<address id="n1rrn"><pre id="n1rrn"><ruby id="n1rrn"></ruby></pre></address>

           

          【技術干貨】融安網絡在船舶制造工業控制系統網絡攻防的仿真建設項目(上)

          2022-08-19 17:46:15來源:

          一、船舶工業的發展趨勢


          隨著新一代信息通信技術的快速發展,數字化、網絡化、智能化日益成為未來制造業發展的主要趨勢,世界主要造船國家紛紛加快智能制造步伐。近年來,我國船舶工業實現了快速發展,骨干造船企業建立起以中間產品組織生產為特征的現代總裝造船模式,并不同程度開展了智能化轉型探索工作,取得了一定成效。但總體上我國船舶制造業仍處于數字化制造起步階段,存在基礎工藝數據缺乏積累、網絡化水平不高、信息孤島現象大量存在、工控安全管理及防護存在較多空白等突出問題亟待解決。而伴隨船舶制造行業的日益發展,為了造船廠生產有序進行,相關配套的工業網絡安全保障也是刻不容緩。

          根據2018年工業互聯網創新發展工程(網絡和安全方向)項目“面向船舶行業的工業控制系統主動安全防護技術集成與推廣”的要求,圍繞船舶行業工業控制系統信息安全需求,搭建船舶行業工業控制系統信息安全測試環境,開展船舶行業工業控制系統安全性進行測試評估,開展內置安全功能工業控制系統產品、工業信息安全新技術及系統安全解決方案在模擬生產環境下的可靠性、安全性測試,評估驗證新產品、新技術、新應用等在行業推廣的可行性與實用價值。

          在建立船舶行業工業控制系統信息安全技術及系統安全解決方案研發的基礎上,推進船舶工控安全研究,攻防演練研究,面向船舶工業生產過程中的材料加工、分段建造、舾裝、合攏等關鍵環節和材料預處理流水線、管線生產線、裝焊平臺等核心裝備設計建設工業控制系統信息安全測試驗證環境。圍繞船舶行業工業控制系統信息安全需求,聯合產、學、研、用機構,集成推廣具備主動安全防護技術的行業典型系統和裝備,實現對常見工業控制系統信息安全威脅的防御。

          船舶制造工業控制系統網絡攻防仿真項目建設完成后,不僅可以完成現場環境、技術研究成果的展示,更主要的體現在對工業控制系統網絡安全的攻防演示,教育培訓,挖掘工控網絡的薄弱環節,進而采取必要的加固方案,進而保障工業生產的安全和穩定性。項目主要建設目標有以下幾點:

          (1)實現對工業控制系統網絡的研究以及對最新的網絡攻防技術的跟蹤;

          (2)尋找可能的網絡攻擊切入點,模擬網絡攻擊,深入分析攻擊途徑、攻擊方式以及攻擊對系統的影響;

          (3)加強人員培訓,為國家船舶行業培養出更多優秀的工業網絡安全技術人才;

          (4)針對網絡攻擊技術測試安全防護手段,向工業控制系統廠商提供產品改進建議;

          (5)增加網絡及設備威脅發現能力及手段,對入網的工業控制系統進行安全測評。


          二、項目整體設計思路


          隨著計算機網絡的不斷發展,全球信息化已成為人類發展的大趨勢;給政府機關、工廠企業的生產帶來了革命性的改革。但由于計算機網絡具有聯結形式多樣性、終端分布不均勻性和網絡的開放性、互連性等特征,致使工控網絡易受黑客、病毒、惡意軟件和其他意圖不軌的攻擊,近年來,頻繁出現的工控安全事件事實證明,工控安全是一個關系到國家安全的至關重要的的問題。

          船舶制造仿真實訓項目的宗旨在于為社會培養工控安全技能型人才,服務對象是政府、企業和高校,傾向于走政企結合、校企合作、產學研一體化的科學道路。融安網絡結合實際工業環境和市場需求,開發編寫了針對船舶制造行業工控安全的實訓課程,能夠滿足政府機關、工廠企業、高校等相關單位的網絡安全人才培訓要求。

