体现在协议解析、异常捕获和定位以及部署方式上存在的困难。（1）工控网络协议解析方面对于公开的控制协议，虽然可以使用基于生成的Fuzzing技术进行测试，但由于工控协议面向控制协议、高度结构化、控制字段数量较多，使得需要构造大量的变异器，测试效率不高。对于私有的控制协议，需要先弄清楚协议的结构才能进行模糊测试。一般来说，有两种思路：对协议栈的代码进行逆向分析，分析出重要的数据结构和工作流程；抓取协议会话数据包，根据历史流量来推测协议语义。对于大量使用私有协议的基于嵌入式的工控系统来说，其运行环境较为封闭，很难使用加载调试器的方法对协议栈的二进制代码进行逆向分析。相比之下，采用基于数据流量的协议解析方法更实际。然而，工控设备具有时间敏感、面向会话的特点，使得部署需要大规模网络流量输入的基于突变的传统Fuzzing测试工具并不现实。11.2.2模糊测试漏洞挖掘技术传统的Fuzzing工具难以测试工控网络协议（2）工控网络协议异常捕获和定位方面目前在网络协议Fuzzing测试中常用的异常检测手段主要有返回信息分析、调试器跟踪及日志跟踪3种方法。对于返回信息分析，主要通过分析请求发送后得到的返回信息判断目标是否出错，其优点是处理简单，但由于工控设备具有较快的自修复能力，在发生异常后网络进程灰自动重启，如果请求收发频率不够高，将无法捕获发生的异常。对于调试器跟踪，主要通过监视服务器进程，在进程出错时抓取进程异常信息并重启来实现，但由于工控设备运行环境封闭，且使用嵌入式系统，难以安装第三方调试工具，因而该方法只适用于工控设备机对协议栈的分析，无法应用在PLC等工控设备上。对于日志跟踪，主要通过解析服务器日志判断进程是否发生异常，但由于工控设备属嵌入式系统，计算、存储和网络访问均受到严格的制约，在PLC等工控设备上难以实现对一场事件的日志记录和访问。11.2.2模糊测试漏洞挖掘技术传统的Fuzzing工具难以测试工控网络协议（3）Fuzzing测试工具的部署方式方面目前，由于在传统信息系统中C/S模式的Client端漏洞利用较困难，价值相对不高，因而传统网络协议Fuzzing测试技术主要针对Server端软件，较少涉及Client端，但有些工控系统Client端负责数据采集与监视控制，其网络协议栈存在的漏洞可能导致重要数据传输实时性的丧失，影响生产控制过程的正常运行，因此只测试Server端的Fuzzing测试工具不能满足工控协议测试的需求。11.2.2模糊测试漏洞挖掘技术工控Fuzzing测试框架的设计准则工控网络协议Fuzzing测试框架应该遵循以下几点准则。（1）支持对私有工控网络协议的测试由于大量工控网络协议结构不公开，对私有协议的支持成为工控网络协议Fuzzing测试框架的首要需求。一般来说，对于私有协议的模糊测试思路主要有离线分析和在线分析两种。基于离线分析：梳理协议的结构和内容，生成协议模型，然后在此基础上进行Fuzzing测试，即先将私有协议变成公有协议，再使用基于生成的方法产生测试数据基于线性分析：只是使用在线的方式，通过人工智能的方法对工控网络协议的使用网络流量进行学习，生成并完善协议的语义结构11.2.2模糊测试漏洞挖掘技术工控Fuzzing测试框架的设计准则（2）不依赖本地调试进行异常捕获和定位作为工控系统的核心组件，PLC等物理设备运行环境封闭且存储计算资源受限，无法通过附加调试组件的方式记录异常事件并保存日志，只能依赖网络探测的方式。较为可行的方法之一是使用心跳机制，以间歇性“请求-响应”的形式探测目标是否出错，同时结合异常隔离机制，在每传输一组测试用例后通过发送心跳包的方式检测对象是否发生异常，如果一定的时间阈值未收到回复包，则认为测试对象发生了异常，需采取逐步隔离的方式，如图10-5所示，从该组用例中找出触发异常的单个测试用例，并保存异常产生的流量数据，以便进一步分析。11.2.2模糊测试漏洞挖掘技术