2022工控系统安全威胁应对

工控系统安全威胁与应对探索2024提纲工控背景工控系统入侵方式应对探索工业4.0与两化融合工控系统ICS工业控制系统SCADA数据采集与监控系统DCS分散式控制系统SCADA系统SCADA系统工控组件PLC可编程逻辑控制器远程控制单元HMI人机交互界面现场设备PLC№(4½)№(4½)/(/$№)(I/0CPUI/0$CPU接口电路、功能模块、通信模块、电源梯形图LAD顺序流程图SFC指令表IL威胁趋势~2014ICS-CERT~2010

2013“Dragonfly2012FlameDuqu2010 威胁来源协议安全 网络隔离安全意识 漏洞管理工业网络协议ModbusS3/S5/S7DNP3 ProfinetEthernet/IP…Modbus协议的总线协议Electric）发布于1979标准开放，免费使用输协议之一Modbus协议masterInitiatemasterInitiaterequestslavefunccode datareqPerformactionInitiateresponseReceiveresponsefunccodedataresp8位地址长度，每个Master持247个Slave简单清晰的协议内容无加密与身份认证Modbus协议AdditionalAdditionaladdressFunctioncodeDataErrorcheckPDUADUModbusFrameModbus协议IPIPPacketTCPPacketProtocolID2Byte 2ByteLength2ByteUnitID1ByteFunctionCode1ByteData256orPDUPDUADUADUModbusTCPFrameModbus协议FunctionNameReadCoilsSingleMultipleCoilsReadInputRegisterSingleRead/WriteMultiple

FunctionCode0x010x050x150x040x060x23Modbus协议维基百科——Modbus所有功能码\h/wiki/ModbusModbus协议ProtocolID Length UnitID FunctionCode DataModbus协议RS-232/RS-485RS-232/RS-485NetworkModbusTCP入侵方式工业化信息化融合推进工控组件脆弱性设备升级维护成本高安全意识薄弱

攻击面更脆弱的系统更多的攻击面

模拟环境协议分析设备识别攻击工具/手动攻击测试模拟环境[ModbusPal]Slave节点仿真模拟\h/网络分析[Wireshark]\hhttps://www.wir\h/Modbus/S7/DNP3协议解析本地模拟攻防[mbtget]Perl脚本Modbus协议工具/sourceperl/mbtget本地模拟攻防[MetasploitFramework]auxiliary/scanner/scada/modbus_findunitidauxiliary/scanner/scada/modbusclientauxiliary/scanner/scada/modbusdetected探索发现目标PLC、RTU..工控设备无一幸免网络空间搜索引擎黑暗“Google”探索发现目标[Nmap]modbus-discover.nsemodbus-enum.nse注意《NISTSP800-82》1.降低扫描速度—scan-delay=12.TCP替代UDP3.避免使用nmap4.不推荐nmap5.不要尝试对运行中的设备进行测试探索发现目标[plcscan]TCP/502TCP/102端口PLC/p/plcscan探索发现目标[ModTest]针对Modbus分析协议、扫描、指纹识别、Fuzzing、甄别蜜罐/ameng929/ModTest探索发现目标[ModTest]Modbus分析协议/ameng929/ModTest探索发现目标[ModTest]ModbusFuzzing/ameng929/ModTest方式:针对FunctionCode针对DiagnosticsCode发现：90/91/99功能码识别工控蜜罐的方式拒绝服务探索发现目标[ModTest]Modbus指纹识别/ameng929/ModTest识别更多的plc设备信息更邪恶的入侵方式…入侵方式[UnityXL]施耐德PLC编程软件\h/入侵方式[UnityXL]施耐德PLC编程软件\h/发现：可远程接入设备但远程传输项目失败原因：UnityProXL版本多样兼容性差入侵方式分析UnityProXL软件协议、认证方式软件使用Modbus功能码90进行通信协议内容无加密！入侵方式分析UnityProXL软件协议、认证方式通过90功能码进行身份识别与握手请求、消息同步通过ModTest测试，90功能码协议无认证，可进行包重放入侵方式分析UnityProXL软件协议、认证方式0x00,0x0f,0x00,0x00,0x00,0x0d,0x00,0x5a,0x00,0x20,0x00,0x14,0x00,0x64,0x00,0x00,0x00,0xf6,0x03协议中发现读取PLC0x00,0x0f,0x00,0x00,0x00,0x0d,0x00,0x5a,0x00,0x20,0x00,0x14,0x00,0x64,0x00,0x00,0x00,0xf6,0x03重放请求，获得PLC设备项目信息针对应答数据选择针对的UnityProXL软件V5.0 UnityXL5.0入侵方式通过针对版本的UnityProXL软件获取到PLC权限可查看实时数据表、修改上传PLC程序、停止PLC执行!!!入侵方式通过Shodan进行设备探索与入侵针对施耐德PLC编程软件的Dorkport:502V5.0.stuV5.0——编程软件版本号.stu——施耐德PLC程序后缀应对探索[工控蜜罐]协议仿真scapy、pymodbus/tecpal/PyModbus对读写PLCCoil、Register值的响应对43功能码读取PLC设备信息的响应对17功能码请求从节点信息的响应对90功能码读取ModiconPLC信息的响应应对探索[工控蜜罐]Web管理登陆界面应对探索[工控蜜罐]其他选择组件FTPSNMPTELNET其他工控协议应对探索[工控蜜罐]conpot/mushorg/conpot应对探索[工控蜜罐]SCADAHoneynet\h/tools/scada-honeynet/应对探索[工控蜜罐]Modhoney在PyModbus与Z-one版本上进行了改进与优化/ameng929/Modhoney增加了对于TransactionID的识别与应答增加了对于功能码90的识别与应答配合conpot更容易被网络搜索引擎发现应对探索[工控蜜罐]Modhoney在PyModbus与Z-one版本上进行了改进与优化/ameng929/Modhoney增加了对于TransactionID的识别与应答增加了对于功能码90的识别与应答配合conpot更容易被网络搜索引擎发现应对探索[工控蜜罐]发现198.20.70.114Shodan71.6.216.34Rapid719CreditSuisseGroup/CANA185.35.62.11SwitzerlandGroup12BSB-ServiceGmbHGermany09IntergeniaAGGermany38Livenetsp.zo.o.141.212.122.xxx UniversityofMichiganCollegeofEngineering蜜罐捕获数据主要为协议扫描其中严重的威胁为对地址数据的改写应对探索Shodan对于蜜罐系统的甄别应对探索蜜罐甄别方法RealRealHoneyHoney对于43(0x2B)功能码中的异常数据的应答应对探索蜜罐甄别方法RealRealHoneyHoney对于01(0x01)功能码中的异常数据的应答应对探索工控蜜罐的必要性发现网络空间扫面引擎IP地址，拦截扫描了解扫描引擎的指纹识别方法，收集信息掌握黑客的进一步攻击行为收集异常数据中可能的0-Day健壮蜜罐系统，使其更难被甄别，更好的伪装应对探索[SnortforICS]开源入侵检测\hhttps://www.snor\h\h/tools/quickdraw/应对探索[