工控設備漏洞挖掘的可行性11.1.1工業控制網絡漏洞挖掘技術工控設備和系統有如下一些典型特點：系統的封閉性：設計之初的SCADA、DCS、ICS處于封閉網絡，因此沒有將安全機制考慮在內。數據接口的多樣性：多種數據接口（如RJ45、RS485、RS232等）和協議規約多樣性。通信的復雜性：專用的通信協議或規約（如OPC、Modbus、DNP3、Profibus等）。不可改變性：工控系統程序和固件難以升級。以上特點導致傳統系統信息系統漏洞檢測技術無法直接應用于工業控制系統，因此需要針對工業控制系統的特點，研究對應的漏洞檢測技術，分析工業控制系統中的安全威脅，從而對安全威脅進行有效的防御。工控設備漏洞挖掘的可行性11.1.1工業控制網絡漏洞挖掘技術漏洞挖掘的可行性過去工業控制設備通過串行電纜和專有協議連接到計算機網絡，隨著業務的發展以及傳統IT基礎設施的開放和技術滲透，目前通過以太網電纜和標準化的TCP/IP通信協議連接到計算機網絡的工業控制系統越來越多。供應商提供的大量工控設備提供了嵌入式Web、開放的FTP、遠程Telnet等傳統服務。這些開放的端口和服務為工控終端設備漏洞被挖掘和利用打開了通道，也給工控系統造成了巨大的安全隱患。工控設備漏洞挖掘的可行性11.1.1工業控制網絡漏洞挖掘技術漏洞挖掘的困難性目前，公開的工業控制設備的漏洞數目不多，但漏洞直接關系到工控生產等實際業務流程的現場設備，并分布在大量的基礎設施中。因此如果控制設備受到攻擊，將會造成直接而嚴重的損失，如設備損壞、停機甚至人員傷亡。需要注意的是，對這些工控設備的網絡滲透測試不能在實際運行的系統中進行，因為滲透測試的某些測試樣本會使設備達到極限性能或者出現異常，所以滲透攻擊測試都應該運行在模擬平臺上，或者正在開發、測試的系統中。另外，工業控制設備通常不公開其內部結構，且設備品牌眾多，體系也各不相同，漏洞挖掘人員對此普遍接觸較少，導致目前對其內部結構相關的研究也比較少，這是目前直接針對工業控制設備的漏洞挖掘方法非常少的重要原因。傳統信息系統漏洞挖掘方法適用性分析11.1.2工業控制網絡漏洞挖掘技術傳統信息系統的漏洞挖掘方法主要分為白盒方法、灰盒方法和黑盒方法3中。白盒方法是指在有源代碼、對目標完全了解的情況下進行漏洞挖掘，主要方式由源代碼審計和走讀、源代碼靜態分析等；灰盒方法是指在有目標文件、對于目標有部分了解的情況下進行的漏洞挖掘，包括二進制插樁、動態污點分析等；黑盒方法是指在對目標完全不了解的情況下進行的漏洞挖掘，典型的代表是模糊測試（Fuzzing）。現階段，安全研究人員對于工業控制設備的內部結構了解不足，逆向工控設備的技術處于起步階段，又因為無法獲取工控系統的源代碼和目標文件，無法采用白盒方法和灰盒方法挖掘漏洞，所以現階段采用模糊測試來挖掘工控設備漏洞的方法比較常見。11.1.2工業控制網絡安全漏洞分析根據漏洞出現于工控系統組建的不同，工控安全漏洞可劃分為工控設備漏洞、工控網絡協議漏洞、工控軟件系統漏洞、工控安全防護設備漏洞等漏洞分類典型設備/協議工控設備漏洞PLC、RTU、DCS、交換機、工業協議網關等工控網絡協議漏洞OPC、Modbus、Profibus、CAN等工控軟件系統漏洞WinCC、Intouch、KingView、WebAccess等工控安全防護設備漏洞工業防火墻、網閘等11.1.2工業控制網絡安全漏洞分析圖顯示了目前已知的公開工控相關安全漏洞占據了多數，下位機的漏洞主要集中在PLC上，另外，服務器、固件和網絡設備也占據了一定的比例。對工控系統而言，可能帶來直接隱患的安全漏洞也可以分為SCADA系統軟件漏洞、操作系統安全漏洞、網絡通信協議安全漏洞、安全策略和管理流程漏洞。11.1.3工業控制網絡安全漏洞態勢分析工控漏洞的價值被高度重視一些惡意的攻擊者不斷掃描工控系統的漏洞，并使用針對工控系統的專用黑客工具發動網絡攻擊。近幾年漏洞的數量呈爆發式增長的趨勢，主流的工業控制系統也普遍存在安全漏洞，且多為能夠造成遠程攻擊、越權執行的嚴重威脅類漏洞。中高危漏洞比例居高不下工控相關應用系統和應用軟件的安全健壯性不強。