《WEB/内网菜鸟安全研究员初步试水工控安全》科普向文章。

这个文章仅供web/内网安全专家初步了解工控安全的一篇原创文章（只发掌控社区），科普向文章。

工控安全的技能网状图

当然，对于web安全的研究员来说在招聘的时候会看到招聘
“网络安全相关（计算机专业）”“自动化相关（电气工程自动化专业）”

所以说就会有一种想法就是我搞web一样可以完全掌握这个行业。

在这个招聘的时候你会发现，只会web/内网安全是远远不够的，
让我想起聂风老师所说的，就是工控安全在web安全当中是很虚的，
确实如此，一位大佬说过：工控安全姓工不姓网。

1. IT更加看重数据机密性，生产资料机密性，源代码的机密性。
2. OT更加看重可用性，持续性，设备和人员安全。然后才看重工控安全当中的IT安全。

所以在思维上来说不能完全的将IT安全完全嵌套在ICS安全当中，这样效果就不会特别的好

工控安全特殊性
工控安全网络协议特殊，很多私有协议，而且存在很多协议
非常求稳，稳定性大于安全性，不能随意停机修复
落后，因为设备的更新周期一般是十年起步
无法通过补丁解决问题，有些固件打不了补丁
一定要低延迟，工厂网络不同于网站网络，不能允许卡顿。

部分业务要求
无线电安全
WiFi/蓝牙安全
———————讲述一个真实安全案例，抖音一个智慧工厂老板，10w聘工程师设计一个无线电与wifi蓝牙结合的工厂，做成一个小程序，方便在手机上操控所有设备，后来怕不安全，花10w请黑客团队，30分钟控制整个工厂。
安全工程（机械）
——————维护物理安全。
通讯工程
——————通讯协议。
网络工程
电工
——————帮助老班接线，调试等。

既然说到工控安全注意物理层面的就要提到一个防尘防潮的知识点

当然保证其中的物理安全不止这些，还有需要考虑
接地系统（地线）

控制器与机房钥匙与锁具（顾名思义的锁具安保）

网络端口牢固或者防止被其他人利用（黑客插入网口，说到牢固，让我又想起一个案例，就是一个老板去视察工厂，一不小心脚把网线踢掉了，找了一堆安全研究员和运维人员排查了三个小时，结果发现是网线掉了）

供电系统

散热系统（工厂设备要求温度在一个区间，真实案例，黑客堵住风扇口，导致温度过高，造成和ddos一样的效果）

门禁安保系统（这个太值得去细说了）

在这个说明书当中就介绍两点（可以公网，可以内网）
如果是公网，直接日掉，加入人脸数据或者指纹数据，或者dump一下id/ic卡（一般是id卡）的数据放在自己的空白id卡当中，或者用Hack rf（无线电安全专用实体工具来将进行侵入。

来看看你附近有没有这些暴漏在外部网的设备
https://zhifeng.io/web/new/

进入工厂之后不要小看进去之后能干什么，有机会可以看到密码

直接来看看网络结构
当前工业网络结构最大的特点就是IT（办公网）于OT（生产网）之间的结合。

之前的工业网络当中是有防火墙的硬隔离

现在的数字经济当中将web与工业网链接在一起，所以给web安全研究员一个发展的方向。

融合之后的网络层次

“互联网”当中的“员工电脑”可以访问“内部系统”然后通过“DMZ”访问“PLC Program Repo” 然后通过“人机交互页面与工程师站”然后控制“PLC”，进而控制“机器人….”

这个就是所谓的权限层次

解释一些名词

最值得注意的就是什么是SCADA系统

上面就是大庆的一个SCADA系统与乌云当中所有的这个系统案例
这个系统不是一个具体的系统，如某某cms，而是一类系统的学名专业名词

DCS

RTU

HMI

大家所常见的HMI，用嵌入式开发做的，放在24寸大彩电上的，有经验的web安全人员肯定也是见过这类屏幕的。

工程师站的配置

来讲解一个wincc安全的真实案例

伊朗核电站攻击过程

那么如何大体的实现上面的攻击路程？
就找三个点：

1. 跳板机
2. 社工（摆渡/水坑/鱼叉）
3. AD/身份认证

黑客非常关注的一点就是超级管理员的权限，只要有超级管理员 的权限，那么你的工厂就是处于“人为刀俎我为鱼肉”的状态。

黑产角度分析风险点
因为俄乌战争，所以就有一些工控安全研究员得以搜集到一些黑产人员攻击工厂武器包情报。
其中远程代码执行（突破边界）有二成，而提权软件（超级管理员）有八成。
工具：ADFind（AD环境筛查，AD组织目录）BloodHound（探测攻击路径，找管理员在哪里，差几步，谁能被利用）Forge Kerberos Tickets（黄金票据）OS Credential Dumping（盗取操作系统的密码）

