工業(yè)控制系統(tǒng)網絡的攻擊步驟和方法

發(fā)布時間：2025-02-25

網絡攻擊的基本步驟和方法同樣適用于工業(yè)控制系統(tǒng)網絡；不過，由于工業(yè)控制系統(tǒng)網絡使用專門的系統(tǒng)和協(xié)議，其攻擊步驟和方法也有一定的差異性。
1、信息搜集
工業(yè)控制系統(tǒng)的網絡、協(xié)議和系統(tǒng)都比較特殊，攻擊者要搜集到相關信息并不容易，他們通常會從企業(yè)的公開信息、輪班時間表、合作服務和貿易往來，尤其是企業(yè)供應商所提供產品的協(xié)議規(guī)范等入手。
遺憾的是，搜集這些信息變得越來越容易。如搜索引擎shodan，可以根據(jù)端口、協(xié)議、國家和其他條件搜索與互聯(lián)網關聯(lián)的所有設備。任何使用http、ftp、ssh或telnet協(xié)議的服務器、網絡交換機、路由器或其他網絡設備都可以被它檢索到，進而輕易找到應用scada協(xié)議的設備。雖然很難置辦整個控制系統(tǒng)來實施逆向工程，但攻擊者可以通過各種公開或地下渠道了解控制系統(tǒng)相關設備的漏洞和后門。
2、網絡掃描
利用網絡掃描可以通過端口、協(xié)議等信息快速定位scada和dcs系統(tǒng)。例如，如果掃描出某設備的502端口使用的是modbus協(xié)議，那么可以推斷，與該設備連接的很可能是hmi系統(tǒng)或某些監(jiān)管工作站。
值得注意的是，很多工業(yè)控制系統(tǒng)的網絡協(xié)議對時延非常敏感，如果硬掃描，很可能導致整個網絡癱瘓。所以，如果攻擊者只是想中斷系統(tǒng)服務，那么，只要進行簡單的網絡掃描就可以達到目的；或者，若掃描發(fā)現(xiàn)，實時協(xié)議只受到防火墻的保護，那么只憑基本的黑客技術，實施dos攻擊就可以奏效。如果攻擊者另有圖謀，那就只能采取軟掃描方式，以避免系統(tǒng)崩潰。
目標系統(tǒng)定位之后，再根據(jù)工業(yè)控制系統(tǒng)網絡協(xié)議的特點進行后續(xù)掃描，就可以獲取相關設備信息。如：可以根據(jù)以太網/ip流量識別出關鍵基礎設施保護（cip）設備及屬性；可以根據(jù)dnp3響應結果發(fā)現(xiàn)dnp3的從屬地址；可以通過截取ethercat幀信息或sercosⅲ主站數(shù)據(jù)電報得到所有隸屬設備及其時間同步信息。
3、賬戶破解
很多工業(yè)控制系統(tǒng)是基于windows的，那些專門破解windows賬戶信息的方法和工具也可以應用到工業(yè)控制系統(tǒng)上。尤其是運行在windowsole和dcom上的opc系統(tǒng)，只要通過主機認證就可以全面控制opc環(huán)境。如果無法獲得底層協(xié)議認證，也可以通過枚舉方式破解控制系統(tǒng)內其他用戶和角色。如hmi用戶、iccp服務器憑據(jù)(雙向表)、主節(jié)點地址（任何主/從工業(yè)協(xié)議）、以往數(shù)據(jù)庫認證信息等。
進入hmi，就可以直接控制hmi管理的進程，并竊取信息；進入iccp服務器，就可以竊取或操縱控制中心之間的傳輸數(shù)據(jù)。所以說，從功能上將物理設備和邏輯設備全部隔離到安全區(qū)域是非常重要的。nist800-82(工業(yè)控制系統(tǒng)安全防護指南)還建議采用賬戶復合認證方式。有了物理和數(shù)字的雙重保護，賬戶就很難破解；也就是說，即使知道了某個用戶名或某個密碼，也很難通過賬戶認證。
4、實施攻擊
正如前面所述，一次簡單的網絡掃描就可以破壞工業(yè)控制系統(tǒng)網絡。因為工業(yè)控制系統(tǒng)網絡協(xié)議非常敏感，信息流稍有變化，協(xié)議就會失效。所以，攻擊者利用硬掃描來破壞系統(tǒng)，利用軟掃描來偵測信息。另外，也可以通過防火墻實施網絡掃描，因為通過防火墻的開放端口進行分組交換更加容易。一旦掃描通過，黑客就可偽裝合法通訊，對控制網絡實施dos攻擊。
如果攻擊目的是侵入網絡或者潛伏網絡，我們以“震網”（stuxnet）為例，了解黑客可能會應用的滲透技術?！罢鹁W”是一種專門針對工業(yè)控制系統(tǒng)的、基于windows平臺的蠕蟲病毒，它具有多種掃描和滲透機制，能自我復制，傳播能力強，極具隱身性。入侵網絡后，“震網”會根據(jù)不同環(huán)境做出不同反應，如在“企業(yè)環(huán)境”，它會尋找目標hmi，然后入侵hmi；在“工業(yè)環(huán)境”，它會感染hmi，尋找目標plcs，然后將惡意代碼植入其中；在“運行環(huán)境”，它會利用plc尋找某個帶特定參數(shù)運行的ieds，然后植入代碼，進行破壞活動。
簡單來說，“震網”的攻擊手段可以總結為：以常見的黑客技術發(fā)動初次攻擊；入侵scada和dcs后，利用其資源再侵入其他工業(yè)控制系統(tǒng)；對“非路由”系統(tǒng)（如有plcs和ieds中組成的總線），它也可以進行感染，并滲透進更深層的工業(yè)生產過程中。