2010年，伊朗震網病毒事件爆光，揭開了工業控制系統（“工控系統”）的“神秘面紗”，也拉開了攻擊工控系統的序幕。隨后十年間爆發了眾多與工控系統關聯的安全事件，例如：針對電力、水利、能源、交通等基礎設施的定向攻擊或針對式攻擊（APT，advanced persistent threat），對社會秩序造成較大影響；針對生產制造等企業的定向攻擊，竊取商業機密，影響正常生產；撒網式攻擊，特別是2017年席卷全球的WannaCry勒索病毒，工控系統亦成為“疫”區，且在近兩年仍余波不斷。

　　此外，世界知名的黑客大會，如BlackHat、DefCon等，紛紛將工控安全納入議題；2020年1月世界高水平黑客大賽Pwn2Own更首次將工控納入比賽。可以看出，工控領域似乎正在成為“黑道”和“白道”的藍海，工控系統的漏洞和攻擊面也正隨著工業互聯網的發展，更多的暴露于攻擊者。

　　本文將從黑客角度透析攻擊方式和路徑，識別工控環境中易于被利用漏洞和脆弱性。

　　工業控制系統應用領域

　　01  工業控制系統的整體攻擊思路

　　攻擊目標

　　強目的性、針對式的攻擊通常是以破壞工控設備、造成工廠停產、工序異常、次品率增加，甚至火災爆炸等嚴重后果為目標。現代工廠中，大部分現場生產設備都是由控制系統（如：PLC-可編程邏輯控制器、數控車床、DCS-分布式控制系統）進行現場操作。因此，攻擊者的目標是通過直接或間接攻擊或影響控制系統而實現。下文將以工廠PLC舉例，闡述黑客對工控系統的攻擊思路。

　　黑客攻擊目標舉例

　　攻擊場景

　　針對式直接攻擊

　　直接攻擊PLC，是指利用PLC存在的漏洞，或通過口令破解等方式繞過安全認證，成功控制PLC并進行指令修改，實現攻擊目的。當前較多的PLC處于內網，尚不能通過互聯網直接訪問，在此情景下，直接攻擊一般通過物理接觸PLC，或通過內部辦公網絡連接到PLC等方式而實現。隨著工廠智能化的提升，設備實現互聯互通，大量PLC系統連入互聯網，將更易于黑客對PLC發起直接攻擊。

　　針對式間接攻擊

　　間接攻擊PLC，是指獲取PLC上一層監控系統（如HMI、IPC、SCADA等）的控制權，通過監控系統向PLC發送惡意指令，或干擾監控系統與PLC的正常通訊，實現攻擊目的。采用間接攻擊場景，通常是由于攻擊者無法直接接觸到控制系統，或對工廠內部PLC系統了解有限，因而轉向攻擊存在大量攻擊者熟悉的IT部件的過程與監控層系統。例如，攻擊者首先獲得IPC（工業計算機）的控制權，分析IPC和PLC之間的傳輸模式，構造惡意指令，通過IPC傳輸給PLC，間接影響PLC的正常工作或阻斷生產狀態的監控和預警。

　　非針對式攻擊

　　非針對式攻擊，或稱為撒網式攻擊，是指惡意程序利用系統或網絡的共性漏洞，無差異化感染系統并在內網傳播，影響正常生產秩序。此類攻擊場景雖然不針對工控系統，但由于目前工控環境的安全措施較為薄弱，使得撒網式攻擊在世界范圍內屢屢得手。撒網式攻擊通常以病毒或惡意程序為主，例如，攻擊者利用員工安全意識薄弱，發送釣魚郵件，感染接收者的電腦，再利用網絡環境的脆弱性，在辦公網快速傳播，再蔓延至生產網，感染具有共性漏洞的系統，如IPC等，影響生產或造成破壞。

　　攻擊途徑

　　工控系統的攻擊途徑大體包含內部發起和外部發起兩類。內部發起又可分為自辦公網滲透到工廠網以及車間現場發起攻擊；外部發起包含針對式攻擊（如APT）和撒網式攻擊。

　　工控環境攻擊路徑

　　內部發起

　　辦公網為起點

　　在辦公網環境內，使用nmap等工具掃描和獲取網段和資產信息，特別是常規工控系統和IT系統端口，Siemens 102，modbus 502，EthernetIP 44818、445、3389等；

