Tide安全团队计划把《工控安全从入门到实战》做为工控的一个专题系列，从工控安全基础知识到工控安全入门、从协议分析到蜜罐技术、从漏洞利用到攻击防护，一点一点揭开工控安全的神秘面纱。

       目前暂定提纲如下，欢迎大家监督。因为很多东西也是从头学起，不足之处也请大佬多多指正。

1.5 工控设备安全测试工具列表

        (1) 主节点发送请求，请求数据帧中包括子节点地址，请求被所有子节点接收到，但只有与子节点地址相符合的子节点处理接收到的请求数据帧；

        (4) 主节点接收到响应数据帧后，会话完成，如果主节点等待响应时间超时仍未接收到响应，认为会话失败，放弃本次会话。

        (1) RS-485总线上，任意一个节点发送的数据帧，可以被除这个节点外的所有节点接收到，任何一个节点都可以监控RS-485总线所有通讯数据帧。

        (3) 主节点仅通过是否超时来判断会话是否成功，如果子节点处理请求数据帧的速度较慢，另一节点完全可以伪造响应数据帧结束会话，使得主节点接收到错误响应。或者通过干扰RS-485总线阻止主节点收到响应，使得主节点认为超时而放弃会话。

        (5) 在作为Modbus子节点的PC上，开发并运行攻击程序，接收请求数据帧并快速发送伪造的响应数据帧，检查作为Modbus主节点的PC是否接收到了伪造的响应数据帧，如果收到表示攻击成功，现场仪表存在引发Modbus协议漏洞的可能。

        工控服务器和工作站大部分是Windows系统，且很大一部分为XP等老旧系统。用户由于担心系统兼容性问题，通常不升级补丁，系统长期运行后会积累大量的安全漏洞，也为渗透测试提供了丰富的研究素材。

  在互联网飞速发展的今天,Web应用已越来越多地深入到人们的生活、娱乐和办公等各个方面。移动互联网的兴起使得Web应用变得更加广泛,技术更加成熟,甚至已渗透到工业控制领域。一些优秀的组态软件厂商已将Web技术应用到厂级信息管理和实时生产监控软件中。其中,基于Web的人机界面监控系统是Internet技术和控制技术相结合的产物,用户只需利用浏览器即可随时随地地远程监控组态运行画面,及时了解现场各种设备的运行状况。Web发布已经成为工控组态软件的重要组成部分之一，但是在给人们带来便利的同时也给黑客攻击者带来可乘之机，本章节针对工控系统中Web安全常规漏洞进行分析与汇总。

攻击类型：SQL注入漏洞

风险分析：利用该漏洞可探测数据库结构获取数据库敏感信息，还可通过该漏洞获取系统更高权限，对数据带来安全威胁。

（1）所有的查询语句都使用数据库提供的参数化查询接口，参数化的语句使用参数而不是将用户输入变量嵌入到SQL语句中。当前几乎所有的数据库系统都提供了参数化SQL语句执行接口，使用此接口可以非常有效的防止SQL注入攻击。

（2）对进入数据库的特殊字符（' " \ 尖括号 & * ;等）进行转义处理，或编码转换。

（3）严格限制变量类型，比如整型变量就采用intval()函数过滤，数据库中的存储字段必须对应为int型。

（4）数据长度应该严格规定，能在一定程度上防止比较长的SQL注入语句无法正确执行。

（5）网站每个数据层的编码统一，建议全部使用UTF-8编码，上下层编码不一致有可能导致一些过滤模型被绕过。

（6）严格限制网站用户的数据库的操作权限，给此用户提供仅仅能够满足其工作的权限，从而最大限度的减少注入攻击对数据库的危害。

（7）避免网站显示SQL错误信息，比如类型错误、字段不匹配等，防止攻击者利用这些错误信息进行一些判断。

（8）确认配置文件中的字符过滤、转义等选项保持开启。

（9）将系统敏感性数据（用户名或密码等）在数据库加密存储。

攻击类型：Struts2命令执行漏洞

风险分析：恶意攻击者可利用该漏洞执行任意的命令，也可以利用此漏洞在网站中写入一句话木马，进而可接管服务器权限。

加固建议：及时升级struts2到最新版本，补丁地址：

风险分析：弱口令非常容易被攻击者猜解或通过弱口令扫描工具扫描到，导致攻击者通过弱口令可轻松登录到系统中，从而进行下一步的攻击。如上传webshell、获取敏感数据，另外攻击者利用弱口令登录网站管理后台，可任意增删改等操作，严重情况下可能会造成工控设备的运行异常，从而给工业生产带来巨大损失。

