1、姓名姓名胡杨（照片部分由主办方添加）工业安全脆弱性评测与防护建设个人介绍胡杨胡杨 Topsec安全研究员 IRT团队核心 Chamd5 IoT组成员 研究方向：工业互联网安全建设与脚本小子的高效进化历程 成都 世界信息安全大会演讲嘉宾目录 背景概述 进化方向 架构介绍52565020025030035040045050020062007200820092000006-2018年公开工控漏洞趋势图2020年12月1日左右，以色列供水设施ICS遭伊朗黑客入侵2020年

2、12月1日，温哥华地铁遭到了Egregor勒索软件的破坏2020年11月29日左右，富士康被黑客攻击，索要 2.3 亿元赎金2020年11月25日巴西航空工业公司被勒索软件“撕票”2018年VPNFilter入侵物联网载体的高级恶意软件攻击2017年WannaCry勒索病毒2016年乌克兰最大机场遭网络攻击2016年德国核电站负责燃料装卸系统遭恶意程序攻击2015年乌克兰电网BlackEngery病毒2010年伊朗核电站举世闻名的“震网”事件工业互联网安全态势目录 背景概述 进化方向 架构风评420Ahm机械手臂计量仪表伺服电机 PLCDCSRTU厂区工控设备操作员站工程师站数据库日常服务器、

3、电脑OPCS7CommModbus TCP通过网关等设备进行工业协议与以太网协议转换生产执行数据管理物料管理信息系统技术管理材料工时仓储管理 执行机构通信协议工业通信协议工控主机（上位机）MESEMS系统ERP系统控制器（下位机）ITOT工业互联网架构介绍工业互联网安全风险点SCADA涉及三个主要关键点：1、人操作的接口与控制平台：通常使用windows工作站通过软件来管理和控制网络上的PLC。如果工作站被攻击了，那么SCADA网络中的所有内容都可以被访问。2、PLC（Programmable Logic Controller-可编程逻辑控制器）：可编程逻辑控制器是种专门为在工业环境下应用而设

4、计的数字运算操作电子系统。它采用一种可编程的存储器，在其内部存储执行逻辑运算、顺序控制、定时、计数和算术运算等操作的指令，通过数字式或模拟式的输入输出来控制各种类型的机械设备或生产过程。我们可以通过网路浏览器、Telnet、SSH访问PLC，这样PLC就可能受到各种应用程序和网络层的攻击。一旦遭到攻击，那么攻击者就可以操纵输入与输出设备，并对工业环境造成损害。3、终端设备（传感器，阀门或泵）：终端设备安装在远程站点。他们可以通过无线电、串型接口、以太网或调制解调器等通信链路向PLC反馈。如果受到攻击可能损害环境的完整性。生产区域生产设备检测设备数采代理数据汇聚节点协议转换核心计算数据聚合模型管

5、理ERP/MES/物料计算生产派单工艺路线BOM库存管理设备监测设计仿真系统前期处理后期处理求解器分析工具大数据平台结构化数据存储分布式文件存储内部工程团队研发设计资料工艺经验资料VPN协同业务数据仿真数据数据采集核心计算数据分析数据存储数据接入对象存储块存储数据分发数据预处理数据稽核数据清洗数据解码统计分析OLAP深度学习模型算法开发模型知识库产品型谱工艺流程产品参数工艺参数材料参数公共知识设备型号设备参数部件模型机理模型标准专利设备模型行业模板技术中台分析模块展现模块微开发影像平台处理模块协议模块应用服务制造工艺管理文档资料管理鉴权管理协同业务交互过程管理项目管理BOM管理资源管理试验床服

6、务仿真过程管理生态云生产云业务云测试云实验云l 我的供应商l 我的客户l 我的渠道商l 我的设计商l 任务创建l 任务发布l 任务跟踪l 任务评价l 业务创建l 业务发布与订阅l 数据对接管理l 业务指示状态跟踪l 政产学研管理l 创新实验管理l 行业模板l 微服务l 微函数l 模型算法物流商渠道商客户开发者供应商产品用户政府/科研机构VPN网关企业内私有云公有云攻击者利用权限漏洞获取微服务中某用户访问权限，作为攻击跳板利用服务器中的应用漏洞、系统漏洞获取高级权限，窃取关键数据通过内部拓展，盗取数据平台隐私数据等信息通过隐蔽通道将信息泄露、外传数据窃取侵入节点：公有云Web系统攻击路径：公有云

