谷神星网络解密谁在攻击你的ICS设备

一、简介

监控及数据采集系统(SCADA)是指与工业控制系统(ICS)进行通讯的系统/网络，它为ICS操作员提供监控过程管理所需的数据。随着自动化技术的持续发展及其全球重要性的提升，ICS和SCADA的应用越来越广泛。

早期SCADA设备主要基于电力管道和水处理管道等分布式应用，主要通过不可靠的或不稳定低带宽的或高延迟的链路来采集远程数据。虽然SCADA设备在全球范围内得到推广应用，但却面临着安全性缺失这一基本问题。

30年来，SCADA这一状况并没有因为技术进步而发生较大改变，信息安全方面仍然没有得到改善。其技术的高度发展和信息安全的严重不足加剧了SCADA的安全隐患，并因此可能给全球带来深远的影响。

为确保SCADA的环境安全，很多国家开始研究和实施标准化管理。美国已经制定出国家标准技术研究所(NIST)特刊800-82 标准和IEC

62443标准。汽车制造业发达的日本则依据IEC 62443标准;其信息技术推进机构(IPA)也开始对SCADA设备实施嵌入式设备安全认证程序。

二、ICS的风险与威胁

目前SCADA设备的风险与威胁越来越普遍。其中，很多风险与使用HMI(人机界面)和数据存储有关。HMI在使用中会受到传统网络应用缺陷的威胁，例如SQL注入攻击和跨网站脚本(XSS)bugs等。HMI也会受到传统服务器端漏洞的影响。比如，对于Windows Server 2003操作系统，攻击者可以通过定位漏洞程序探寻到HMI。HMI威胁会经由不安全的边界网络(DMZ)或商业网络，入侵安全的SCADA环境。例如，为家庭供暖的温控器，一般会设定温度上限和温度下限，一旦环境温度低于温度下限，暖气就会自动开启;入侵HMI就可以打开与安全区域的通讯，篡改设定值。

数据存储主要用于记录工业过程中的历史信息和趋势以供未来参考。数据存储作为中央数据库，记录了ICS环境中所有的过程信息。如果攻击者接触到位于DMZ或商业网络的数据存储，就有可能获得进入多个安全系统的权限(如读/读写等)。从过程/命令中的历史数据到统计数据，攻击者可以获得大量的信息数据。某些环境下，若攻击者入侵数据存储，他可以通过中间人(MiTM)命令篡改发送给可编程逻辑控制(PLC)设备的运行指令。

目前已知的ICS攻击事件有：2000年澳大利亚马芦奇污水处理厂被前雇员攻击事件;2003年美国俄亥俄州核电站系统遭Slammer蠕虫攻击发生瘫痪事件;2008年波兰罗兹市黑客导致火车脱轨事件;2009年美国加州交通信号系统受攻击事件;2013年南韩银行和广播服务被中断事件等。还有很多未被公布的ICS攻击以及尚未被发现的ICS攻击事件，比如，有时发生设备故障后，由于不了解网络攻击，工程师只是更换相关零件，并没有对故障原因进行调查等。

三、ICS攻击者的常用手段

传统的ICS结构中并没有设置安全设备或相关协议，所以很容易受到外部攻击。那么“到底谁在攻击你的ICS设备”?为了诱捕目标攻击，美国最早在ICS环境中进行了蜜罐部署，即模拟部分或全部ICS设备;为适应全球发展，又对蜜罐结构进行了创新，即将除开HMI设备外的模块都独立运行在逻辑分离的虚拟机上;并将部署在不同地理位置的蜜罐连接起来成相互独立的蜜罐网络。目前蜜罐网络涵盖了8个国家共12台蜜罐;其中，中国2个，日本1个，俄罗斯3个等。

通过蜜罐网络诱捕到的攻击信息发现，攻击者通常会在 ShodanHQ 网站上搜索特定的词条来侦测ICS设备，如“SCADA”，“Modbus”，“Simatic+HMI”，“Simatic+S7”和“HMI”等。然后，攻击者会进行大量地端口扫描，以确定ICS设备的地点。另外，他们还会通过公共的文字分享平台如Pastebin和Pastie等来进行侦测。

观察发现，很多攻击者不仅对目标IP地址进行侦测，他们也会对设备所在的网区进行侦测，并对周边子网络进行端口扫描。攻击者可以通过指纹识别或其他身份验证方式确定操作系统，并找到系统漏洞。一旦成功入侵相关设备，70%会持续不断地攻击并采取后续行动，包括泄露相关数据等。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友