工业控制系统安全防护技术.pdf

1、工业控制系统信息安全防护技术智能工业控制网络安全专家目 录010203 工控事件攻击技术概述工控系统安全技术工控系统防护体系思考04 结束语信息化和软件服务业司智能工业控制网络安全专家 2014年，安全研究人员发现了一种类似震网病毒的恶意软件，并将其命名为：Havex，这种恶意软件已被用在很多针对国家基础设施的网络攻击中。 就像著名的Stuxnet蠕虫病毒，Havex也是被编写来感染SCADA和工控系统中使用的工业控制软件，这种恶意软件在有效传播之后完全有能力实现禁用水电大坝、使核电站过载、甚至有能力关闭一个地区和国家的电网。HAVEX病毒智能工业控制网络安全专家篡改供应商网站，在下载软件升级

2、包中包含恶意间谍软件被攻击用户下被载篡改的升级包恶意间谍代码自动安装到OPC客户端OPC服务器回应数据信息 黑客采集获取的数据恶意间谍代码通过OPC协议发出非法数据采集指令124 将信息加密并传输到C&C （命令与控制）网站35 76通过社会工程向工程人员发送包含恶意间谍代码的钓鱼邮件1 供应商官方网站工控网络 OPC客户端 OPC客户端OPC服务器 OPC服务器生产线 PLC PLCHAVEX病毒攻击路径概述智能工业控制网络安全专家l 有三个厂商的主站被这种方式被攻入，在网站上提供的软件安装包中包含了Havex。这三家公司都是开发面向工业的设备和软件，这些公司的总部分别位于德国、瑞士和比利时

3、。l 其中两个供应商为ICS系统提供远程管理软件，第三个供应商为开发高精密工业摄像机及相关软件。在被入侵厂商的主站上，向用户提供包含恶意代码的升级软件包利用系统漏洞，直接将恶意代码植入 包含恶意代码的钓鱼邮件Havex 传播途径智能工业控制网络安全专家 通过反向Havex程序，我们发现它会枚举局域网中的RPC服务，并寻找可连接的资源 Havex通过调用IOPCServerList和IOPCServerList2 DCOM接口来枚举目标机器上的OPC服务 随后Havex可以连接到OPC服务器，通过调用IOPCBrowse DCOM接口获取敏感信息Havex 深度解析智能工业控制网络安全专家方程式

4、组织曝光2015年信息安全界最重大的新闻智能工业控制网络安全专家方程式潜伏二十年，肆虐全球 从2001年到现在，“方程式组织”已经在伊朗、俄罗斯、叙利亚、阿富汗、阿拉伯联合大公国、中国（香港）、英国、美国等全球超过30个国家感染了数千个，甚至上万受害者。智能工业控制网络安全专家方程式的攻击目标：以工业控制设施为主它所瞄准的不是个人用户，或普通的商业用户，而是一个国家的关键设施、经济命脉。 它的目的不是普通病毒的窃取信息、经济诈骗，而是破坏工业生产，制造社会混乱，乃至直接打击军事设施。 多种证据显示，“方程式”跟美国国家安全局、以色列情报机构、以及英国军方具有密切的联系。 结论：“方程式”是一种

5、主要以工业控制网络为目标的病毒武器。智能工业控制网络安全专家方程式的攻击目标：以美国敌国为主 欧 洲 、 北 美 、 日本 、 澳 洲 等 地 区 是 世 界上 经 济 最 发 达 地 区 ， 拥有 最 多 的 计 算 机 和 最 高的 互 联 网 普 及 率 ， 从 概率 上 而 言 ， 这 些 国 家 感染 病 毒 的 几 率 应 该 也 是最 高 的 。 但 实 际 上 ， 他们 的 感 染 率 却 是 最 低的。 感 染 “ 方 程 式 ” 最多 的 国 家 ， 除 了 俄 罗 斯和 中 国 以 外 ， 伊 朗 、 巴基 斯 坦 、 阿 富 汗 、 叙 利亚 等 国 ， 都 是 比 较