加固建议：增强密码复杂度，建议密码密码不能包含账户名，密码不能包含用户名中超过两个连续字符的部分，密码至少有八个字符长度密码必须包含以下四类字符中的至少三类字符类型：英文大写字母(A-Z)、英文小写字母(a-z)、10个基本数字(0-9)、特殊字符（例如：!、￥、#、%）。

3.1.4 系统/服务运维配置不当

攻击类型：系统/服务运维配置不当

风险分析：系统/服务运维配置不当可以让攻击者获取系统服务器的敏感信息，为下一步渗透测试做准备。若因某些应用程序配置不当或版本过低，攻击者可以利用网上公开的漏洞Exp进行进一步渗透、提权等。

加固建议：在发布应用程序之前应测试所有系统配置与软件配置，关闭危险端口，积极关注网络安全动态，及时修复漏洞补丁、更新应用程序。

攻击类型：任意文件上传

风险分析：攻击者可通过此漏洞上传恶意脚本文件控制整个网站或系统，甚至控制服务器。攻击者可上传可执行的WebShell（如php、jsp、asp类型的木马病毒），webshell脚本具有强大的功能，比如查看服务器目录、服务器中的文件，执行系统命令等。

（1）文件上传的目录设置为不可执行。只要web容器无法解析该目录下面的文件，即使攻击者上传了脚本文件，服务器本身也不会受到影响。

（2）判断文件类型。在判断文件类型时，可以结合使用MIME Type、后缀检查等方式。在文件类型检查中，强烈推荐白名单方式。

（3）使用随机数改写文件名和文件路径。应用随机数改写了文件名和路径，将极大地增加攻击的成本。

（4）单独设置文件服务器的域名。由于浏览器同源策略的关系，一系列客户端攻击将失效。

攻击类型：java反序列化漏洞

风险分析：java反序列化漏洞是一类被广泛应用的漏洞，绝大多数的编程语言都会提供内建方法使用户可以将自身应用所产生的数据存入硬盘或通过网络传输出去。这种将应用数据转化为其他格式的过程称之为序列化，而将读取序列化数据的过程称之为反序列化。当应用代码从用户接受序列化数据并试图反序列化改数据进行下一步处理时会产生反序列化漏洞。该漏洞在不同的语言环境下会导致多种结果，但最有危害性的，也是之后我们即将讨论的是远程代码注入。该漏洞在WebLogic、WebSphere、JBoss、Jenkins、OpenNMS中都可以使用，实现远程代码执行。

攻击类型：权限控制绕过

风险分析：越权访问，这类漏洞是指应用在检查授权（Authorization）时存在纰漏，使得攻击者在获得低权限用户帐后后，可以利用一些方式绕过权限检查，访问或者操作到原本无权访问的高权限功能。在实际的代码安全审查中，这类漏洞往往很难通过工具进行自动化检测，因此在实际应用中危害很大。其与未授权访问有一定差别。目前存在着两种越权操作类型：横向越权操作和纵向越权操作。前者指的是攻击者尝试访问与他拥有相同权限的用户的资源；而后者指的是一个低级别攻击者尝试访问高级别用户的资源。

加固建议：对用户操作进行权限校验，防止通过修改参数进入未授权页面及进行非法操作，建议在服务端对请求的数据和当前用户身份做一个校验检查。流程描述：在服务器接收到用户发送的页面访问请求时，根据预设的识别策略，从用户的页面访问请求中提取该用户对应的用户唯一标识信息，同时提取所述页面访问请求对应的应答页面中的表单及该表单中不可修改参数，将所述表单及不可修改参数与所述用户唯一标识信息绑定后记录到参数列表中；检测到用户提交请求页面的表单时，将所述请求页面的表单及不可修改参数与该用户对应的所述参数列表中记录的表单及不可修改参数进行比对，控制该用户的访问。

攻击类型：敏感信息泄露

风险分析：攻击者可利用泄漏的敏感信息，获取网站服务器web路径或其他工控设备配置信息，为进一步攻击提供帮助。

加固建议：限制用户对网站目录的访问权限，当系统出现报错页面或用户输入非法字符时建议返回统一的404报错页面。

风险分析：未授权访问漏洞，是在攻击者没有获取到登录权限或未授权的情况下，或者不需要输入密码，即可通过直接输入网站控制台主页面地址，或者不允许查看的链接便可进行访问，同时进行操作。