          船舶制造仿真實訓項目采用模塊化教學實訓平臺結構、船舶行業案例式的教學實訓內容,通過有效開展基礎理論教學、實訓教學、攻防演練等一系列的實訓授課與工業網絡安全人才培養,支撐船舶制造仿真實訓項目的工控網絡安全特色教學建設。項目包括仿真實訓、基礎課程、技術實訓、綜合提升、按需培訓等模塊組成,其中,仿真實訓模塊包含了船舶生產仿真、工控網絡仿真和工控安全防護平臺。整體設計如下圖所示:

          圖:平臺功能架構圖


          三、攻防實訓場景


          實訓場景一:船舶制造網絡流量監聽攻擊


          該場景模擬黑客通過監聽船舶制造網絡環境中操作員站和PLC之間的數據通信包,從而獲得生產系統關鍵的數據,達到竊取生產信息的目的。

          攻擊路徑示意圖:

          攻擊原理

          數據傳輸是依靠數據報文中的MAC地址來尋找目的主機。而網卡構造了硬件的“過濾器”,可過濾掉不是發給自己的數據幀。

          監聽網絡中的數據報文也被稱為“嗅探”,所以Wireshark等軟件也被稱為“網絡嗅探器”。嗅探程序只需關閉“過濾器”,將網卡設置為“混雜模式”就可以進行嗅探。不但可以用于黑客攻擊中的信息收集,對于系統管理員來說,也可以用于分析網絡性能和故障。

          系統管理員通過Wireshark可以診斷出通過常規工具難以解決的網絡疑難問題,包括計算機之間的異常通信、不同網絡協議的通信流量、每個數據報文的源地址和目的地址等。

          攻擊所用工具及軟件

          本實驗使用工具及軟件如下:

          Wireshark數據監聽軟件一套;

          攻擊電腦一臺。

          Wireshark

          Wireshark(前稱Ethereal)是一個網絡數據報文分析軟件。網絡數據報文分析軟件的功能是截取網絡數據報文,并盡可能顯示出最為詳細的網絡數據報文信息。Wireshark使用WinPCAP作為接口,直接與網卡進行數據報文交換。

          網絡管理員使用Wireshark來檢測網絡問題,網絡安全工程師使用Wireshark來檢查信息安全相關問題,開發者使用Wireshark來為新的通訊協議除錯,普通使用者使用Wireshark來學習網絡協議的相關知識。當然,黑客也會“居心叵測”地用它來尋找一些敏感信息。

          攻擊步驟

          步驟一

          攻擊者修改工業交換機的設置,將所接入的端口設置為鏡像端口,為實施監聽攻擊做準備。

          步驟二

          攻擊電腦打開Wireshark軟件,如下圖,選擇捕獲端口為“本地連接”,則Wireshark自動開始捕獲數據報文。

          此時Wireshark已經開始進行數據報文的捕獲了,圖中可以見到已經有通信信息被捕獲到,各個功能模塊介紹如下。

          完成數據報文的捕獲后,需要用文件保存這些數據報文。

          防護方案

          對傳輸的數據進行加密,即使攻擊者獲得數據也不能進行破譯,數據雖然可以被監聽竊取到,但是無法查看使用。


          實訓場景二:船舶制造工作站BadUSB攻擊


          該場景模擬黑客通過BadUSB工具U盤,向船舶制造網絡環境中操作員站注入惡意指令,打開操作員站PC的系統后門,然后黑客通過系統后門進行遠程連接,進入操作員站進行破壞。

          攻擊路徑示意圖:

          攻擊原理

          BadUSB最早是在2014年的黑帽大會上研究人員JakobLell和Karsten Nohl提出并展示的。不同于老式的U盤病毒,它利用了USB協議中的一個漏洞,通過模擬鍵盤、鼠標、網卡等從而讓目標電腦執行惡意代碼,達到控制主機或者竊取敏感信息等目的。這種攻擊也被稱為HID攻擊。

          一般來講針對HID的攻擊主要集中在鍵盤鼠標上,因為只要控制了用戶鍵盤,基本上就等于控制了用戶的電腦。攻擊者會把攻擊隱藏在一個正常的鼠標鍵盤中,當用戶將含有攻擊向量的鼠標或鍵盤,插入電腦時,惡意代碼會被加載并執行。