所以，AD是工控安全当中是非常值得注意的一个点。

如何做一个单兵工控安全apt？
如果将ics攻击框架下面的攻击手法都掌握了，那您就是ics单兵apt

总结出五点需要具备的能力
资产追踪
漏洞管理
工业配置审计
威胁检测
身份认证的管理监控

资产追踪
Ip地址，资产类型，生产公司，生产型号，固件版本号
资产追踪方法：
1.问电气自动化/IT运维工程师资产
2.扫描
但是在OT当中的一些设备（plc非常敏感）会因为扫描受到影响，
如果有的plc没有接入工程师站（网络配置）那么会在交换机上接受不到流量而遗漏

如果可以黑入摄像头也可以检查设备是否收集全面，一般是最低层级设备

漏洞管理
Web渗透思维即可

工业服务器可用漏扫
Plc非常灵敏，不能漏扫

身份认证的管理监控
安全模型
账户
配置
只读DC
有一台服务器负责每一台联入网络的电脑和用户的验证工作，相当于一个单位的门卫一样，称为“域控制器（Domain Controller，简写为DC）

DCShadow利用AD的同步机制，冒充域控制器发起复制，然后修改AD的对象属性值，创建AD后门。

工业配置审计
固件版本升级之后可能会有产线失控

也要对代码进行审计

这个审计不只是要找漏洞，也要审计是不是程序被篡改

下面就来见识一下程序篡改的为例
Hacking a Siemens S7-300 PLC

plc的程序是，按下开关，开始充气，然后气球大到一定的程度会停，如果像提前或者遇到紧急情况，按下紧急按钮也会停。

plc样子？

如何接线？

编程页面？

光控？

手动？

对于上图的配置，我解释的足够清晰了吧

然后就是进行hack，最开始的那个图是plc直接利用网线来链接到电脑，那么咱们是否可以用远程去来链接呢？答案是可以的，比如：

hmi是什么我在上面有写（这个是直接改写ST语言，结构化文本语言）

那接着说修改hex值的攻击过程
下载plc程序

反汇编plc程序

改hex

后面的执行全部失效，直接在充气阶段写死，导致产线失控，直接爆炸。

电气自动化工程师的角度上来说，编程过程心思放在项目逻辑，缺少加密与规避OT漏洞的精力 。

协议可以导致PLC拒绝服务攻击

经典2017乌克兰大停电事件，恶意软件＋社工（摆渡攻击）

可以搜一搜：针对工业控制系统的新型攻击武器Industroyer深度剖析 - 知乎 (zhihu.com)

西门子PLC拒绝服务攻击CVE

哈尔滨工控安全比赛考到plc ddos

为哈市做一次广告:)

CVE-2015-5374-DoS-PoC/Siemens_SIPROTEC_DoS.py at master · can/CVE-2015-5374-DoS-PoC · GitHub

工控协议是非常多的，如果要做协议分析或者需要进行工厂设计编写自动化程序就得学会这些协议。

Modbus ASCII/TCP/RTU
S7/5/3协议
浙大中控DCS协议
电网IEC104协议
电网IEC101协议
DNP3协议
Profinet协议
Ethernet/IP协议
Rtu的远程协议
……

分析wireshark的报文来训练

同样分出白灰黑测试
白
代码审计
武器工具：ITS4
灰
逆向
黑
和web安全的思维一样

挖协议
检查是否有已知漏洞
工作原理，接入方式
研究格式，按照格式拆开分析报文含义
研究发包的方式
监控当前设备然后对对数包分析
最后检验一下
（such as内存溢出崩溃，修改程序）

电影当中的控制红绿灯的黑客是不是很帅？
按照常理来说那么他就是工控安全黑客了。

固件逆向
识别，解压
找漏洞，找后门，硬编码密码，暴力破解哈希文件，二进制反汇编，
武器工具：Binwalk

工控安全漏洞挖掘比如挖plc的系统漏洞，都是以固件逆向挖掘出来的，国产电影plc蠕虫病毒真实存在，工控安全特别需要逆向能力尤其是二进制逆向分析固件逆向分析。

还有自动化基础 ：）

漏洞挖掘还有web层

按照最近的一个台湾day来说

直接自主查询admin密码

设计缺陷（无需登录）

api未授权

车联网平台用户信息api随便查

ftp弱口令
大庆油田汽车管理系统ftp

设计缺陷（未授权）

无需认证，直接关机。

Sql注入

后台弱口令

XSS Siemens WebClient for SVN

工控行业相关产品/服务近几年CVE，只要与Web相关的CVE，XSS占据绝大比例。

Csrf Siemens WebClient for SVN

上传一个恶意站点csrf.html

在我们创建恶意站点前，需要先用BurpSuite等工具拦截数据包，了解其传输数据构成。如插入一个名为 csrf.html文件

文件上传 Siemens WebClient for SVN

../遍历

Github信息泄露图纸与内网各设备密码

还是有很多很多。。。。。。。。

工控领域由于主业务不存在于Web方面，厂商和企业均没在web安全投入很多精力，问题还是特别多的。

最后放一些真实的工控安全当中的web案例供各位web安全员参考

web/内网安全在工控安全只算入门门槛，如果想入行，希望在工控安全的路上各位安全同行任重道远