加固建议：在系统中，加入用户身份认证机制或者tonken验证，防止可被直接通过连接就可访问到用户的功能进行操作，简而言之，一定对系统重要功能点增加权限控制，对用户操作进行合法性验证。

3.1.10 任意文件下载漏洞

攻击类型：任意文件下载漏洞

风险分析：下载服务器任意文件，如脚本代码、服务及系统配置文件等；可用得到的代码进一步代码审计，获取更多可利用漏洞。

加固建议：过滤点(.)使用户在url中不能回溯上级目录；正则严格判断用户输入参数的格式；将下载区独立出来，放在项目路径外，给每个下载资源固定的URL，而不是所有的下载资源都是统一的URL：

1、安全软件选择与管理防护评估验证

  检查核心装备是否已采用经过离线环境充分验证测试的防病毒软件、应用程序白名单软件等，检查是否设置了只允许通过仿真测试环境自身授权或安全评估的软件运行策略。评测仿真测试环境是否已建立防病毒和恶意软件入侵管理机制，确保该管理可有效规范防病毒和恶意软件入侵管理工作。要求仿真测试环境应定期针对工业控制系统及临时接入的设备开展查杀，并做详细查杀记录。

2、核心装备配置和补丁升级验证评估验证

  检测仿真测试环境是否已做好工控网络、工控主机和工控设备的安全配置，确保工控系统相关安全配置的有效性。要求仿真测试环境建立工控系统配置清单，确保该清单满足企业工业控制系统安全可靠运行的需要。为仿真测试环境定期对工控系统配置进行核查审计，确保系统实际配置与配置清单的一致性。仿真测试环境在发生重大配置变更时，应当提前制定配置变更计划，进行影响分析，确保该重大配置变更不会引入重大安全风险。

3、边界安全防护评估验证

        验证仿真测试环境是否针对工控系统的开发、测试和生产分别提供独立的环境，避免开发、测试环境中的安全风险引入生产系统。验证工控网络与企业边界是否部署安全防护设备，以避免企业网的安全风险引入工业控制网络。验证是否采用工业防火墙、网闸等安全防护设备，对工业控制网络安全区域实施逻辑隔离安全防护。

4、身份认证防护评估验证

  验证工控主机登录、SCADA软件、应用介绍资源访问、工控云平台访问等过程中是否使用身份认证管理（如：口令密码、USB-Key、智能卡、生物指纹、虹膜等），对于关键设备、系统和平台的访问是否采用多因素认证，以免非法登录等安全隐患。验证工控主机的操作权限。工控系统中应满足工作要求的最小权限原则来进行系统账户权限分配，降低因事故、错误、篡改等原因造成损失的可能性。要求仿真测试环境定期审计分配的账户权限是否超出工作需要，确保超出工作需要的账户权限及时调整。

5、远程访问安全防护评估验证

        验证工控系统的远程访问是否采用数据单向访问控制等策略进行安全加固，确保数据传输安全，避免未授权操作。原则上严格禁止工控系统面向互联网开通HTTP、FTP、Telnet等高风险服务。

6、物理和环境安全防护评估验证

  验证工控系统是否对重要工程师站、数据库、SCADA、PLC等核心工业控制软硬件所在区域采取访问控制、视频监控、专人值守等物理安全防护措施。拆除或封闭工控主机上不必要的USB、光驱、无线等接口，以防止病毒、木马、蠕虫等恶意代码入侵，并避免数据泄露。在确需使用工业主机外设接口时，仿真测试环境应建立主机外设接口管理制度，并通过主机外设安全管理技术手段实施访问控制，以避免未授权的外设终端接入。

7、安全检测和应急预案演练评估验证

        验证仿真测试环境是否采取网络安全应急防护措施，防止事态扩大。仿真测试环境应定期组织工控系统相关人员开展应急响应预案演练，确保安全事件发生时应急预案被有效执行。同时，还需根据实际情况对应急响应预案进行评审和修订，确保应急响应预案的适宜性。

