按受影響對象屬性分類情況分析

圖 3.11 是對漏洞按受影響對象的軟、硬件形態(tài)進(jìn)行統(tǒng)計分類的結(jié)果。得到軟件中的漏洞 占多數(shù)的分析結(jié)果并不意外，因為從邏輯復(fù)雜度來說，相關(guān)軟件通常都比硬件更復(fù)雜，因而 更容易出問題。而且對研究者來說，獲得軟件作為研究對象相對容易（大部分廠商都提供軟 件的測試版本下載），而獲得硬件的成本則高得多。所以公開的硬件類漏洞數(shù)量一般遠(yuǎn)少于 軟件類漏洞的數(shù)量。
受影響對象中軟件、硬件的比例[圖片上傳失敗...(image-22d33-1668295923160)]
硬件 7.4%
軟件 92.6%
軟件 硬件
圖 3.11 漏洞所涉及對象按軟硬件形態(tài)的分類分析

按漏洞的攻擊途徑分類情況分析

通常漏洞按攻擊途徑劃分為以下幾類：遠(yuǎn)程服務(wù)器漏洞、遠(yuǎn)程客戶端
漏洞以及本地漏洞，其中：

• 遠(yuǎn)程服務(wù)器漏洞主要是指位于提供網(wǎng)絡(luò)服務(wù)
  的進(jìn)程中的漏洞。攻擊者可以通過網(wǎng)絡(luò) 在另一臺電腦上直接進(jìn)行攻擊，而無需用戶進(jìn)行任何操作。- 遠(yuǎn)程客戶端漏洞則幾乎都是 ActiveX 控件的問題。這類漏洞需要誘使用戶訪問某個 惡意網(wǎng)頁才會被觸發(fā)。
• 本地漏洞指的是必須登錄到安裝軟件的計算機
  上才能利用的漏洞。該類漏洞因利用 條件苛刻，威脅也最小。根據(jù)工業(yè)控制系統(tǒng)相關(guān)的漏洞按攻擊途徑的分類統(tǒng)計分析結(jié)果（如圖 3.12、圖 3.13所示） 可知：遠(yuǎn)程漏洞占絕大多數(shù)，本地漏洞很少。而在遠(yuǎn)程漏洞中，服務(wù)器漏洞又占絕大多數(shù)。
  按漏洞的攻擊途徑分類[圖片上傳失敗...(image-85ebbc-1668295923160)]
  本地 0.9%
  遠(yuǎn)程 99.1%
  遠(yuǎn)程 本地
  圖 3.12 漏洞按攻擊途徑的分類分析
  遠(yuǎn)程漏洞的分類[圖片上傳失敗...(image-3d75b5-1668295923160)]
  瀏覽器 16%
  服務(wù)器 84%
  服務(wù)器 瀏覽器
  圖 3.13 遠(yuǎn)程漏洞的主要分類

四工業(yè)控制系統(tǒng)的攻擊場景研究

上述章節(jié)重點分析了工業(yè)控制系統(tǒng)所存在的脆弱性問題——協(xié)議的安全缺陷及相關(guān)漏 洞的情況，本章將基于一個虛構(gòu)的工業(yè)控制系統(tǒng)環(huán)境（如圖 4.1、圖 4.2 所示），針對攻擊者 可能利用現(xiàn)場無線網(wǎng)絡(luò)或企業(yè)辦公網(wǎng)進(jìn)行滲透攻擊，威脅工業(yè)控制網(wǎng)絡(luò)的兩種情況，分別介 紹一個虛構(gòu)的攻擊場景案例。
本章描述攻擊場景案例（虛構(gòu)）的目的僅是為了使讀者對工業(yè)控制系統(tǒng)所面臨的可能安 全威脅有一個直觀的了解，提高大家的安全防護意識，盡早考慮其工業(yè)控制系統(tǒng)所面臨的具 體安全風(fēng)險及應(yīng)對措施，做到防患于未然。