          當你插入這個定制的USB設備時,電腦會識別為一個鍵盤,利用設備中的微處理器,與存儲空間,和編程進去的攻擊代碼,就可以向主機發送控制命令,從而完全控制主機,無論自動播放是否開啟,都可以成功。

          本實驗使用BadUSB工具注入指令,使其從指定的網站下載并執行木馬程序,然后攻擊者使用遠程連接終端連接開了后門的工程師站,從而控制工程師站并進行任意操作,例如數據收集或者生產破壞。

          攻擊所用工具及軟件

          本實驗使用工具及軟件如下:

          Digispark USB開發板一個;

          Arduino IDE 開發軟件一套;

          開源軟件Metasploit一套;

          XAMPP網站搭建軟件一套;

          攻擊電腦一臺。

          攻擊步驟

          步驟一

          攻擊者使用Metasploit生成控制后門木馬文件。

          步驟二

          攻擊電腦利用XMAPP軟件搭建網站,將生成的木馬文件放置在網站里。

          步驟三

          使用燒錄代碼的編譯器Arduino IDE,將惡意代碼燒錄到Digispark USB開發板中,這樣我們就得到了一個BadUSB。

          然后將得到的BadUSB插入到工程師站的USB端口上,等待一會兒,等到木馬程序被自動下載并執行。

          步驟四

          使用Metasploit后門服務器端,接收來自木馬的連接,成功后,可以進入工程師站。然后進行系統提權、文件竊取、遠程桌面連接等各種進一步操作。

          防護方案

          對于BadUSB攻擊,普通的安全防御方式全部失效,畢竟系統不會拒絕鍵盤的輸入,殺毒軟件和終端安全軟件也無法識別鍵盤輸入的命令是來自真人還是來自惡意腳本。

          所以,要防御BadUSB攻擊,要么工程師站完全禁止USB端口使用,要么就必須利用專門的安全設備,USB安全保護終端。

          USB安全保護終端有獨立的連接線,受保護的主機僅能通過該連線連接USB安全保護終端,所有USB外設只能連接到該USB安全保護終端。

          BadUSB偽裝為鍵盤插入安全保護終端后,安全保護終端識別為鍵盤后,會在液晶屏上顯示出一個隨機的PIN碼,使用者必須輸入正確的PIN碼,才能讓鍵盤連入主機,因為BadUSB無法輸入PIN碼,所以被拒絕連入主機,這樣就可以有效地保護主機不受攻擊。


          實訓場景三:船舶制造生產數據篡改攻擊

          該場景模擬黑客通過掃描船舶制造內網,識別出西門子PLC,然后直接對西門子PLC發送錯誤指令,令生產過程發送改變,這種行為就是數據篡改攻擊。

          攻擊路徑示意圖:

          攻擊原理

          可編程控制器,英文為Programmable Logic Controller,縮寫為PLC,中文全稱是可編程邏輯控制器,是一種工業自動化生產中常用的控制器。PLC剛出現時,因為只有布爾邏輯控制功能,所以被稱為可編程邏輯控制器。后來隨著技術的發展,PLC性能越來越強大,不僅有布爾邏輯控制能力,還具有模擬量控制能力,所以后來國內就直接稱它為可編程控制器。

          西門子是世界上老牌的PLC生產商,產品穩定,技術支持到位,業界地位很高。由于歷史原因,PLC的安全認證功能很差,基本上任何網絡上的設備都可以使用TCP 102端口和它建立連接,發送的指令都會被執行,不管發送者是合法主機還是非法主機。

          西門子S7系列PLC采用以下兩種通訊方式:

          1)開放式的TCP\IP,可以用于連接PLC與其他非西門子硬件。

          2) 西門子自己開發的S7 Protocol以太網通訊協議,用于西門子內部硬件通訊。

          這兩者的傳輸報文是不一樣的,如下圖:

          西門子數據存儲到二進制時方式是大端模式(BIG-Endian),而我們的普通電腦常常為小端模式(Liitle-Endian)。

          大端模式是指數據的低位保存在內存的高地址中,而數據的高位保存在內存的低地址中。

          小端模式是指數據的低位保存在內存的低地址中,而數據的高位保存在內存的高地址中。

          例如:雙字 DWORD 0X2F11214CPLCPC

          PLC

          PC

          所以數據需要進行轉換。

          攻擊所用工具及軟件

          本實驗使用工具及軟件如下:

