1、你相信发电厂爆炸事件是工控黑客所为吗？伍智波伍智波 实验室负责人周坤周坤 实验室高级安全研究员中国网安 三零卫士 木星安全实验室目录介绍工控概述1工控系统脆弱性2工控漏洞挖掘方法3工控安全防护4PART 01工控概述工控概述 工业控制系统（ICS）部分厂商：工控概述工业控制系统（ICS）所应用重点行业 电力电力 能源能源 石油石油 化工化工 水处理水处理 燃气燃气 军工军工 航空航天航空航天 汽车汽车 交通交通 冶金冶金 食品食品 制药制药 造纸造纸 建材建材 医疗医疗 烟草烟草 物流物流 海事海事 半导体半导体工控概述 工业控制系统（ICS）是一个通用简称，主要是用来描述不同类型的控制系统其

2、中包含系统、网络、和控制用于操作、工业过程自动化设备。也就是对多种控制系统的总称，其中列举部分工业控制系统如下：可编程逻辑控制器（PLC）数据采集与监视控制系统（SCADA）系统 集散分布式控制系统（DCS）远程终端单元（RTU）工控概述 什么是PLC？PLC也就是Programmable logic Controller，直译可编程逻辑控制器。在1987年国际电工委员会（International Electrical Committee）颁布的PLC标准草案中对PLC做了如下定义：PLC是一种专门为在工业环境下应用而设计的数字运算操作的电子装置。它采用可以编制程序的存储器，用来在其内部存储

3、执行逻辑运算、顺序运算、计时、计数和算术运算等操作的指令，并能通过数字式或模拟式的输入和输出，控制各种类型的机械或生产过程。工控概述 PLC的构成 从结构上分，PLC分为固定式和组合式（模块式）两种。固定式PLC包括CPU板、I/O板、显示面板、内存块、电源等，这些元素组合成一个不可拆卸的整体。模块式PLC包括CPU模块、I/O模块、内存、电源模块、底板或机架，这些模块可以按照一定规则组合配置工控概述 PLC的构成 从结构上分，PLC分为固定式和组合式（模块式）两种。固定式PLC包括CPU板、I/O板、显示面板、内存块、电源等，这些元素组合成一个不可拆卸的整体。模块式PLC包括CPU模块、I/

4、O模块、内存、电源模块、底板或机架，这些模块可以按照一定规则组合配置工控概述工控概述 PLC的构成 工控概述 工业控制系统（ICS）特点：实时性要求高，强调实时I/O能力 可用性要求高，系统一旦上线，不能接受重新启动之类的响应，中断必须有计划和提前预定时间 工控硬件要求寿命长，防电磁干扰，防爆，防尘等要求非常严格；特有的工业控制协议通讯协议，不同厂商控制设备采用不同通信协议，很多协议不公开 工控系统上线生产后，一般不会调整 工控系统要求封闭性比较强工控概述 工业控制系统（ICS）部分功能：PLC与RTU主要用于获取设备状态 PLC可以用于设备本地本地控制 DCS通常用于局域网生产过程的整体控制

5、 SCADA主要是从PLC和RTU采集监控数据PART 02工控系统脆弱性工控系统脆弱性 全球工业控制系统攻击安全事件案例 2000年澳大利亚污水处理厂被攻击者非法攻击控制了150个污水泵站，总 计有100万公升的污水未经处理排入到自然水系 2003年美国Davis-Besse核电站受到Slammer蠕虫攻击、导致核电站计算机出现异常并连续数小时无法工作 2006年美国Browns Ferry核电站受到网络攻击，反应堆再循环泵的变频器（VFD）和冷凝除矿控制器（PLC）失效导致多组机组瘫痪。2008年美国Hatch核电厂由于采集控制网络中的诊断数据，使得控制系统以为反应储水库水位下降导致整个机

6、组被关闭 2010年震网Stuxnet病毒席卷全球工业界，该病毒感染全球45000个网络，伊朗、印尼、美国等多地工业工控系统均不能幸免，其中伊朗布什尔核电站最为严重 2014年德国钢铁厂遭受APT攻击导致工控系统的控制组件和整个生产线被全部停止运行 2015波兰航空公司地面操作系统遭遇黑客攻击导致长达5个小时瘫痪、超过1400明旅客滞留 2015年乌克兰电力系统遭遇黑客攻击导致伊万诺-弗兰科夫地区约超过一半的家庭（约140万）人停电工控系统脆弱性黑客针对工控攻击形式多样化黑客针对工控攻击形式多样化邮件 恶意代码恶意代码社工U U盘盘DOSDOS人人工控漏洞 系统漏洞系统漏洞工控系统脆弱性伊朗核

7、电站“震网”病毒事件发生事件：2010年7月攻击目标：伊朗核电站（物理隔离网络）入侵方式：收集核电站工作人员和其家庭成员信息收集核电站工作人员和其家庭成员信息 针对针对PCPC电脑发起攻击，成功控制电脑发起攻击，成功控制PCPC电脑并感染所有接入的电脑并感染所有接入的USBUSB移动介质通过移动介质通过U U盘盘将病毒摆渡核电站内部网络将病毒摆渡核电站内部网络 利用西门子的漏洞，成功控制离心机的控制系统，修改利用西门子的漏洞，成功控制离心机的控制系统，修改了离心机参数，让其生产不出制造核武器的物质，但在人工检测显了离心机参数，让其生产不出制造核武器的物质，但在人工检测显示端正常示端正常 n 渗

