2022工控系統(tǒng)安全威脅應(yīng)對(duì)_第1頁
2022工控系統(tǒng)安全威脅應(yīng)對(duì)_第2頁
2022工控系統(tǒng)安全威脅應(yīng)對(duì)_第3頁
2022工控系統(tǒng)安全威脅應(yīng)對(duì)_第4頁
2022工控系統(tǒng)安全威脅應(yīng)對(duì)_第5頁
已閱讀5頁,還剩50頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

工控系統(tǒng)安全威脅與應(yīng)對(duì)探索2024提綱工控背景工控系統(tǒng)入侵方式應(yīng)對(duì)探索工業(yè)4.0與兩化融合工控系統(tǒng)ICS工業(yè)控制系統(tǒng)SCADA數(shù)據(jù)采集與監(jiān)控系統(tǒng)DCS分散式控制系統(tǒng)SCADA系統(tǒng)SCADA系統(tǒng)工控組件PLC可編程邏輯控制器遠(yuǎn)程控制單元HMI人機(jī)交互界面現(xiàn)場設(shè)備PLC№(4?)№(4?)/(/$№)(I/0CPUI/0$CPU接口電路、功能模塊、通信模塊、電源梯形圖LAD順序流程圖SFC指令表IL威脅趨勢~2014ICS-CERT~2010

2013“Dragonfly2012FlameDuqu2010 威脅來源協(xié)議安全 網(wǎng)絡(luò)隔離安全意識(shí) 漏洞管理工業(yè)網(wǎng)絡(luò)協(xié)議ModbusS3/S5/S7DNP3 ProfinetEthernet/IP…Modbus協(xié)議的總線協(xié)議Electric)發(fā)布于1979標(biāo)準(zhǔn)開放,免費(fèi)使用輸協(xié)議之一Modbus協(xié)議masterInitiatemasterInitiaterequestslavefunccode datareqPerformactionInitiateresponseReceiveresponsefunccodedataresp8位地址長度,每個(gè)Master持247個(gè)Slave簡單清晰的協(xié)議內(nèi)容無加密與身份認(rèn)證Modbus協(xié)議AdditionalAdditionaladdressFunctioncodeDataErrorcheckPDUADUModbusFrameModbus協(xié)議IPIPPacketTCPPacketProtocolID2Byte 2ByteLength2ByteUnitID1ByteFunctionCode1ByteData256orPDUPDUADUADUModbusTCPFrameModbus協(xié)議FunctionNameReadCoilsSingleMultipleCoilsReadInputRegisterSingleRead/WriteMultiple

FunctionCode0x010x050x150x040x060x23Modbus協(xié)議維基百科——Modbus所有功能碼\h/wiki/ModbusModbus協(xié)議ProtocolID Length UnitID FunctionCode DataModbus協(xié)議RS-232/RS-485RS-232/RS-485NetworkModbusTCP入侵方式工業(yè)化信息化融合推進(jìn)工控組件脆弱性設(shè)備升級(jí)維護(hù)成本高安全意識(shí)薄弱