          工控設備掃描工具 - PLCScan一套;

          Snap7 Client Demo數據篡改工具軟件一套;

          攻擊電腦一臺。

          PLCScan

          PLCScan是由國外黑客組織ScadaStrangeLove開發的一款掃描工具,用于識別網上的PLC設備和其他Modbus設備。該工具由Python編寫,檢測兩個端口TCP/102和TCP/502,如果發現這兩個端口開放,會調用其他函數來進行更深層次的檢測。西門子PLC使用的就是TCP/102端口。搜集的信息如下圖這種。

          Snap7ClientDemo

          Snap7ClientDemo是由國外黑客組織lazarus開發的一款基于Snap7協議的測試工具軟件。

          Snap7 是一個基于以太網與S7系列的西門子PLC通訊的開源庫。支持包括S7系列的S7-200、S7-200 Smart、S7-300、S7-400、S7-1200以及S7-1500的以太網通信。

          攻擊步驟

          步驟一

          攻擊者使用PLCScan對船舶制造系統網絡進行掃描,確定要攻擊的目標網絡中存在西門子PLC。

          步驟二

          使用Snap7ClientDemo對目標進行攻擊,輸入需要更改的PLC參數,然后發送攻擊命令。

          觀察被攻擊設備的運行狀態,是否按照攻擊參數進行了改變。

          防護方案

          對于這種直接攻擊PLC的數據篡改攻擊,最好的防御方式就是在PLC前使用工業防火墻,防火墻會根據設置的防護策略,阻止來自未知主機的攻擊。

          實訓場景四:中間人攻擊

          該場景模擬黑客通過實施中間人攻擊,將船舶制造內網操作員站和PLC之間的通信信息進行流量劫持,從而獲取敏感信息的行為。

          攻擊路徑示意圖:

          攻擊原理

          所謂的MITM攻擊就是通過攔截正常的網絡通信數據,并進行數據篡改和嗅探,而通信的雙方卻毫不知情。隨著計算機通信網技術的不斷發展,MITM攻擊也越來越多樣化。發展至今,交換機代替集線器,簡單的嗅探攻擊已經不能成功,,必須先進行ARP欺騙才行。

          ARP欺騙原理

          地址解析協議是建立在網絡中各個主機互相信任的基礎上的,它的誕生使得網絡能夠更加高效的運行,但其本身也存在缺陷:

          ARP地址轉換表是依賴于計算機中高速緩沖存儲器動態更新的,而高速緩沖存儲器的更新是受到更新周期的限制的,只保存最近使用的地址的映射關系表項,這使得攻擊者有了可乘之機,可以在高速緩沖存儲器更新表項之前修改地址轉換表,實現攻擊。

          ARP請求為廣播形式發送的,網絡上的主機可以自主發送ARP應答消息,并且當其他主機收到應答報文時不會檢測該報文的真實性就將其記錄在本地的MAC地址轉換表,這樣攻擊者就可以向目標主機發送偽ARP應答報文,從而篡改本地的MAC地址表。ARP欺騙可以導致目標計算機與網關通信失敗,更會導致通信重定向,所有的數據都會通過攻擊者的機器,因此存在極大的安全隱患。

          攻擊所用工具及軟件

          本實驗使用工具及軟件如下:

          中間人工具ettercap一套;

          攻擊電腦一臺。

          EtterCap

          EtterCap是一個基于ARP地址欺騙方式的網絡嗅探工具,主要適用于交換局域網絡。借助于EtterCap嗅探軟件,管理員可以檢測網絡內明 文數據通訊的安全性,及時采取措施,避免敏感的用戶名/密碼等數據以明文的方式進行傳輸,較新的EtterCap工具可以到http:
          //ettercap.sourceforge.net站點中下載。

          攻擊步驟

          步驟一

          首先打開終端,輸入ettercap -G 啟動ettercap的圖形界面模式,如圖:

          打開ettercap-NG 的圖形界面之后點擊"sniff",選擇"unified sniffing"然后根據自己的要求選擇要抓包的網卡。

          步驟二

          然后單擊Hosts選項,選擇Scan for host,待掃描完成之后再選擇Scan for host,然后選擇Host list,此時可以看到ettercap-NG已經掃描的主機列表,如圖所示:

          然后就可以選擇要攻擊的目標了,選擇PLC的IP地址 192.168.1.106的,點擊Add to Target 1(添加到目標1),然后選擇操作員站的IP地址192.168.1.1,點擊Add to Target 2(添加到目標2),可以看到ettercap提示成功加入目標,如圖所示:

          然后明確攻擊方式,這里采用ARP欺騙的方式,告訴PLC控制器192.168.1.106,攻擊者電腦(192.168.1.113)才是操作員站(192.168.1.1),使得 192.168.1.106的PLC把所有數據流量全部發給我,然后抓包截獲通信流量。

          明確攻擊方式之后,選擇"mitm"—"arp poisoning"— "Sniff remote connections" — "確定"

          這時可以看看目標主機的ARP地址表,如圖所示,ARP緩存毒化成功。

          然后在攻擊主機中選擇"Start" — "Start sniffing" 開始監聽。此時使用Wireshark抓包工具可以發現,所有流量已經都流過攻擊電腦。

          防護方案

          對于這種直接攻擊PLC的數據篡改攻擊,最好的防御方式就是在PLC前使用工業防火墻,工業防火墻會根據設置的防護策略,正確識別PLC和工程師站的MAC地址,阻止ARP欺騙攻擊,從而阻斷基于ARP欺騙的中間人攻擊。

          實訓場景五:永恒之藍漏洞攻擊

          該場景模擬黑客通過永恒之藍漏洞攻擊操作員站,從而入侵船舶制造仿真系統,達到竊取生產信息和破壞企業正常生產制造的目的。

          攻擊路徑示意圖:

          攻擊原理

          永恒之藍(Eternalblue)是指2017年4月14日晚,黑客團體Shadow Brokers(影子經紀人)公布一大批網絡攻擊工具,其中包含“永恒之藍”工具,“永恒之藍”利用Windows系統的SMB漏洞可以獲取系統最高權限。5月12日,不法分子通過改造“永恒之藍”制作了wannacry勒索病毒,英國、俄羅斯、整個歐洲以及中國國內多個高校校內網、大型企業內網和政府機構專網中招,被勒索支付高額贖金才能解密恢復文件。

          永恒之藍通過TCP端口445和139來利用SMBv1和NBT中的遠程代碼執行漏洞,惡意代碼會掃描開放445文件共享端口的Windows機器,無需用戶任何操作,只要開機上網,不法分子就能在電腦和服務器中植入勒索軟件、遠程控制木馬、虛擬貨幣挖礦機等惡意程序。

          目前已知受影響的 Windows 版本包括但不限于:Windows NT,Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8,Windows 2008、Windows 2008 R2、Windows Server 2012等。

          攻擊所用工具及軟件

          本實驗使用工具及軟件如下:

          Nmap掃描工具軟件一套;

          開源軟件Metasploit一套;

          攻擊電腦一臺。

          Nmap

          Nmap,也就是Network Mapper,最早是Linux下的網絡掃描和嗅探工具包。Nmap是一個網絡連接端掃描軟件,用來掃描網上電腦開放的網絡連接端。確定哪些服務運行在哪些連接端,并且推斷計算機運行哪個操作系統(這是亦稱 fingerprinting)。它是網絡管理員必用的軟件之一,以及用以評估網絡系統安全。

          正如大多數被用于網絡安全的工具,Nmap 也是不少黑客愛用的工具 。系統管理員可以利用Nmap來探測工作環境中未經批準使用的服務器,但是黑客會利用Nmap來搜集目標電腦的網絡設定,從而計劃攻擊的方法。

          Metasploit

          Metasploit是一款開源的安全漏洞檢測工具,可以幫助安全和IT專業人士識別安全性問題,驗證漏洞的緩解措施,并管理專家驅動的安全性進行評估,提供真正的安全風險情報。這些功能包括智能開發,代碼審計,Web應用程序掃描,社會工程。