無論是應用軟件漏洞還是設備固件漏洞，都是由于在開發過程中遺留的安全設計和實現缺陷所導致的，1個高危漏洞就意味著目標系統中存在1個甚至多個致命安全性缺陷。11.1.3工業控制網絡安全漏洞態勢分析漏洞類型復雜，危害嚴重常見的漏洞類型有信息泄露、緩沖區溢出、跨站攻擊、拒絕服務等。其中，信息泄露相關的漏洞數量最多，對工控系統的影響主要體現在兩個方面：一方面，企業內部的工藝流程、圖紙、排產計劃等關鍵數據容易成為攻擊者竊取的對象；另一方面，攻擊者利用間諜工具手機的各種涉密信息，為后續具有破壞性的網絡攻擊提供安全情報。緊隨其后的是緩沖區溢出漏洞和跨站攻擊漏洞，緩沖區溢出在各種操作系統、應用軟件中廣泛存在。利用緩沖區溢出漏洞，惡意攻擊代碼可以導致應用程序運行失敗、系統宕機、重新啟動，甚至用于執行非授權代碼，對工業現場的智能設備下達非法指令（如修改運行參數、關閉閥門開關等）。漏洞的補丁發布嚴重滯后發現漏洞并打補丁在信息安全領域是安全防護工作的常態，但在工控安全領域卻經常面臨這發現了漏洞卻無補丁可補的尷尬狀態。11.2.1工業控制網絡安全漏洞分析技術方法漏洞檢測技術方法工控系統漏洞檢測的關鍵技術（1）構建工控系統漏洞庫需要構建工控系統專有漏洞庫。在漏洞庫的設計中需要遵循以下幾條原則：從漏洞庫的建議性、有效性出發，選擇文本方式記錄漏洞。對每個存在安全隱患的網絡服務建立對應的漏洞庫文件。對漏洞危險性進行分級。提供漏洞危害性描述和建議的解決方案。

11.2.1工業控制網絡安全漏洞分析技術方法漏洞檢測技術方法（2）基于工業漏洞庫的漏洞檢測技術基于工業漏洞庫的漏洞檢測技術通過漏洞掃描引擎選用合適的檢測規則，結合工控系統漏洞庫，掃描系統中的關鍵目標系統和設備的脆弱性。另外，需要完整支持Modbus、DNP3、Profinet等工業通信協議，以及支持ICMPPing掃描、端口掃描等傳統掃描技術。漏洞掃描的策略主要分為主機漏洞掃描和網絡漏洞掃描主機漏洞掃描一般特指在上位機環境，包括操作員站、工程師站和服務器安裝漏洞掃描的代理工具或者直接部署服務實現，從而方便實現對文件、進程、內存等對象的訪問。網絡漏洞掃描則更多是針對目標系統、服務或者資源較低的工業設備本身進行的，通過構造特殊的數據包發送給目標，收集反饋信息來判斷是否有特定的漏洞存在。11.2.1工業控制網絡安全漏洞分析技術方法漏洞檢測技術方法（3）漏洞檢測執行漏洞檢測的主要方法包括直接測試、推理測試和憑證測試三種。直接測試：特指利用漏洞特點發現目標系統漏洞方法，根據掃描檢測或者滲透方式的不同，有些是直接有明確反饋而被觀測到的，還有一些是需要稍作分析或者間接觀測到的，由于其粗暴的攻擊特性有的時候可能會造成檢測的目標對象被破壞，但也正因為如此準確性比較高。典型的測試應用是Web服務漏洞測試和拒絕服務漏洞測試。推理測試：指根據相關系統、應用的版本、時序結果判斷是否具有某個漏洞，并結合目標所表現出來的行為情況分析是否具有感染漏洞的行為特征的檢測方法。這種方法對目標系統影響非常小，但是可能有較高的誤檢測情況。憑證測試：是在已有訪問服務的授權情況下，進行對應檢測的方式。11.2.2模糊測試漏洞挖掘技術因為很難獲取工控應用軟件的源代碼或目標文件，因此目前對于工控系統未知漏洞的挖掘主要采用的是模糊測試（Fuzzing）的方法Fuzzing技術是一種通過構造能使軟件崩潰的畸形輸入來發現系統中存在漏洞的安全測試方法，通常被用來挖掘網絡協議、文件、ActiveX控件中存在于輸入驗證和應用邏輯中的漏洞，其自動化程度高、適應性廣的特點使其成為漏洞挖掘領域最有效的方法之一。Fuzzing測試包括協議解析、測試用例生成、異常捕獲和定位三個階段。協議解析是通過公開資料或者對網絡數據流量的分析，理解待測協議的層次、包字段結構、會話過程等信息，為后續生成測試用例打下基礎；測試用例生成依據上一階段分析出來的包字段結構，給待測對象發送采用變異方式生成的畸形測試用例；異常捕獲和定位的目的是通過多種探測手段發現由測試用例觸發的異常，保存異常相關數據信息，為后續異常的定位和重現提供依據。