2023工業(yè)控制系統(tǒng)安全報告

contents概述近年來，隨著信息技術(shù)的高速發(fā)展，工業(yè)控制系統(tǒng)（以下簡稱“工控系統(tǒng)”）逐漸放互聯(lián)、智能化的方向發(fā)展。工控系統(tǒng)在能源、鋼鐵、化工、裝備工業(yè)、消費(fèi)品工業(yè)、電子信息、國防軍工、水利、民用核設(shè)施等行業(yè)廣泛應(yīng)用。由于這些行業(yè)涉及社會運(yùn)轉(zhuǎn)的各類基礎(chǔ)設(shè)施，如果相關(guān)行業(yè)遭受攻擊，可嚴(yán)重的影響。本篇報告通過對2023年的工控安全漏洞數(shù)據(jù)進(jìn)行統(tǒng)計，聚焦2023年工業(yè)互聯(lián)網(wǎng)安全重點事件，追蹤34根據(jù)漏洞的CWE類型的統(tǒng)計，上述漏洞主要CWE分類如下圖，其中前三類主要漏洞類型為輸入驗證不當(dāng)、跨5根據(jù)上述統(tǒng)計數(shù)據(jù)可以看出，思科由于其產(chǎn)品眾多，影響力大，應(yīng)用范圍廣，且存在的已62023工業(yè)控制系統(tǒng)安全報告_____________________________________________________________2023年的工控安全事件主要因政治因素和經(jīng)濟(jì)動機(jī)而起，攻擊者大多具有政府背景，遭受攻擊的行業(yè)也常與關(guān)我們列舉了2023年全球受到重點關(guān)注的工控攻擊事件，涉及運(yùn)輸、能源、農(nóng)業(yè)、汽車等多個行業(yè)。從這些事件2023年1月，GhostSec黑程監(jiān)控工業(yè)自動化設(shè)備的操作技術(shù)(OT)設(shè)備。GhostSec是Anonymous旗下的一個黑客主義行動組織，主要從事出于政治動機(jī)的黑客攻擊，此前也曾攻擊過可編程邏輯控制器和其他OT設(shè)備。單元(RTU)。此次攻擊活動使得受害設(shè)備上的文件均被加密，攻擊者只留下了一封內(nèi)容為“沒有通知信”的文件，并路徑，利用這個接口，安全人員發(fā)現(xiàn)了該門戶網(wǎng)站的更多接口信息并對其進(jìn)行了測試，發(fā)現(xiàn)用戶枚舉接口和密接口。通過這兩個接口，攻擊者可以實現(xiàn)完全接管任何寶馬或勞斯萊斯員工帳戶以及這些員工使用的訪問工具獨(dú)立設(shè)備來跟蹤和管理車輛。這些設(shè)備具有被跟蹤和接收任意命令的功能，例如鎖定啟動器，使車輛無法啟7研究。該公司存在著一個及其老舊的管理門戶網(wǎng)站，安全人員僅通過一個極其簡單的SQL注入方法就獲得了該公司向這些設(shè)備發(fā)送任意命令，甚至創(chuàng)建惡意Spireon程序包，更新車輛配置以調(diào)用修改后的程序包作為后門從而進(jìn)一步操控車輛。由于這些設(shè)備被普遍安裝在美國的拖拉機(jī)、高爾夫球車、警車和救護(hù)車等車輛上，因網(wǎng)站發(fā)起攻擊的活動，活動每年進(jìn)行一次，目的是反對以色列政府、破壞以色列的基礎(chǔ)設(shè)施，參與活動的黑客主要來自于阿拉伯世界和伊斯蘭國家。此次活動使胡拉谷地區(qū)數(shù)千臺灌溉監(jiān)測系統(tǒng)遭到攻擊，活動除了造成恐慌之外，還直接影響了農(nóng)業(yè)地區(qū)的生產(chǎn)。根據(jù)黑客組織在社交媒體發(fā)布的資料可以看出，此次攻擊活動中，攻擊者還攻陷了城市包括卡爾加里、渥太華、多倫多等加拿大主要城市。據(jù)傳，Suncor此次服務(wù)中斷造成數(shù)百萬美元的損失，2023年7月，武漢市應(yīng)急管理局地震監(jiān)測中心的部分地震速報數(shù)據(jù)前端臺站采集點網(wǎng)絡(luò)設(shè)備被植入后經(jīng)相關(guān)人員調(diào)查取證發(fā)現(xiàn)，該后門程序能夠遠(yuǎn)程操控設(shè)備，竊取設(shè)備上采集的地震烈度數(shù)據(jù)。研究人員分析此次事件為境外具有政府背景的黑客組織發(fā)起的網(wǎng)絡(luò)攻擊行為。該機(jī)構(gòu)由于其地理位置的特殊性，其監(jiān)測到2023年7月4日凌晨，日本名古到由打印機(jī)打印的勒索信，勒索信表示系統(tǒng)數(shù)據(jù)均被加密，需要支付贖金，才能恢復(fù)港口系統(tǒng)。此次攻擊導(dǎo)致所有碼頭的集裝箱運(yùn)營受到影響，也影響到了全球最大汽車制造商Toyota的零件進(jìn)出口。