工控安全渗透


工控安全渗透

工业控制系统的结构和场景

工业控制系统场景——啤酒厂

  • 啤酒工厂布局
  • 监控总控室
  • 生产线设备

概况

主控室

现场设备

工业控制系统结构

  • 传感器和执行器
  • 可编程控制器(PLC)
  • 工业网络及现场总线
  • 工业计算机及工业组态软件

结构

工业控制系统应用场景

  • 过程自动化控制系统
    • 应用在流程行业,比如:石油,化工,医药。冶金,水处理
    • 对应的控制系统:DCS(集散控制系统)居多,大型PLC为主,单台控制器IO点数(传感器与执行器的数量)多数在2000点以上,全冗余架构
  • 工厂自动化控制系统
    • 应用在离散行业,比如:汽车,港口,烟草
    • 对应控制系统:主要以PLC为主,采用和设备捆绑为主,单台控制IO点数少于2000点,单机为主

工业控制系统厂商和产品介绍

Siemens——控制系统家族

  • s7-1500控制系统
  • S7-1200控制系统
  • S7-300/400控制系统
  • S7-WINAC控制系统(PC模拟PLC,多用于高校研究)

Siemens——组态家族

  • TIA博图/Step7(编程)
  • WINCC组态监控软件(监控)
  • PLCSIM模拟仿真软件(前期模拟仿真)

TIA博图
WINCC组态监控软件

PLCSIM

Siemens——通讯协议及端口

  • S7 Comm协议(私有协议)
  • 通讯端口(102)

Rockwell Automation——控制系统家族

  • Controllogix控制系统
  • Compactlogix控制系统
  • MicroLogix控制系统
  • Softlogix控制系统

Rockwell Automation——组态家族

  • Studio5000/RSLogix 5000组态软件

RSLogix

  • FactoryTalk SE组态监控软件

  • Emulation模拟仿真软件

Rockwell Automation——通讯协议及端口

  • Ethernet/IP(公开协议)
  • 通讯端口 44818/2222

工业控制系统脆弱性分析

工业控制协议漏洞

  • 所使用的工业控制协议缺乏身份认证
  • 工业控制系统所使用的协议缺乏授权机制
  • 所使用的工业控制协议缺乏加密保护

S7-300请求通信数据包

确认ACK

数据通信

确认

PLC代码逻辑漏洞

  • 计算逻辑漏洞
  • 看门口超时漏洞
  • 缓冲区溢出漏洞

工业以太网链路漏洞

  • MAC泛洪攻击
  • ARP溢出/中间人攻击
  • 环网beacon协议攻击
  • VLAN跳转攻击
  • 交换机WEB漏洞攻击

主机安全漏洞

  • 防火墙关闭
  • 没有杀软防护
  • 缺乏USB准入
  • Windows本身漏洞
    • SMB v1.0 Port 445
    • RDP Port 3389
    • AD域攻击
    • DNS污染攻击

组态软件漏洞

  • DoS拒绝服务攻击
  • 缓冲区溢出漏洞
  • COM服务组件未授权访问漏洞
  • SQL数据库注入漏洞

物理安全漏洞

  • 设备所在地无防护
  • 机房机柜未上锁
  • 网络端口未加固
  • 控制器钥匙未拔出
  • 供电电源为单路
  • 接地系统不完善

工业控制系统渗透工具利用

Demo场景

nmap指纹扫描

nmap -p port --script scada protocol ip address

参考:https://github.com/jianshting/NMAP-NSE-SCADA

Yersinia二层网络的攻击

Yersinia -G

参考:https://github.com/tomcat/yersinia

Snap7协议层的攻击

  • s7 Client.exe

MSF主机攻击和后渗透

  • 对PC主机的渗透和控制(和传统内网渗透一样)

ISF工控渗透工具

  • 开源的工控渗透框架

参考:https://github.com/dark-lbp/isf

工业控制系统安全防御

区域边界

工业防火墙、区域防火墙、网闸

网络安全

交换机空余端口关闭、native VLAN、禁用CDP或:LLDP、握手包报文加密

主机安全

杀软、防火墙、基线安全、U口准入、应用白名单

控制器安全

协议加密、注入控制、身份认证

物理安全

接地安全、双路供电、电柜上锁


文章作者: Geekby
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 Geekby !
 上一篇
MyJSRat结合CHM命令执行 MyJSRat结合CHM命令执行
MyJSRat结合CHM命令执行MyJSRat MyJSRat 是JSBackdoor的python版本 下载地址:https://github.com/Ridter/MyJSRat Easy CHM CHM是英语“Compiled He
2019-07-28
下一篇 
CVE-2019-12384:Jackson反序列化漏洞复现 CVE-2019-12384:Jackson反序列化漏洞复现
CVE-2019-12384:Jackson反序列化漏洞复现分析根据Jackson开发者提到的信息,触发这个Jackson漏洞需要满足如下要求,所以该漏洞评级为中危: 目标应用接收到不可信客户端发送的JSON数据 目标应用使用多态类型处理
2019-07-26
  目录