6、 落 后的 国 家 ， 计 算 机 和 互 联网 的 使 用 率 都 很 低 。 凡 是 美 国 和 它 的 盟国 ， 感 染 率 都 很 低 ，凡 是 美 国 的 敌 国 或 美国 蓄 意 打 压 的 国 家 ，病 毒 感 染 率 都 名 列 前茅 。智能工业控制网络安全专家知己知彼：方程式的工具组件 “程式组织”发展了极为强大的“军火库”，恶意间谍软件至少包括EquationLaser、EquationDrug、DoubleFantasy、TripleFantasy、Fanny 、Gray Fish等。智能工业控制网络安全专家知己知彼：方程式的硬盘感染能力 “方程式”可以对数十种常见品牌的

7、硬盘固件进行重新编程的。包括三星、西数、希捷、迈拓、东芝以及日立等公司。这些受到感染的硬盘使得攻击者可以持续的对受害者的计算机进行控制和数据窃取。是首个已知的能够直接感染硬盘的恶意软件。 方程式特别强化了其驻留硬盘的能力，躲过杀毒软件、操作系统重装、乃至硬盘格式化。智能工业控制网络安全专家知己知彼：方程式的隔绝网络感染能力病毒会通过网络，感染某台能够上网的电脑A。1234 隔离网络在工控中应用广泛， “方程式”病毒特别擅长攻击隔离网络，并在隔离网络和互联网之间传送信息。步骤如下：567 当电脑A插入某个U盘时，这个U盘也会被感染。当被隔离的电脑B需要拷贝文件，插入被感染的U盘时，电脑B被感染。

8、病毒会从电脑B以及跟它联网的其他设备中收集信息，保存到U盘上。当这个U盘又被拿出去，接到电脑A上时，前面收集到的信息，则会通过网络传回病毒的服务器。服务器会分析通过U盘收集到的电脑B、以及电脑B所在网络的信息，发出进一步的命令，存储在U盘之中。当U盘再次插入电脑B，则那些命令将会自动执行，执行更有针对性的窃取和破坏行为。智能工业控制网络安全专家沙虫攻击概述 沙虫攻击主要源自微软Windows对PowerPoint文件的处理错误，影响几乎所有的Windows版本。通过利用该漏洞可以通过OFFICE文档嵌入恶意程序，造成任意代码执行，从而让黑客完全控制被攻击的电脑。 在针对能源企业的事件中，攻击者

9、通过沙虫攻击入侵了目标主机后使用了GE Cimplicity HMI软件的一个安全漏洞进一步控制了现场的HMI主机，植入木马用于窃取数据或进行其他工作。智能工业控制网络安全专家沙虫攻击概述 通过分析恶意的工程文件（poc）的16进制数据流能够发现恶意嵌入的命令，当用户打开该工程文件时，就会执行恶意嵌入的命令，打开如下的工程文件会在用户界面弹出一个计算器。智能工业控制网络安全专家沙虫攻击概述 该攻击主要利用了GE Cimplicity HMI软件的一个安全隐患，当打开攻击者恶意构造的.cim或者.bcl文件时将允许在用户HMI主机上执行任意代码以及安装木马文件。 cim 或者.bcl文件是Cim

10、plicity的工程文件，一个典型的Cimplicity工程显示如下智能工业控制网络安全专家沙虫攻击概述 攻击者在成功利用沙虫病毒成功植入了恶意构造的CIM工程文件，该工程文件植入了特定的攻击指令。 通过执行上述指令，攻击者下载了恶意程序并伪装成GE Cim软件进程进行隐藏。至此攻击者已经植入了复数的木马并成功控制了目标主机。智能工业控制网络安全专家沙虫攻击流程利用漏洞安装木马木马下载GE 恶意工程文件用户打开恶意文件执行恶意代码进一步攻击工控环境智能工业控制网络安全专家 通过引入PLC蠕虫，PLC成为了攻击源，而不只是攻击目标。受感染的PLC可能通过工控组件提供商或者在组件传输过程中被掺入其