攻擊面更脆弱的系統(tǒng)更多的攻擊面

模擬環(huán)境協(xié)議分析設(shè)備識(shí)別攻擊工具/手動(dòng)攻擊測試模擬環(huán)境[ModbusPal]Slave節(jié)點(diǎn)仿真模擬\h/網(wǎng)絡(luò)分析[Wireshark]\hhttps://www.wir\h/Modbus/S7/DNP3協(xié)議解析本地模擬攻防[mbtget]Perl腳本Modbus協(xié)議工具/sourceperl/mbtget本地模擬攻防[MetasploitFramework]auxiliary/scanner/scada/modbus_findunitidauxiliary/scanner/scada/modbusclientauxiliary/scanner/scada/modbusdetected探索發(fā)現(xiàn)目標(biāo)PLC、RTU..工控設(shè)備無一幸免網(wǎng)絡(luò)空間搜索引擎黑暗“Google”探索發(fā)現(xiàn)目標(biāo)[Nmap]modbus-discover.nsemodbus-enum.nse注意《NISTSP800-82》1.降低掃描速度—scan-delay=12.TCP替代UDP3.避免使用nmap4.不推薦nmap5.不要嘗試對(duì)運(yùn)行中的設(shè)備進(jìn)行測試探索發(fā)現(xiàn)目標(biāo)[plcscan]TCP/502TCP/102端口PLC/p/plcscan探索發(fā)現(xiàn)目標(biāo)[ModTest]針對(duì)Modbus分析協(xié)議、掃描、指紋識(shí)別、Fuzzing、甄別蜜罐/ameng929/ModTest探索發(fā)現(xiàn)目標(biāo)[ModTest]Modbus分析協(xié)議/ameng929/ModTest探索發(fā)現(xiàn)目標(biāo)[ModTest]ModbusFuzzing/ameng929/ModTest方式:針對(duì)FunctionCode針對(duì)DiagnosticsCode發(fā)現(xiàn):90/91/99功能碼識(shí)別工控蜜罐的方式拒絕服務(wù)探索發(fā)現(xiàn)目標(biāo)[ModTest]Modbus指紋識(shí)別/ameng929/ModTest識(shí)別更多的plc設(shè)備信息更邪惡的入侵方式…入侵方式[UnityXL]施耐德PLC編程軟件\h/入侵方式[UnityXL]施耐德PLC編程軟件\h/發(fā)現(xiàn):可遠(yuǎn)程接入設(shè)備但遠(yuǎn)程傳輸項(xiàng)目失敗原因:UnityProXL版本多樣兼容性差入侵方式分析UnityProXL軟件協(xié)議、認(rèn)證方式軟件使用Modbus功能碼90進(jìn)行通信協(xié)議內(nèi)容無加密!入侵方式分析UnityProXL軟件協(xié)議、認(rèn)證方式通過90功能碼進(jìn)行身份識(shí)別與握手請(qǐng)求、消息同步通過ModTest測試,90功能碼協(xié)議無認(rèn)證,可進(jìn)行包重放入侵方式分析UnityProXL軟件協(xié)議、認(rèn)證方式0x00,0x0f,0x00,0x00,0x00,0x0d,0x00,0x5a,0x00,0x20,0x00,0x14,0x00,0x64,0x00,0x00,0x00,0xf6,0x03協(xié)議中發(fā)現(xiàn)讀取PLC0x00,0x0f,0x00,0x00,0x00,0x0d,0x00,0x5a,0x00,0x20,0x00,0x14,0x00,0x64,0x00,0x00,0x00,0xf6,0x03重放請(qǐng)求,獲得PLC設(shè)備項(xiàng)目信息針對(duì)應(yīng)答數(shù)據(jù)選擇針對(duì)的UnityProXL軟件V5.0 UnityXL5.0入侵方式通過針對(duì)版本的UnityProXL軟件獲取到PLC權(quán)限可查看實(shí)時(shí)數(shù)據(jù)表、修改上傳PLC程序、停止PLC執(zhí)行!!!入侵方式通過Shodan進(jìn)行設(shè)備探索與入侵針對(duì)施耐德PLC編程軟件的Dorkport:502V5.0.stuV5.0——編程軟件版本號(hào).stu——施耐德PLC程序后綴應(yīng)對(duì)探索[工控蜜罐]協(xié)議仿真scapy、pymodbus/tecpal/PyModbus對(duì)讀寫PLCCoil、Register值的響應(yīng)對(duì)43功能碼讀取PLC設(shè)備信息的響應(yīng)對(duì)17功能碼請(qǐng)求從節(jié)點(diǎn)信息的響應(yīng)對(duì)90功能碼讀取ModiconPLC信息的響應(yīng)應(yīng)對(duì)探索[工控蜜罐]Web管理登陸界面應(yīng)對(duì)探索[工控蜜罐]其他選擇組件FTPSNMPTELNET其他工控協(xié)議應(yīng)對(duì)探索[工控蜜罐]conpot/mushorg/conpot應(yīng)對(duì)探索[工控蜜罐]SCADAHoneynet\h/tools/scada-honeynet/應(yīng)對(duì)探索[工控蜜罐]Modhoney在PyModbus與Z-one版本上進(jìn)行了改進(jìn)與優(yōu)化/ameng929/Modhoney增加了對(duì)于TransactionID的識(shí)別與應(yīng)答增加了對(duì)于功能碼90的識(shí)別與應(yīng)答配合conpot更容易被網(wǎng)絡(luò)搜索引擎發(fā)現(xiàn)應(yīng)對(duì)探索[工控蜜罐]Modhoney在PyModbus與Z-one版本上進(jìn)行了改進(jìn)與優(yōu)化/ameng929/Modhoney增加了對(duì)于TransactionID的識(shí)別與應(yīng)答增加了對(duì)于功能碼90的識(shí)別與應(yīng)答配合conpot更容易被網(wǎng)絡(luò)搜索引擎發(fā)現(xiàn)應(yīng)對(duì)探索[工控蜜罐]發(fā)現(xiàn)198.20.70.114Shodan71.6.216.34Rapid719CreditSuisseGroup/CANA185.35.62.11SwitzerlandGroup12BSB-ServiceGmbHGermany09IntergeniaAGGermany38Livenetsp.zo.o.141.212.122.xxx UniversityofMichiganCollegeofEngineering蜜罐捕獲數(shù)據(jù)主要為協(xié)議掃描其中嚴(yán)重的威脅為對(duì)地址數(shù)據(jù)的改寫應(yīng)對(duì)探索Shodan對(duì)于蜜罐系統(tǒng)的甄別應(yīng)對(duì)探索蜜罐甄別方法RealRealHoneyHoney對(duì)于43(0x2B)功能碼中的異常數(shù)據(jù)的應(yīng)答應(yīng)對(duì)探索蜜罐甄別方法RealRealHoneyHoney對(duì)于01(0x01)功能碼中的異常數(shù)據(jù)的應(yīng)答應(yīng)對(duì)探索工控蜜罐的必要性發(fā)現(xiàn)網(wǎng)絡(luò)空間掃面引擎IP地址,攔截掃描了解掃描引擎的指紋識(shí)別方法,收集信息掌握黑客的進(jìn)一步攻擊行為收集異常數(shù)據(jù)中可能的0-Day健壯蜜罐系統(tǒng),使其更難被甄別,更好的偽裝應(yīng)對(duì)探索[SnortforICS]開源入侵檢測\hhttps://www.snor\h\h/tools/quickdraw/應(yīng)對(duì)探索[

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論