7、web门户-私有云应用-私有云分布式数据库利用供应链中门户网站、应用服务等漏洞，获取服务器权限，作为后续攻击拓展跳板截取创建任务调用组件网络地址，并对其植入特定恶意脚本通过木马病毒等恶意程序脚本，设定模型开发过程作为触发条件，篡改模型关键参数等信息破坏工艺模型，降低平台业务价值参数破坏侵入节点：公有云Web系统攻击路径：公有云web门户-私有云应用-大数据模型开发组件-模型库任意选取暴露在互联网的Web虚机，作为侵入目标系统的第一级跳板获取私有云应用端虚机操作系统权限，并在私有云内网中进行扫描，寻找与企业侧存在交互的应用组件提取交互组件权限，并对企业侧发起访问访问过程中基于合法路径对企业侧数据

8、汇聚节点植入特定恶意脚本通过恶意脚本，提取数采代理数据库写操作权限执行错误参数，造成生产故障生产破坏（纵向）侵入节点：公有云Web系统攻击路径：公有云web门户-私有云应用-大数据通讯组件-企业侧数据汇聚节点-数采代理-控制系统生产破坏（横向）侵入节点：企业侧信息化系统攻击路径：公有云web门户-私有云应用-大数据通讯组件-企业侧数据汇聚节点-数采代理-控制系统执行错误参数，造成生产故障以接入点企业数据汇聚节点作为侵入跳板对私有云大数据组件植入特定恶意脚本通过恶意脚本获取大数据通讯组件权限，发起对其他工业企业非法访问提取数采代理数据库写操作权限工业互联网威胁多样性ICMPDNSDropBoxO

9、ffice 365MailMessage AppWebSocketPowershellWindowsDomWmiWebDavJava RMIARPLDAP图片像素Ngrok内网传统工具OSS云存储Jira等企业应用服务HttpsJSProxy数据隐蔽传输方式工业现场攻击场景模拟工业控制网络协议分析数据单元部分的开发是最基本的部分，主要是2各方面的类容：一是生成客户端（主站）访问服务器（从站）的命令部分；二是生成服务器（从站）响应客户端（主站）回复部分。Modbus协议的报文（或帧）的基本格式是：表头+功能码+数据区+校验码功能码和数据区在不同类型的网络都是固定不变的，表头和校验码则因网络底层的

10、实现方式不同而有所区别。表头包含了从站的地址，功能码告诉从站要执行何种功能，数据区是具体的信息。工业控制网络协议分析数据包过滤器数据包列表数据包信息十六进制数据物理层数据链路层数据网络层数据应用层数据数据包内容代码代码 中文名称中文名称作用作用1 1读取线圈状态读取线圈状态取得一组逻辑线圈的当前状态（取得一组逻辑线圈的当前状态（ON/OFF)2 2读取输入状态读取输入状态取得一组开关输入的当前状态（取得一组开关输入的当前状态（ON/OFF)3 3读取保持寄存器读取保持寄存器在一个或多个保持寄存器中取得当前的二进制值在一个或多个保持寄存器中取得当前的二进制值4 4读取输入寄存器读取输入寄存器在一

11、个或多个输入寄存器中取得当前的二进制值在一个或多个输入寄存器中取得当前的二进制值5 5强置单线圈强置单线圈强置一个逻辑线圈的通断状态强置一个逻辑线圈的通断状态6 6预置单寄存器预置单寄存器把具体二进值装入一个保持寄存器把具体二进值装入一个保持寄存器7 7读取异常状态读取异常状态取得取得8个内部线圈的通断状态，这个内部线圈的通断状态，这8个线圈的地址由控制器决定，用户逻辑可以将这些线圈定义，以说明从机状态，短报文适宜于迅速个线圈的地址由控制器决定，用户逻辑可以将这些线圈定义，以说明从机状态，短报文适宜于迅速读取状态读取状态8 8回送诊断校验回送诊断校验把诊断校验报文送从机，以对通信处理进行评鉴把

