关键词:
转载(http://bobao.360.cn/learning/detail/659.html)
0x00写在前面
工业4.0,物联网趋势化,工控安全实战化。安全从业保持敏感,本篇以科普角度对工控安全做入门分析,大牛绕过,不喜轻喷。
0x01专业术语
SCADA:数据采集与监视控制系统
ICS:工业控制系统
DCS:分布式控制系统/集散控制系统
PCS:过程控制系统
ESD:应急停车系统
PLC:可编程序控制器(Programmable Logic Controller)
RTU:远程终端控制系统
IED:智能监测单元
HMI:人机界面(Human Machine Interface)
MIS:管理信息系统(Management Information System)
SIS: 生产过程自动化监控和管理系统(Supervisory Information System)
MES:制造执行管理系统
0x02协议端口及测试脚本
协议科普
Modbus
MODBUS协议定义了一个与基础通信层无关的简单协议数据单元(PDU)。特定总线或网络上的MODBUS协议映射能够在应用数据单元(ADU)上引入一些附加域。
安全问题:
缺乏认证:仅需要使用一个合法的Modbus地址和合法的功能码即可以建立一个Modbus会话
缺乏授权:没有基于角色的访问控制机制, 任意用户可以执行任意的功能。
缺乏加密:地址和命令明文传输, 可以很容易地捕获和解析
PROFIBUS
一种用于工厂自动化车间级监控和现场设备层数据通信与控制的现场总线技术,可实现现场设备层到车间级监控的分散式数字控制和现场通信网络
DNP3
DNP(Distributed Network Protocol,分布式网络协议)是一种应用于自动化组件之间的通讯协议,常见于电力、水处理等行业。
简化OSI模型,只包含了物理层,数据层与应用层的体系结构(EPA)。
SCADA可以使用DNP协议与主站、RTU、及IED进行通讯。
ICCP
电力控制中心通讯协议。
OPC
过程控制的OLE (OLE for Process Control)。
OPC包括一整套接口、属性和方法的标准集,用于过程控制和制造业自动化系统。
BACnet
楼宇自动控制网络数据通讯协议(A Data Communication Protocol for Building Automation and Control Networks)。
BACnet 协议是为计算机控制采暖、制冷、空调HVAC系统和其他建筑物设备系统定义服务和协议
CIP
通用工业协议,被deviceNet、ControINet、EtherNet/IP三种网络所采用。
Siemens S7
属于第7层的协议,用于西门子设备之间进行交换数据,通过TSAP,可加载MPI,DP,以太网等不同物理结构总线或网络上,PLC一般可以通过封装好的通讯功能块实现。
其他工控协议
IEC 60870-5-104、EtherNet/IP、Tridium Niagara Fox、Crimson V3、OMRON FINS、PCWorx、ProConOs、MELSEC-Q。按需求自行查阅资料。
信息探测
协议测试脚本
PS:简要测试,大量脚本自行测试。
相关搜索引擎
Shodan搜索
PS:Shodan搜索引擎介绍 http://drops.wooyun.org/tips/2469
Zoomeye搜索
PS:敏感信息,你懂得。
Ethernet/IP 44818
|
1
|
nmap -p 44818 --script enip-enumerate.nse 85.132.179.* |
Modbus 502
|
1
|
nmap --script modicon-info.nse -Pn -p 502 -sV 91.83.43.* |
IEC 61870-5-101/104 2404
|
1
|
nmap -Pn -n -d --script iec-identify.nse --script-args=iec-identify -p 2404 80.34.253.* |
Siemens S7 102
|
1
|
nmap -p 102 --script s7-enumerate -sV 140.207.152.* |
|
1
|
nmap -d --script mms-identify.nse --script-args='mms-identify.timeout=500' -p 102 IP |
Tridium Niagara Fox 1911
|
1
|
nmap -p 1911 --script fox-info 99.55.238.* |
意义何在
上述NSE脚本意义:
定位工控系统及协议模块。
收集目标工控的信息,如版本、内网IP、模块、硬件信息等。
结合对应的NSE脚本进一步拓展,例如自定义空间搜素引擎。
脚本资源
Github测试脚本
https://github.com/atimorin/scada-tools
https://github.com/atimorin/PoC2013
https://github.com/drainware/scada-tools
https://github.com/drainware/nmap-scada
Exploit-db测试脚本
https://www.exploit-db.com/exploits/19833/
https://www.exploit-db.com/exploits/19832/
https://www.exploit-db.com/exploits/19831/
https://www.exploit-db.com/search/?action=search&description=scada&e_author=
0x03乌云工控漏洞的分析
工控相关漏洞分析
针对乌云主站的漏洞进行关键字搜索:工控(31)、SCADA(15)、Modbus(9)、PLC并进一步整合得到如下列表。
在以上的漏洞列表中,可以得出如下结论:
乌云工控漏洞的案例中,绝大多起因是弱口令(弱口令最多的是123456,其次是admin)、注入类漏洞。
能够挖出工控的精华漏洞的人也是特定的那几位,且在Kcon2015也有过演讲。
挖掘此类漏洞主要解决两个问题
如何找到工控相关的系统和地址
Getshell后,基于工控知识如何操控系统
根据漏洞中的细节可以进一步的复测和拓展,进而为工控系统的漏洞挖掘提供非线性思路。
结合GHDB关键字的搜素:例如inurl:SCADA……
链接地址含SCADA、Modbus等协议的关键字……
其他KEY:MIS、SIS、DCS、PLC、ICS、监控系统……
相关公司:南京科远、金风科技、天能集团、国电南瑞、华润燃气、积成电子、重庆三峰、东方电子……
至于利用以上四点去做什么,呵呵…
工控精华漏洞分析
乌云工控相关的精华漏洞如下7个,在思路亮点中分析了漏洞的核心,同样也可能是获得打雷精华的理由。几乎共同点均是操控了对应的工控系统。
0x04参考资源
工控专题
ZoomEye工控专题: http://ics.zoomeye.org/
Shodan工控专题:https://www.shodan.io/report/l7VjfVKc
牛人分享
Z-0ne专注于工控安全攻防技术研究 :http://plcscan.org/blog/
网络空间工控设备的发现与入侵:https://github.com/evilcos/papers
工控安全攻防演练场景实现分享(轨道交通):http://zone.wooyun.org/content/14428
工业网络渗透,直击工控安全的罩门(zph,暂无资料)
工控系统安全威胁与应对探索(Kimon)
Exploit PLC on the internet(Z-0ne):https://github.com/knownsec/KCon/tree/master/KCon%202015
其他参考
Google & baidu
协议安全分析专业公司——科诺康:http://www.codenomicon.com/cn/
Modbus通讯协议学习 - 认识篇:http://www.cnblogs.com/luomingui/archive/2013/06/14/Modbus.html
信息安全工程师笔记-工控安全需求分析与安全保护工程
工业控制系统概念及组成工业控制系统简称工控系统(ICS),是由各个控制组件、监测组件、数据处理与展示组件共同构成的对工业生产过程进行控制和监控的业务流程管控系统。工控系统分为离散制造类和过程控制... 查看详情
火力发电厂工控系统网络安全解决方案-对比分析
发电厂网络概述火电厂网络架构中涉及的系统主要包括:火电机组分散控制系统DCS、火电机组辅机控制系统DCSPLC、火电厂级信息监控系统、调速系统和自动发电控制功能AGC、励磁系统和自动电压控制功能AVC、梯级调度监控系统、... 查看详情
[纵横网络靶场社区]工控安全取证(代码片段)
使用file命令查看capture.log,发现是pcap文件,修改后缀为.pcap根据题目描述可以理解为两种意思:一个IP的第四次扫描第四个IP的第一次扫描分析流量包,发现了192.168.0.9、192.168.0.199、192.168.0.1、192.168.0.254共四个... 查看详情
工业企业的工控安全现在做的怎么样了?