11.2.2模糊測試漏洞挖掘技術傳統的Fuzzing工具難以測試工控網絡協議由于工控系統以及工控網絡協議的特殊性，傳統網絡協議Fuzzing測試技術無法直接應用，具體體現在協議解析、異常捕獲和定位以及部署方式上存在的困難。（1）工控網絡協議解析方面對于公開的控制協議，雖然可以使用基于生成的Fuzzing技術進行測試，但由于工控協議面向控制協議、高度結構化、控制字段數量較多，使得需要構造大量的變異器，測試效率不高。對于私有的控制協議，需要先弄清楚協議的結構才能進行模糊測試。一般來說，有兩種思路：對協議棧的代碼進行逆向分析，分析出重要的數據結構和工作流程；抓取協議會話數據包，根據歷史流量來推測協議語義。對于大量使用私有協議的基于嵌入式的工控系統來說，其運行環境較為封閉，很難使用加載調試器的方法對協議棧的二進制代碼進行逆向分析。相比之下，采用基于數據流量的協議解析方法更實際。然而，工控設備具有時間敏感、面向會話的特點，使得部署需要大規模網絡流量輸入的基于突變的傳統Fuzzing測試工具并不現實。11.2.2模糊測試漏洞挖掘技術傳統的Fuzzing工具難以測試工控網絡協議（2）工控網絡協議異常捕獲和定位方面目前在網絡協議Fuzzing測試中常用的異常檢測手段主要有返回信息分析、調試器跟蹤及日志跟蹤3種方法。對于返回信息分析，主要通過分析請求發送后得到的返回信息判斷目標是否出錯，其優點是處理簡單，但由于工控設備具有較快的自修復能力，在發生異常后網絡進程灰自動重啟，如果請求收發頻率不夠高，將無法捕獲發生的異常。對于調試器跟蹤，主要通過監視服務器進程，在進程出錯時抓取進程異常信息并重啟來實現，但由于工控設備運行環境封閉，且使用嵌入式系統，難以安裝第三方調試工具，因而該方法只適用于工控設備機對協議棧的分析，無法應用在PLC等工控設備上。對于日志跟蹤，主要通過解析服務器日志判斷進程是否發生異常，但由于工控設備屬嵌入式系統，計算、存儲和網絡訪問均受到嚴格的制約，在PLC等工控設備上難以實現對一場事件的日志記錄和訪問。11.2.2模糊測試漏洞挖掘技術傳統的Fuzzing工具難以測試工控網絡協議（3）Fuzzing測試工具的部署方式方面目前，由于在傳統信息系統中C/S模式的Client端漏洞利用較困難，價值相對不高，因而傳統網絡協議Fuzzing測試技術主要針對Server端軟件，較少涉及Client端，但有些工控系統Client端負責數據采集與監視控制，其網絡協議棧存在的漏洞可能導致重要數據傳輸實時性的喪失，影響生產控制過程的正常運行，因此只測試Server端的Fuzzing測試工具不能滿足工控協議測試的需求。11.2.2模糊測試漏洞挖掘技術工控Fuzzing測試框架的設計準則工控網絡協議Fuzzing測試框架應該遵循以下幾點準則。（1）支持對私有工控網絡協議的測試由于大量工控網絡協議結構不公開，對私有協議的支持成為工控網絡協議Fuzzing測試框架的首要需求。一般來說，對于私有協議的模糊測試思路主要有離線分析和在線分析兩種。基于離線分析：梳理協議的結構和內容，生成協議模型，然后在此基礎上進行Fuzzing測試，即先將私有協議變成公有協議，再使用基于生成的方法產生測試數據基于線性分析：只是使用在線的方式，通過人工智能的方法對工控網絡協議的使用網絡流量進行學習，生成并完善協議的語義結構11.2.2模糊測試漏洞挖掘技術工控Fuzzing測試框架的設計準則（2）不依賴本地調試進行異常捕獲和定位作為工控系統的核心組件，PLC等物理設備運行環境封閉且存儲計算資源受限，無法通過附加調試組件的方式記錄異常事件并保存日志，只能依賴網絡探測的方式。較為可行的方法之一是使用心跳機制，以間歇性“請求-響應”的形式探測目標是否出錯，同時結合異常隔離機制，在每傳輸一組測試用例后通過發送心跳包的方式檢測對象是否發生異常，如果一定的時間閾值未收到回復包，則認為測試對象發生了異常，需采取逐步隔離的方式，如圖10-5所示，從該組用例中找出觸發異常的單個測試用例，并保存異常產生的流量數據，以便進一步分析。11.2.2模糊測試漏洞挖掘技術