8、资产安全防护评估验证

        要求仿真测试环境建立工业控制系统资产清单(包括软件资产、硬件资产、数据资产等)，确保工业控制系统资产信息可核查、可追溯;仿真测试环境应明确资产责任人并建立资产使用处置规则，以在资产生命周期内对其进行适当管理。

9、数据安全防护评估验证

  仿真测试环境应明确识别重要工业数据清单。仿真测试环境应对静态存储的重要工业数据进行加密存储或隔离保护，设置访问控制功能，确保静态存储的重要工业数据不被非法访问、删除、修改;应对动态传输重要工业数据进行加密传输或使用VPN等方式进行保护，确保动态传输过程中重要工业数据的安全性;应根据风险评估结果建立数据分级分类管理制度，确保工业数据的防护方式合理。

10、落实责任防护内容验证

  仿真测试环境应通过建立工业控制系统安全管理机制,确保工控安全管理工作有序开展。应成立由企业负责人牵头的，信息化、生产管理、设备管理等相关部门组成的工业控制系统信息安全协调小组，负责统筹协调工业控制系统信息安全相关工作;应在工业控制系统信息安全协调小组指导下，按照管理机制，明确工控安全管理责任人，落实工控安全责任制，部署工控安全防护措施。

5.1 构建工控系统漏洞库

        工控安全漏洞可划分为工控设备漏洞、工控网络协议漏洞、工控软件系统漏洞、工控安全防护设备漏洞等。可以根据公开的工控漏洞平台（ 等）构建工控系统漏洞库。

        众所周知，一款工控漏洞扫描平台的灵魂是基于其内置的工控漏洞库，工控漏洞扫描平台功能是否强大取决于工控漏洞库的完整性。因此，可以收集公开漏洞饿poc、exp来构建工控漏洞库，为后续开发工控漏洞扫描平台奠定基础。

5.2 工控系统蜜罐技术

        蜜罐技术本质上是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解他们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。

  目前工控安全审计检测类产品大多基于旁路网络流量和产品自身特征库等手段进行网络审计和安全检测，但由于旁路流量存在丢包以及流量类型不全面、监测位置过于趋向网络核心层等问题，使旁路检测类产品难以防范复杂攻击，且具有较高的误报率。同时由于工业环境网络隔离的特性，使产品无法自动更新特征库，造成攻击检测的严重滞后。

        蜜罐系统凭借其独立性以及对工控系统的无干扰性，可有效解决现阶段工控安全产品对工控网络、流量以及实时性的影响，弥补无法在工控设备、工控主机、工控服务器内安装安全代理或安全探针的问题，有效提高安全检测的精度，降低误报。

  工业企业网络架构一般可分为管理信息层、生产管理层、过程监控层、现场控制层以及现场设备层。管理信息层为传统信息网络，生产管理层、过程监控层、现场控制层以及现场设备层为工业生产网络。现阶段工业企业在管理信息网与工业生产网之间一般采用物理隔离或逻辑隔离的方式进行网络分层，针对每种隔离方式存在不同的攻击类型。

（1）双网物理隔离环境针对管理信息网与生产网物理隔离的环境，攻击者一般采用恶意软件攻击与跳板攻击相结合的方式。恶意软件攻击一般借助社会工程学、水坑攻击、钓鱼邮件攻击等方式将恶意软件植入受害者办公主机内。此类工业企业由于在管理信息网与工业生产网络之间部署了物理隔离设备，导致恶意软件不能直接进入生产控制网络，此时恶意软件会借助移动终端、移动存储介质、第三方终端等方式进入工业生产网主机，并以此主机为“据点”进行后续攻击操作。此类恶意软件一般具有较高的自动化特性，可根据目标环境进行设备的自动识别，自动传播、自动攻击。

（2）双网逻辑隔离环境此环境下，工业企业一般在管理信息网与工业生产网之间部署了防火墙等逻辑隔离设备，或采用单主机双方卡的形式实现逻辑隔离。由于逻辑隔离没有阻断网络层的连接，极容易导致攻击者绕过逻辑隔离设备进入生产网络。在此环境下，攻击者可以采用恶意软件以及内网反弹的方式直接获取内网主机的操控权限，此类攻击具有较强的灵活性。