案例攻擊者利用現(xiàn)場無線網(wǎng)絡(luò)干擾生產(chǎn)的攻擊場景

• 案例起因**
  工廠 A 和工廠 B 正在爭奪一筆巨額海外訂單。這筆訂單對雙方都非常重要，可能直接影 響今后在業(yè)界的地位。
  工廠 B 的老板悄悄找來了分管技術(shù)的副廠長，讓他在廠里選兩個技術(shù)最好的人，設(shè)法入 侵工廠 A 的自動化生產(chǎn)系統(tǒng)，使其無力爭奪當(dāng)前這筆訂單。IT 部門的小王和自動化部門的小 劉被選中了。
• 案例描述**
  圖 4.1 給出了虛擬攻擊者利用工業(yè)控制系統(tǒng)的現(xiàn)場無線網(wǎng)絡(luò)從工廠 A 的外部逐步滲透， 最終侵入到工藝處理區(qū)網(wǎng)絡(luò)，達(dá)到干擾公司 A 的生產(chǎn)控制過程，進(jìn)而影響其產(chǎn)品質(zhì)量的攻擊 場景示意圖。案例的虛擬入侵過程具體描述如下：
  第一步：侵入無線運料小車網(wǎng)絡(luò)
  小王從小劉處了解到，工廠 A 也在使用無線運料小車，運料小車通過 802.11b 協(xié)議連接 到工藝處理區(qū)的網(wǎng)絡(luò)。小王對無線網(wǎng)絡(luò)比較熟悉，他認(rèn)為這可能是比較容易的突破口。
  通過實地察看，小王發(fā)現(xiàn)工廠 A 的安全保衛(wèi)工作比較嚴(yán)密，外人并不容易混進(jìn)去。而距 離圍墻最近的廠房也有二十多米。小王帶著筆記本電腦在圍墻外嘗試掃描無線網(wǎng)絡(luò)，勉強看 到一些信號，但連接很不穩(wěn)定。并且在圍墻外也很容易被人發(fā)現(xiàn)。
  攻擊目標(biāo) [圖片上傳失敗...(image-d122c4-1668295923160)][圖片上傳失敗...(image-2250d9-1668295923160)]
  攻 擊 路 徑及 步驟 攻擊者** 圖 4.1 案例 1：攻擊者利用現(xiàn)場無線網(wǎng)絡(luò)干擾工廠生產(chǎn)的攻擊場景
  于是小王帶著一只 16dBi 增益的定向天線，一只大功率無線網(wǎng)卡，和小劉在工廠 A 附近 的一棟居民樓租了間房。這間房和最近的廠房距離大約 200 米。
  小王在窗口架設(shè)好天線，指向廠房。連接好所有設(shè)備后，他運行了一個無線網(wǎng)絡(luò)信息收 集工具。小王驚奇地發(fā)現(xiàn)，運料小車和無線接入點之間的通信甚至沒有啟用 WEP 加密——事 實上，即使啟用了 WEP 這種并不安全的加密方式，也可以很快破解得到密碼。
  小王很輕松地將筆記本通過無線網(wǎng)絡(luò)接入了運料小車所在的網(wǎng)絡(luò)，然后運行網(wǎng)絡(luò)掃描程 序，開始收集信息。
  第二步：侵入工藝處理區(qū)網(wǎng)絡(luò)，干擾生產(chǎn)控制設(shè)備
  小劉告訴他，接入運料小車所在的工藝處理區(qū)網(wǎng)絡(luò)后，不光可以直接訪問網(wǎng)絡(luò)中所有其 它運料小車和生產(chǎn)設(shè)備的 PLC，還有可能訪問到 SCADA 服務(wù)器和工程師工作站等。
  根據(jù)小劉提供的信息，小王對掃描結(jié)果進(jìn)行分析，在其中尋找工業(yè)控制相關(guān)協(xié)議的默認(rèn) 端口，很容易就識別出了幾十臺運料小車對應(yīng)的幾十個 IP 地址。因為這些運料小車都開啟了 TCP/502 端口，也就是 MODBUS 協(xié)議使用的端口。
  小王通過無線網(wǎng)絡(luò)抓取了一些運料小車的控制數(shù)據(jù)，交給小劉分析，希望通過這種方法 了解運料小車的控制協(xié)議，但小劉表示這比較困難。小王注意到運料小車的 IP 上除 MODBUS 的 TCP/502 端口外，還開啟了 HTTP 服務(wù)。他用瀏覽器訪問小車的 HTTP 服務(wù)，發(fā)現(xiàn)這是運 料小車的管理界面，在這個界面上可以找到廠商、型號等信息。
  小劉告訴小王，工業(yè)控制系統(tǒng)一般都是集成化的，從運料小車上看到的廠商信息，可能 就是工廠 A 的整套工業(yè)控制系統(tǒng)提供商。于是小劉以工廠 B 技術(shù)人員的身份，很容易從這家 提供商處索取到了相關(guān)文檔和試用軟件等資料。
  利用這些資料，再結(jié)合對網(wǎng)絡(luò)的掃描結(jié)果，小王和小劉不但很快摸清了這套工業(yè)控制網(wǎng) 絡(luò)的結(jié)構(gòu)，還知道了如何控制運料小車——他們甚至不需要分析控制協(xié)議，直接用從廠家索 取的軟件就行了。
  小王提出，可以通過控制運料小車，使其改變裝料、卸料等時間，讓工廠 A 無法生產(chǎn)出 合格的產(chǎn)品。但小劉提醒他說，小車的異常動作可能很容易被發(fā)現(xiàn)，從而引起懷疑和追查。
  小劉看了小王的掃描結(jié)果，參考之前從工廠 A 的控制系統(tǒng)提供商處索取的資料，發(fā)現(xiàn)工 藝處理區(qū)的網(wǎng)絡(luò)里還有一些 IP 地址對應(yīng)的是生產(chǎn)設(shè)備的溫度控制器。于是他提出，可以一方 面接管對溫度控制器的控制，發(fā)送偽造的控制命令，使工藝溫度略微提高一些，導(dǎo)致產(chǎn)品質(zhì) 量下降；同時給 SCADA 服務(wù)器發(fā)送偽造的傳感器數(shù)據(jù)，使 SCADA 服務(wù)器認(rèn)為設(shè)備溫度仍然 是正常的。這樣，即使工廠 A 發(fā)現(xiàn)了產(chǎn)品存在問題，也很難找到原因。
  小王研究了一會兒，認(rèn)為這個方案在技術(shù)上可行。
  攻擊持續(xù)數(shù)日后，果然傳出了工廠 A 產(chǎn)品質(zhì)量出現(xiàn)問題，并找不到原因的消息。還聽說 他們找來工業(yè)控制系統(tǒng)提供商的技術(shù)人員幫忙。于是小王停止了攻擊，和小劉悄悄離開了那 棟居民樓。
• 案例結(jié)果**
  最終，那筆海外訂單被工廠 B 獲得了，而工廠 A 的生產(chǎn)線也恢復(fù)了正常。他們一直不知 道為什么會在那個關(guān)鍵時刻出現(xiàn)問題。曾懷疑是內(nèi)部有人搗鬼，但察看了監(jiān)控錄像，并沒有 發(fā)現(xiàn)任何異常。

參考資料

綠盟 2013年工業(yè)控制系統(tǒng)及其安全性研究報

友情鏈接

GB-T 15843.2-2017 信息技術(shù) 安全技術(shù) 實體鑒別 第2部分：采用對稱加密算法的機制