12、诊断校验报文送从机，以对通信处理进行评鉴9 9编程（只用于编程（只用于484）使主机模拟编程器作用，修改使主机模拟编程器作用，修改PC从机逻辑从机逻辑1010控询（只用于控询（只用于484）可使主机与一台正在执行长程序任务从机通信，探询该从机是否已完成其操作任务，仅在含有功能码可使主机与一台正在执行长程序任务从机通信，探询该从机是否已完成其操作任务，仅在含有功能码9的报文发送后，本功能码才发送的报文发送后，本功能码才发送1111读取事件计数读取事件计数可使主机发出单询问，并随即判定操作是否成功，尤其是该命令或其他应答产生通信错误时可使主机发出单询问，并随即判定操作是否成功，尤其是该命令或其他应

13、答产生通信错误时1212读取通信事件记录读取通信事件记录可是主机检索每台从机的可是主机检索每台从机的ModBus事务处理通信事件记录。如果某项事务处理完成，记录会给出有关错误事务处理通信事件记录。如果某项事务处理完成，记录会给出有关错误1313编程（编程（184/384 484 584）可使主机模拟编程器功能修改可使主机模拟编程器功能修改PC从机逻辑从机逻辑1414探询（探询（184/384 484 584）可使主机与正在执行任务的从机通信，定期控询该从机是否已完成其程序操作，仅在含有功能可使主机与正在执行任务的从机通信，定期控询该从机是否已完成其程序操作，仅在含有功能13的报文发送后，本功能

14、码才得发送的报文发送后，本功能码才得发送1515强置多线圈强置多线圈强置一串连续逻辑线圈的通断强置一串连续逻辑线圈的通断1616预置多寄存器预置多寄存器把具体的二进制值装入一串连续的保持寄存器把具体的二进制值装入一串连续的保持寄存器1717报告从机标识报告从机标识可使主机判断编址从机的类型及该从机运行指示灯的状态可使主机判断编址从机的类型及该从机运行指示灯的状态1818（884和和MICRO 84）可使主机模拟编程功能，修改可使主机模拟编程功能，修改PC状态逻辑状态逻辑1919重置通信链路重置通信链路发生非可修改错误后，是从机复位于已知状态，可重置顺序字节发生非可修改错误后，是从机复位于已知状

15、态，可重置顺序字节2020读取通用参数（读取通用参数（584L）显示扩展存储器文件中的数据信息显示扩展存储器文件中的数据信息2121写入通用参数（写入通用参数（584L）把通用参数写入扩展存储文件，或修改之把通用参数写入扩展存储文件，或修改之工业控制网络协议Modbus功能码从机地址从机地址功能码功能码起始地址高位起始地址高位起始地址低位起始地址低位寄存器数量高位寄存器数量高位寄存器数量低位寄存器数量低位CRC高位高位 CRC低位低位1 11 10 017170 026260D0DD4D4从机地址从机地址功能码功能码返回字节数返回字节数数据数据1数据数据2数据数据3数据数据4数据数据5CRC高位高位CRC低位低位1 11 15 5CDCD6B6BB2B20E0E1B1B4444EAEA工业控制网络协议Modbus指令与响应1、根据协议控制规范或者捕获工业控制网络协议数据流来构造正常的数据包；2、分析正常协议的字段及其重要性；3、根据分析的协议中不同的数据类型，设计有效地变异策略；4、设计并实现工业控制网络协议数据包发包工具；5、设计并实现代理器及监视器；6、采用发包工具，将畸形数据包发送给被测工控目标；7、通过监视器探测被测工控目标异常数据记录。目录 背景概述 进化方向 架构介绍工业互联网安全进化方向工业互联网安全进化方向工业互联网安全进化方向工业互联网安全进化方向