8、透手段：渗透手段：U U盘盘n 损失：损失：“震网震网”蠕虫病毒攻击伊朗的轴浓缩设备，造成伊朗核电站离心机损坏，推迟发电达两蠕虫病毒攻击伊朗的轴浓缩设备，造成伊朗核电站离心机损坏，推迟发电达两年之久。年之久。n 影响面：感染全球超过影响面：感染全球超过4500045000个网络个网络工控系统脆弱性乌克兰电网遭受病毒攻击事件 2015年的最后一周，乌克兰至少有三个区域的电力系统被具有高度破坏性的恶意软件攻击并导致大规模的停电 12月23日，伊万诺-弗兰科夫斯克地区，有超过一半的家庭（约140万人）遭受了停电的困扰 整个停电事件持续了数小时之久，病毒关闭生产控制大区的控制服务器，使得二次信息系统丧

9、失对物理设备的感知和控制导致部分设备运行中断而大面积停电。钓鱼邮件钓鱼邮件潜伏到特潜伏到特地时间地时间渗透扩散到生产网渗透扩散到生产网点击点击officeoffice邮邮件感染办公感染办公电脑电脑执行攻击执行攻击者指令者指令工控系统脆弱性 归根结底就是工业控制系统的漏洞问题，截止到2019年，公开的工业控制系统的高危漏洞数总体仍然在增加数据统计来自vulhub工控系统脆弱性工控安全与传统安全差异化工控安全与传统安全差异化工控安全：可用性 完整性 机密性传统安全：机密性 完整性 可用性工控系统脆弱性工控安全与传统安全差异化工控安全与传统安全差异化工控安全传统安全专有私有协议标准的通信协议主要保护

10、边缘客户端（设备、过程控制器）主要保护IT资产、存储、传输信息服务支持通常通过单一供应商允许多元化的支持风格实时性要求高、不接受延时非实时、可以传输延迟兼容性差、软硬件升级困难实时补丁修复专有操作系统、硬件系统按照典型操作系统使用PART 03工控漏洞挖掘工控漏洞挖掘标题文本预设标题文本预设标题文本预设标题文本预设工程师站、操作员站PC端工程师站、操作员站移动端工程师站、操作员站WEB端工程师站、操作员站网络端工控漏洞挖掘 工程师站、操作员站PC端 缓冲区溢出 控件漏洞 后门漏洞 驱动漏洞 弱口令 安全配置错误 身份认证绕过 硬编码漏洞 敏感信息泄露.木星安全实验室-工控小组工控漏洞挖掘国内某

11、工控厂商后门漏洞发现第1次国内某工控厂商后门漏洞发现第2次漏洞修复前漏洞修复后工控漏洞挖掘国外-国内工控厂商PC漏洞工控漏洞挖掘 工程师站、操作员站移动端 签名破解 组件攻击 逻辑漏洞 跨站请求伪造 路径穿越 越权攻击 明文存储.木星安全实验室-工控小组工控漏洞挖掘国外-国内工控厂商移动端漏洞工控漏洞挖掘 工程师站、操作员站WEB端 目录遍历 拒绝服务 跨站脚本 未授权访问 SQL注入 弱口令 命令注入 信息泄露.木星安全实验室-工控小组工控漏洞挖掘国外-国内工控厂商部分WEB漏洞工控漏洞挖掘 工程师站、操作员站网络端 DOS攻击 中间人攻击 协议校验绕过 启停攻击 服务端攻击 寄存器攻击 C

12、PU存储器清除 木星安全实验室-工控小组工控漏洞挖掘工控漏洞挖掘环境木星安全实验室-工控小组工控漏洞挖掘 工控安全漏洞挖掘需要的技能如下：会自动化工程师技能会电工技能会PC逆向安全技能会WEB渗透师技能会移动端安全技能会协议分析师技能会嵌入式安全技能.PART 04工控安全防护工控安全防护误区：工业控制系统是与外界隔离的 没有人会攻击工业控制系统 黑客不懂工控协议和系统，系统非常安全 单向通信可以保证100%的安全工控安全防护工控系统防御必须具有全球性视角1、各国网军不断扩大，对抗升级2、明间黑客组织水平的不断提升3、背后巨大的商业利益驱动4、针对工业控制网络的恐怖袭击 工控安全对抗形式：工控

13、安全防护工业控制系统防护要点：用户与帐号管理 授权和访问控制 边界保护 系统监控管理 系统资源管理 身份认证 文件与数据保护 入侵检测 恶意代码防护 系统安全增强 网络安全审计工控安全防护流量日志操作员站应用服务器数据库服务器PLC/RTU工业交换机工程师站 工业系统可用性监控：工控安全防护 工业系统行为监控：安全事件运维行为异常行为攻击告警恶意行为协议异常工控安全防护强调隔离纵深防御工业控制系统持续性防御体系以功为守的战略物理隔离的变种，隔离背后是脆弱的，现代高端持续性攻击都是针对隔离系统的由传统信息安全厂商提出的，大多数项目演变为信息安全产品的简单堆砌，网关、网闸已不能完全适应工业网络安全的特点适应工业控制网络的特点，通过基础硬件创新来实现，低延时，高可靠，可定制化，持续更新，简单化的实施和操作等以美国、以色列为代表，在国家层面注重攻击技术的研究、实验、突破和攻防演示实验的建设，以攻击技术的提高，带动防御技术的提高，以攻击威慑力换取安全性 工控防护演变过程：