          在滲透過程中,MSF漏洞利用神器是不可或缺的。更何況它是一個免費的、可下載的框架,通過它可以很容易地獲取、開發并對計算機軟件漏洞實施攻擊。它本身附帶數百個已知軟件漏洞的專業級漏洞攻擊工具。是信息收集、漏洞掃描、權限提升、內網滲透等集成的工具。

          攻擊步驟

          步驟一

          攻擊者使用nmap對船舶制造系統網絡進行掃描,確定要攻擊的目標存在永恒之藍漏洞,執行命令如下:

          nmap --script smb-vuln-ms17-010 XX.XX.XX.XX (目標網絡)

          步驟二

          使用Metasploit對目標進行攻擊,輸入msfconsole啟動Metasploit。

          在Metasploit中,輸入search ms17-010查找永恒之藍漏洞模塊名稱。

          輸入use
          exploit/windows/smb/ms17_010_eternalblue選擇漏洞利用模塊

          輸入show options查看當前攻擊配置

          將配置中第一行的RHOST修改為目標IP地址配置完成后,輸入run命令執行漏洞攻擊,如果執行成功,會獲得目標機器windows系統的shell終端,可對該目標機器執行任何命令。

          防護方案

          防護永恒之藍漏洞,應對方式有以下三種:

          1、Win7以上系統打補丁

          對于Win7以上系統,微軟已于2017 年 發布MS17-010補丁,修復了“永恒之藍”攻擊的系統漏洞,一定要及時更新Windows系統補丁。

          2、WinXP系統開系統防火墻

          Win7 以下的 WindowsXP/2003 目前沒有補丁,只要開啟 SMB 服務就受影響。所以最好的方式是關停系統的SMB服務,WinXP系統的處理流程如下:

          1)、依次打開控制面板——>安全中心——>Windows 防火墻,選擇“啟用”。

          2)、點擊開始,運行,輸入 cmd,確定執行下面三條命令

          net stop rdr

          net stop srv

          net stop netbt

          3、安裝殺毒軟件

          主流安全防護軟件(例如360安全衛士)都已經支持永恒之藍漏洞的監測,并可以針對系統安全漏洞進行補丁下載和安裝。

          4、網絡邊界設置防火墻策略

          工控網絡邊界加裝防火墻設備,設置安全策略,禁止對受保護的內網主機的135/137/139/445端口的連接。


          四、船舶制造仿真平臺設計


          詳細設計方案

          船舶制造廠工控網絡仿真攻防平臺不僅僅作為一個展示和基本攻防演練功能,還應該具備學習和研究能力,能對船舶制造行業各種不同設備的通信協議、漏洞進行深入挖掘,從而形成安全統一分析展示、關聯性分析等強大功能。

          功能架構如下:

          圖:平臺功能架構圖


          工業網絡產品


          船舶制造行業的網絡架構層通常應包含操作管理層、現場控制層、生產控制層、生產執行層等,每一層之間并非獨立的,通過網絡設備是連接的,所以每一層網絡或設備都可能成為入侵的源頭。


          機柜內安裝我司多款工業網絡安全產品,通過部署工業網絡安全產品,模擬在真實船舶制造工業環境中實現對關鍵設備、生產過程等的全方位智能管控與決策優化,提升生產效率,降低生產成本。


          工業網絡安全產品包含:統一安全監管平臺、工業防火墻、工業監測審計、工業入侵檢測系統、工業隔離網閘、工業終端安全衛士、USB安全管理系統、工業安全評估系統等。


          安全防護


          在仿真平臺系統部署工業防火墻、智能工業網閘、工業監測審計系統、USB安全防御系統、統一安全監管平臺等工業安全防護設備,對整個系統進行安全監測預警及安全防護。

          圖:攻防平臺拓撲圖

          除了以上我司根據船舶制造行業自身特點設計的五種經典攻防場景外,還有多種可以利用該仿真系統進行其它類型測試的攻防實驗,例如:應用系統登錄攻擊、網站口令猜測攻擊、USB自動執行木馬攻擊、工業程序逆向等各類船舶制造工業網絡環境攻防實驗。將于下期分享出來,歡迎持續關注。

          分享:

          微博
          微信公眾號
          cao死你狠狠cao弄

                <address id="n1rrn"><pre id="n1rrn"><ruby id="n1rrn"></ruby></pre></address>