1、 工控企业在信息安全领域的现状: 1)、目前工业企业在工控安全建设中,没有具体对应的企业分级建设指南或标准,企业无从知道安全建设的临界点,并且各部委安全管理职能相互交叉,... 查看详情
工控网络安全学习路线
...统安全所面临的重要问题是自主可控的问题,我国在工控领域对国外设备和技术的依赖程度强。据中国产业信息研究网调查统计结果显示,全国5000多个重要的工业控制系统中,95%以上的工控系统操作系统均采用国外... 查看详情
上海工业控制-青岛海天炜业intrust可信芯片工控安全平台系统软件
工业控制-青岛海天炜业InTrust可信芯片工控安全平台系统软件 鉴于工业控制系统应用场景的特殊性,通用杀毒软件无法有效对各控制系统(DCS/SCADA/PLC/SIS等)的操作站、工程师站等终端的工控软件进程进行有效识别和查... 查看详情
2021年江西工业互联网安全技术技能大赛writeup(代码片段)
文章目录协议分析S7协议分析工控流量分析异常流量分析OPC流量分析应急处置图片的秘密现场数据采集应急恢复文件分析组态编程探索组态密码恶意程序恶意app分析恶意程序分析固件分析丢失的密码工业固件分析协议分析S7协议... 查看详情
浅谈工业网络架构及安全
浅谈工控网络架构及安全前言一、工控网络1.工业网络词汇扫盲2.工控网络架构3.工业网络常见通信协议ModbusOPC二、工控安全前言长期以来,传统工业系统的设备专有性与天然隔离性使得人们忽视了信息安全隐患的存在,... 查看详情
工控安全光栅等级2级和4级意思是啥呢?
谢谢当然是4级的好,四级就基本上可以通过欧洲CE认证了!二级的普遍都是。【ESPE意普】参考技术A应该是说符合欧洲安全标准EN61494级.和2级 参考技术BSafetyLightCurtains(Type2)Type2safetylightcurtainsarealow-costsolutionforguardinglower-riskapplicatio... 查看详情
web安全入门-部署dataease看板
有时候,我们需要大屏展示安全运维的情况。DataEase简介DataEase是开源的数据可视化分析工具,帮助用户快速分析数据并洞察业务趋势,从而实现业务的改进与优化。DataEase支持丰富的数据源连接,能够通过拖拉拽方式快速制作图... 查看详情
逆向入门分析实战
...文作者:xiaoyuer1.木马分析入门 大家好,我最近从Web安全开始学习二进制安全,分享一下自己学习过程的收获和心得体会。由于是入门的内容,所以对于二进制大佬来说这很简单,所以本文主要面向的对象主要是和我一样一... 查看详情
[纵横网络靶场社区]工控蜜罐日志分析(代码片段)
西门子私有通信协议是S7COMM,题目要求分析出日志中针对西门子私有通信协议扫描最多的IP,分析日志文件发现针对S7COMM的扫描日志记录都带有s7字样。所以只需要统计下带有s7字样的每一行中每个记录IP的次数,Pyhotn... 查看详情
零基础如何入门网络安全?2023年最新,建议收藏
...朋友的私信和留言,大多数都是零基础小友入门网络安全,·需要相关资源学习。其实看过的铁粉都知道,之前的文里是有过推荐过的。新来的小友可能不太清楚,这里就系统地叙述一遍。01.简单了解一下网络安... 查看详情
阿里云天池学习赛汇总(教学赛,零基础入门,长期赛)
...钟情指数【长期赛】流评测(模型server)练习赛【长期赛】安全AI挑战者计划第一期-人脸识别对抗【长期赛】安全AI挑战者计划第二期-ImageNet图像分类对抗攻击快来一起挖掘幸福感!阿里云安全恶意程序检测工业蒸汽量预测天池... 查看详情
嵌入式工控机与普通工控机的区别
嵌入式工控机与普通工控机的区别首先,嵌入式工控机在整个测控系统中所处的位置,往往在前端,嵌入式工控机向上的连接往往是普通工控机,普通工控机的运算能力、软件资源、数据库支持等方面都是嵌入式工控机难以企及... 查看详情
工控系统的指纹识别技术
...发现ICS系统脆弱性,检测攻击行为等方向。本文主要关注工控安全领域指纹识别技术。指纹识别是什么 查看详情
工控随笔_c#连接plc_之_c#入门_01_配置学习环境(代码片段)
最近在做一个东西,需要用到通用开发语言开发一个软件来读取PLC的内容,这方面的难点在于解析PLC利用以太网通讯的通讯协议,而一般的PLC厂商对自己的协议是封闭的,对一般的开发者是不开放的,虽然可以通过Wiresh... 查看详情
记一次.net某工控mes程序崩溃分析(代码片段)
一:背景1.讲故事前几天有位朋友找到我,说他的程序出现了偶发性崩溃,已经抓到了dump文件,Windows事件日志显示的崩溃点在clr.dll中,让我帮忙看下是怎么回事,那到底怎么回事呢?上WinDbg说话。二:W... 查看详情