　　利用漏洞對識別出的系統進行攻擊，包含嗅探、權限繞過或提升、重放攻擊、口令猜解、指令注入、永恒之藍漏洞利用、口令猜解等；

　　成功獲取系統控制權后，嘗試以該主機為跳板，使用Pass the Hash等方式滲透其他系統，找尋工控相關系統PLC、IPC和SCADA等，以實現攻擊目的；

　　若均未成功，轉向采用社會工程等方式進一步獲取相關信息（如高權限賬號等）；

　　同時，考慮設法進入工廠車間內部，轉為現場攻擊方式；

　　一些集成控制系統的中控平臺，或者內網的一些類SCADA等組態控制系統的web應用端或者dll、dat容易被劫持后形成工程師站的提權。

　　車間現場為起點

　　在車間內發起攻擊工控系統是最為直接的方法，手段和選擇同樣是多樣化的：

　　進入車間后，仔細觀察車間內的情況，尋找IPC或者控制系統的位置，為后續攻擊嘗試做準備。

　　攻擊嘗試一：

　　首選目標為控制系統（如PLC），尋找是否存在未上鎖，或者網線接口暴露在外的設備；

　　嘗試了解相關的控制系統基本信息，例如所使用的品牌，版本等；

　　嘗試使用電腦在現場連接控制系統，利用弱口令等脆弱性，嘗試惡意指令注入、權限繞過、重放攻擊等。

　　攻擊嘗試二：

　　嘗試對現場運行的IPC或者HMI進行攻擊，例如對運行的IPC插入惡意U盤植入惡意程序；

　　針對未設置權限的IPC或者HMI直接操作，如修改控制系統的指令等惡意操作。

　　外部發起

　　針對式攻擊

　　APT 攻擊是典型的外部發起的針對式攻擊，攻擊過程包含

　　對目標企業進行信息收集以初步了解該企業的基本情況；

　　利用Google、Baidu等搜索引擎尋找暴露在互聯網上的域名或服務器；

　　利用爬蟲技術盡可能獲取網站所有鏈接、子域名、C段等；

　　嘗試對網站應用進行高危漏洞利用，例如惡意文件上傳、命令執行、SQL注入、跨站腳本、賬戶越權等；

　　嘗試獲取網站webshell，再提升至服務器權限；

　　以該服務器為跳板打入內網環境，轉變為內部攻擊的模式；

　　通過從互聯網搜索外網郵箱的用戶名，根據企業的特點，針對式地給這些用戶發送釣魚郵件，以中招的電腦為跳板打入內部環境，轉變為內部攻擊的模式；

　　利用偽造門禁卡，或者偽裝參觀、面試人員或者尾隨內部員工的方式物理進入企業內部，轉變成為內部攻擊的模式。

　　撒網式攻擊

　　利用Google和Baidu等搜索引擎找出暴露在互聯網上企業的域名，若發現可以利用的漏洞則轉為針對式攻擊；

　　利用社工，盡可能多收集企業的員工的郵箱，大批量發送釣魚郵件；

　　使用Shodan搜索引擎，針對暴露在互聯網上的工控系統發起攻擊，成功后轉為內部攻擊。

　　黑客攻擊鏈（Cyber Kill Chain）

　　一般來說，攻擊者通常以低成本、撒網式的攻擊手段，如發送釣魚郵件等社工式，開始攻擊嘗試。當受害者點開附在釣魚郵件內的惡意鏈接或惡意程序時，“潘多拉之盒”就此打開，攻擊者將嘗試攻陷受害者的設備，并以此設備為跳板，打入企業內網。如果工控網絡未能做到與辦公網絡的有效隔離，攻擊者可以在進入辦公網絡后掃描并分析發現相關工控資產。當前許多工廠工控環境抵御網絡攻擊的能力較弱，大多存在弱口令，權限設置不當，共享賬號和密碼，補丁和脆弱性管理缺失，網絡隔離和防護不充分等高危漏洞，使得攻擊者利用這些漏洞，在企業工控網內大范圍、無阻攔、跨領域的對工控資產進行攻擊，最終導致工業數據泄露、設備破壞、工序異常、次品率增加、火災爆炸甚至威脅員工安全等嚴重后果，形成完整的黑客攻擊鏈。