  由于目前的网络攻击方式大多基于IT架构，因此工业生产网络内的各工程师站、操作员站、监控站必然成为恶意软件以及攻击者进行“下一步”攻击的“落脚点”。以蠕虫病毒为例，其攻击步骤可分为感染主机、自动扫描、发现漏洞、自动传播。由于蜜罐系统的开放性以及自身存在较多安全漏洞，再配合良好的部署位置，会成为攻击者绝佳的“落脚点”，蜜罐系统通过精心构造的安全攻击与行为跟踪检测功能，可以对攻击行为进行精确记录、告警，同时与其他安全平台联动，从而实现网络攻击的快速检测、响应，为工业企业调查取证提供依据。

5.3 自主研发模糊测试工具、资产搜集+漏洞挖掘平台

  面对各种层出不穷的攻击方法和攻击模式，以及逐渐演变的高级持续性威胁（APT攻击），传统的被动安全防御手段已不能起到有效的防护作用。为了探索有效的主动安全防御方法，就要求必须自主研发一系列工控安全威胁感知预警平台。旨在捕获和分析网络空间中针对工控系统的攻击流量，研究攻击者的行为动机，溯源攻击者的真实身份，从而在未知网络攻击到来时能够做出更好的应对。

资产搜集平台设计思路：

（1）根据工控系统业务需求制定资产收集范围，收集工控设备指纹库；

（2）端口探测与扫描。此阶段包含资产主机的存活性检测与端口开放状态的探测；

（3）分析并构造工控协议数据包，并发送通信请求，等待接收；

（4）接收解析通信返回数据包，提取分析并进行相应资产信息的搜集；

（5）将探测到的资产设备信息存入数据库。

总体流程图如下图所示：

参考文献：于新铭,郭燕慧.一种针对工控设备的资产探测方法[J/OL].计算机工程与应用:1-10[].

5.3.2 工控蜜罐的搭建

通过搭建ICS蜜罐，大致可以实现以下功能：

（1）工控攻击数据的捕获

（2）密观数据实时收集及蜜罐管理

（3）工控攻击数据分析

（4）工控攻击数据可视化

总体架构图如下图所示：

Fuzzing模糊测试可分为四类：

（1）动态Web页面的模糊测试；

（2）针对文件格式的模糊测试；

（4）驱动程序模糊测试。

Fuzzing模糊测试软件还可以检测多种漏洞，如：DDoS攻击、缓冲区溢出漏洞、SQL注入漏洞、跨站脚本漏洞、RPC攻击、信息泄露和文件系统攻击等。与其他技术相比，Fuzzing技术更具先进性、从发现漏洞到利用漏洞、不存在误报等优点。

Fuzzing模糊测试一般可分为以下阶段：

（3） 生成模糊测试数据；

（4） 解析执行模糊测试数据；

总之，Fuzzing测试的核心思想是自动或半自动的生成针对不同工控设备通信协议的随机数据输入到某一个ICS设备或程序中，直至被测设备或程序运行异常，如崩溃、断言失败，以发现可能的程序错误，进而分析被测设备或程序可能存在的0day漏洞。

        在实验室或者测试环境搭建模拟真实生产控制系统的平台，采用相同的设备类型、型号和版本，并尽可能采用真实系统的备份镜像进行测试，采取各项渗透测试手段，尽最大可能发现模拟环境的问题，而无需太关心安全问题。

        乌云工控相关的精华漏洞如下7个，在思路亮点中分析了漏洞的核心，同样也可能是获得打雷精华的理由。几乎共同点均是操控了对应的工控系统。

  工业控制系统的信息安全防护体系包含：在总体安全策略指导下，建立工业控制系统的安全技术体系，进行工业控制系统控制中心、通信网络和现场设备的安全防护，确保控制中心数据安全、网络传输数据的完整性、保密性和可用性以及战场设备的安全防护能力；安全管理体系为工业控制系统提供组织保证、培训机制和技术规范等，信息安全防护体系具有高可靠性，并具有可审计、可监控性；安全服务体系为工业控制系统提供安全测评、风险评估、安全加固和监控应急服务。安全防护总体框架如下图所示：

工业控制系统信息安全防护能力评估-37_81516

工业控制SCADA系统的信息安全防护体系研究_余勇

工业控制系统（ICS）安全专家必备的测试工具和安全资源

Tide安全团队正式成立于2019年1月，是以互联网攻防技术研究为目标的安全团队，目前聚集了十多位专业的安全攻防技术研究人员，专注于网络攻防、Web安全、移动终端、安全开发、IoT/物联网/工控安全等方向。

想了解更多Tide安全团队，请关注团队官网:  或关注公众号：