此次對名古屋港的攻擊凸顯了勒索軟件對關(guān)鍵基礎(chǔ)設(shè)施的持續(xù)威脅，需要采取強(qiáng)有力的措施進(jìn)行防范。遭受攻擊后，港口運(yùn)營商橫濱川的交通運(yùn)輸行業(yè)在2022年曾發(fā)生11起勒索軟件事件。全球其他港口也發(fā)生過類似名古屋港口的勒索事件，例如葡。9針對工控相關(guān)行業(yè)的攻擊整體呈現(xiàn)增長趨勢，訪問漏洞來進(jìn)行入侵。近期，該組織主要針對工控系統(tǒng)開發(fā)惡意軟件，如被安全公司公開的知名ICS惡意軟件框架礎(chǔ)設(shè)施、工業(yè)控制系統(tǒng)等。GhostSec的攻擊活動中表現(xiàn)突出，開始被眾人所知。GhostSec是一個黑客行動主義組織，常以其私定的規(guī)則判定國際各類事件，并通過攻擊行動維護(hù)其認(rèn)為的正義。GhostSec曾進(jìn)行過的Chrysene是一個疑似源自伊朗的威脅組織，自2014年以來一直以中東和國際受害者為目標(biāo)。該組織的目標(biāo)包括金融、政府、能源、化工、電信等多個行業(yè)，攻擊活動主要集中在中東地區(qū)。Chrysene似乎利用受害目標(biāo)之間的信任關(guān)系來攻擊其主要目標(biāo)，從而進(jìn)行供應(yīng)鏈攻擊。該組織之前曾被追蹤為兩個不同的組織（APT34和OilRig目前公開的惡意軟件多用于針對電力設(shè)施。本報告挑選了三個有代表的危害性比較大的惡意軟件進(jìn)行介紹，分別是LIGHTWORK是一種用C++編寫的中斷工具，通過實現(xiàn)IEC-104協(xié)議并利用TCP協(xié)議修改RTU的狀態(tài)。它PIPEDREAM是一種ICS惡意軟件框架，提供了掃描新設(shè)備、暴力破解密碼、切斷連接、使目標(biāo)設(shè)備崩潰等功INDUSTROYER（也稱為CrashOverride）被認(rèn)為是第一個已知的專門針對電網(wǎng)的惡意軟件。INDUSTROYER2023工業(yè)控制系統(tǒng)安全報告_____________________________________________________________社會工程學(xué)是利用人性薄弱點進(jìn)行攻擊的一種手段，攻擊者可通過該手段收集目標(biāo)信息從攻擊者可以通過企業(yè)信息查詢工具獲取廠商信息，通過fofa、shodan等測繪工具收集目標(biāo)的資產(chǎn)信息，通過攻擊者常常會收集已公開漏洞的利用載荷，整理制作成攻擊工具。一些高級黑客還會針對某些常用產(chǎn)品進(jìn)行安全攻擊者在獲得主機(jī)的訪問權(quán)限后，將會通過部署遠(yuǎn)控木馬或者設(shè)置后門的方式進(jìn)一步擴(kuò)大其操控權(quán)除了以上攻擊方式外，攻擊者中還存在一類以盈利為目的的勒索軟件組織，此外，擁有政治背景的攻擊者在攻擊過程中還具有擦除痕跡、加強(qiáng)隱蔽性的特點，這類攻鏈、物聯(lián)網(wǎng)等技術(shù)的逐漸成熟，工控系統(tǒng)的網(wǎng)絡(luò)攻擊將向著更加復(fù)雜的方向發(fā)展。隨之而來的安全風(fēng)險也是從目前國內(nèi)工控相關(guān)的政策也可以看出，國家正在積極推動工業(yè)互聯(lián)網(wǎng)平臺體系壯大，積極促進(jìn)工保障體系的完善。工控安全雖然只是網(wǎng)絡(luò)空間安全的一個分支，但是工業(yè)控制系統(tǒng)應(yīng)用于各類重要行業(yè)，甚至涉多關(guān)鍵基礎(chǔ)設(shè)施。因此當(dāng)工控系統(tǒng)遭到破壞時，其帶來的危害是異常嚴(yán)重的。這樣的破壞不僅僅對相關(guān)行業(yè)造成的影響，還可能對整個社會造成嚴(yán)重的后果。工控行業(yè)相關(guān)單位需要加強(qiáng)對工控系統(tǒng)所處的網(wǎng)絡(luò)環(huán)境監(jiān)控，及時2)關(guān)注使用產(chǎn)品（硬件、軟件）的漏洞信息，及時更新系統(tǒng)補(bǔ)丁，定期檢查、修補(bǔ)系統(tǒng)漏洞，尤其針對高?；?)在不同的網(wǎng)絡(luò)邊界之間部署邊界安全防護(hù)設(shè)備，實現(xiàn)安全訪問控制，阻斷非法網(wǎng)絡(luò)訪問，嚴(yán)格禁止沒有防護(hù)3、研究人員可以利用該漏洞阻止用戶遠(yuǎn)程管理其車輛、更改所有權(quán)：特別是1、研究人員僅使用受害者電子郵件地址即可完全遠(yuǎn)程鎖定、解鎖、發(fā)動機(jī)啟動、發(fā)動機(jī)停止、