11、中而进入到工控系统中。 蠕虫之后便可以在工控网络内部进行扩散，且不需要任何标准电脑和服务器。因此它不会被任何杀毒软件做侦测到。最新工控攻击技术：PLC蠕虫智能工业控制网络安全专家最新工控攻击技术：PLC Rootkit 阿巴斯和哈舍米实现了基于可加载内核模块 (LKM)的rootkit 。这种方式可绕过现有基于主机的入侵检测和用于嵌入式系统的控制流完整性工具，比如 Autoscopy Jr 和Doppelganger。智能工业控制网络安全专家控制系统传感器、变送器、执行机构企业管理网车间监控网现场控制网互联网损坏攻击路径介绍边界攻击智能工业控制网络安全专家控制系统传感器、变送器、执行机构企业管

12、理网车间监控网现场控制网互联网损坏攻击路径介绍介质攻击智能工业控制网络安全专家控制系统传感器、变送器、执行机构企业管理网车间监控网现场控制网互联网损坏攻击路径介绍内部人员（误操作）攻击智能工业控制网络安全专家控制系统传感器、变送器、执行机构企业管理网车间监控网现场控制网互联网损坏攻击路径介绍智能设备引入攻击智能工业控制网络安全专家目 录010203 工控事件攻击技术概述工控系统安全防护技术工控系统防护体系思考04 工控系统安全解决方案05 结束语信息化和软件服务业司智能工业控制网络安全专家工业控制系统安全防护技术 工业防火墙 工业防火墙技术是防范工控网络攻击最常用的技术手段，通过在工控网络和信

13、息网络（或互联网）之间设置中间防护系统，形成一个安全屏障，将工控网络和信息网络分割开。信息化和软件服务业司智能工业控制网络安全专家工业控制系统安全防护技术 工业防火墙功能： 支持多种工业控制协议 支持OPC协议 支持指令集的白名单控制 支持阈值的控制 日志记录及使用统计 其它安全机制 下一代智能防火墙功能： 工业协议智能建模深度解析 智能配置访问控制规则 隐形防攻击 工控防火墙下一代智能工控防火墙智能工业控制网络安全专家工业控制系统安全防护技术 抓包分析技术 抓包分析技术是从微观上保证网络安全的技术手段，通过捕获网络中传输的数据包并对数据包进行统计和分析，可以从中了解协议的实现情况、是否存在网

14、络攻击等，为制定安全策略及进行安全审计提供直接的依据。抓包分析技术是实现工业防火墙、工控审计系统、工业协议防护等防护技术和策略的基础。 工控审计系统智能工业控制网络安全专家工业控制系统安全防护技术 工控漏洞扫描技术 传统网络安全漏洞挖掘技术可以预先发现网络安全漏洞，提前采取补救措施，从而预防网络安全事故的发生。网络安全漏洞挖掘技术通常包括漏洞扫描和模拟攻击两种。 漏洞扫描：通过与目标主机TCP/IP端口建立连接并请求某些服务（如FTP，HTTP等），记录目标主机的应答，从而收集目标系统的安全漏洞信息。 模拟攻击：通过模拟攻击的方法，如：IP欺骗、缓冲区溢出、DOS攻击等方法对目标系统可能存在的已知安全漏洞进行逐项检查，从而发现系统的安全漏洞所在。智能工业控制网络安全专家工业控制系统安全防护技术工控漏洞扫描过程： 首先进行端口扫描，获取目标工控设备、工控软件等指纹信息； 通过获取的指纹信息识别目标系统的种类、型号或版本等，将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配，查询相关安全漏洞。 系 统 漏 洞 库扫 描 引 擎 模 块规 则 匹 配 库扫 描 客 户 端 模 块 5 漏 洞 数 据2 扫 描 方 法 3 扫 描 网 络4 主 机 响 应1 扫 描 命 令6 扫 描 结 果