　　02  工業控制系統能否有效抵御攻擊？

　　工控系統能否有效阻擊黑客攻擊，取決于攻守雙方的準備和措施。目前來看，攻擊者更加積極研究工控系統漏洞和攻擊手段，而企業在當下更著重于高效生產和數字化轉型，對工控安全的關注和投入相對滯后；加上工控系統的陳舊性和非標準性，使得暴露在攻擊者面前可利用的脆弱性較多，舉例如下：

　　組織與人員

　　未落實安全責任

　　管理層重視不足，部門間安全職責不清晰，無明確安全部門或崗位。

　　安全意識薄弱

　　員工對工控系統的安全意識相對薄弱，特別是生產或一線員工。傳統型企業的“隱匿式安全”（security by obscurity），認為嚴格物理安全和訪問管理即可確保安全，認為未發生安全事件即是安全，這往往使得企業忽略對網絡安全的建設，未能及時補救隱患。

　　管理與監督

　　“經驗式”管理

　　工控系統自身缺乏安全設計與考量，是很多企業存在的普遍現象，通過實施適當安全保障措施，可以有效彌補。但很多企業并沒有建立有效的安全策略和措施，僅依靠個人經驗和歷史經驗進行管理。

　　應急響應機制缺失

　　缺少應急響應機制，出現突發事件時無法快速組織人力和部署應對措施來控制事件進一步蔓延，并在最短時間內解決問題和恢復生產。

　　缺少恰當的口令策略

　　未設置恰當的口令策略和管理，如弱口令，共享口令，多臺主機或設備共用一個口令，以及口令共享給第三方供應商等情形，增加密碼泄露風險。

　　缺乏安全審計日志

　　系統出現安全事件后，無法追蹤和分析事件源頭和原因，以避免類似情形的再次發生。

　　網絡與架構

　　“防君子式”網絡隔離

　　內部辦公網絡和工廠網絡缺乏有效隔離，未劃分安全域進行防護，導致辦公網絡的攻擊或病毒蔓延至工廠網絡，造成生產影響。

　　不安全的通訊協議

　　工業控制協議非標準化，且大多存在安全隱患，例如CAN、DNP3.0、Modbus、IEC60870-5-101。

　　不安全的遠程訪問

　　為方便維修工程師和供應商的遠程調試，未對遠程訪問部署安全措施和監控，此類遠程訪問功能可能是攻擊者利用率最高的漏洞之一。

　　復雜的結構

　　工控系統的結構相對于IT環境而言更為復雜，攻擊面較多。典型的工控環境一般會有以下組成部件：控制器（PLC、數控車床、DCS）、SCADA系統、工業計算機、工業軟件、HMI、網絡、交換機、路由器、工業數據庫等，其中任意一個環節或者部件出現問題就有可能導致整個工控系統被攻擊。

　　主機與設備

　　認證與授權

　　為了日常使用方便，重要控制系統未設置密碼、設置弱密碼或共用密碼，將密碼貼在現場機器上，這些“便利”往往也為攻擊者的入侵提供了極大的便利。

　　防病毒軟件

　　未安裝病毒防護軟件，未及時更新病毒庫，非正版軟件等。

　　操作系統陳舊性

　　現在的工廠環境中，使用越來越多的計算機系統，然而由于工業控制系統的更新迭代的時間相比于IT系統要長很多，使得工業控制系統中存在大量陳舊的計算機系統，如windows xp、windows 2003等操作系統，存在大量可被攻擊利用的高危漏洞。

　　默認配置

　　許多工廠在安裝設備時，使用了默認口令、默認路徑，開啟不必要且不安全的端口和服務等默認配置。

　　離線設備管理

　　對于離線設備，往往認為是安全的，忽視網絡安全保護措施。但隨著企業數字化的推進或在業務需要時進行網絡連接時，此類設備可能會成為安全體系的短板和缺口。

　　物理防護

　　硬件調試接口

　　重要控制系統的機架未上鎖，或暴露在外的調試接口未有效防護。

　　物理端口

　　未對IPC等通用接口進行有效管理或禁用，如USB、PS/2等外部接口，可能存在設備未授權接入風險，導致病毒感染或者程序非法修改。

　　外部人員訪問

　　人員進出車間管控不嚴，特別是外部人員，如供應商等。

　　上述匯總的可以被攻擊者利用的部分脆弱性，企業可結合自身業務特點予以關注，短期考慮針對高風險漏洞采取一定的補償性措施，中長期依據業務和數字化發展規劃，逐步建立起與業務和生產同步發展的工控安全管控體系。