2010年，伊朗震网病毒事件爆光，揭开了工业控制系统（“工控系统”）的“神秘面纱”，也拉开了攻击工控系统的序幕。随后十年间爆发了众多与工控系统关联的安全事件，例如：针对电力、水利、能源、交通等基础设施的定向攻击或针对式攻击（APT，advanced persistent threat），对社会秩序造成较大影响；针对生产制造等企业的定向攻击，窃取商业机密，影响正常生产；撒网式攻击，特别是2017年席卷全球的WannaCry勒索病毒，工控系统亦成为“疫”区，且在近两年仍余波不断。

　　此外，世界知名的黑客大会，如BlackHat、DefCon等，纷纷将工控安全纳入议题；2020年1月世界高水平黑客大赛Pwn2Own更首次将工控纳入比赛。可以看出，工控领域似乎正在成为“黑道”和“白道”的蓝海，工控系统的漏洞和攻击面也正随着工业互联网的发展，更多的暴露于攻击者。

　　本文将从黑客角度透析攻击方式和路径，识别工控环境中易于被利用漏洞和脆弱性。

　　工业控制系统应用领域

　　01  工业控制系统的整体攻击思路

　　攻击目标

　　强目的性、针对式的攻击通常是以破坏工控设备、造成工厂停产、工序异常、次品率增加，甚至火灾爆炸等严重后果为目标。现代工厂中，大部分现场生产设备都是由控制系统（如：PLC-可编程逻辑控制器、数控车床、DCS-分布式控制系统）进行现场操作。因此，攻击者的目标是通过直接或间接攻击或影响控制系统而实现。下文将以工厂PLC举例，阐述黑客对工控系统的攻击思路。

　　黑客攻击目标举例

　　攻击场景

　　针对式直接攻击

　　直接攻击PLC，是指利用PLC存在的漏洞，或通过口令破解等方式绕过安全认证，成功控制PLC并进行指令修改，实现攻击目的。当前较多的PLC处于内网，尚不能通过互联网直接访问，在此情景下，直接攻击一般通过物理接触PLC，或通过内部办公网络连接到PLC等方式而实现。随着工厂智能化的提升，设备实现互联互通，大量PLC系统连入互联网，将更易于黑客对PLC发起直接攻击。

　　针对式间接攻击

　　间接攻击PLC，是指获取PLC上一层监控系统（如HMI、IPC、SCADA等）的控制权，通过监控系统向PLC发送恶意指令，或干扰监控系统与PLC的正常通讯，实现攻击目的。采用间接攻击场景，通常是由于攻击者无法直接接触到控制系统，或对工厂内部PLC系统了解有限，因而转向攻击存在大量攻击者熟悉的IT部件的过程与监控层系统。例如，攻击者首先获得IPC（工业计算机）的控制权，分析IPC和PLC之间的传输模式，构造恶意指令，通过IPC传输给PLC，间接影响PLC的正常工作或阻断生产状态的监控和预警。

　　非针对式攻击

　　非针对式攻击，或称为撒网式攻击，是指恶意程序利用系统或网络的共性漏洞，无差异化感染系统并在内网传播，影响正常生产秩序。此类攻击场景虽然不针对工控系统，但由于目前工控环境的安全措施较为薄弱，使得撒网式攻击在世界范围内屡屡得手。撒网式攻击通常以病毒或恶意程序为主，例如，攻击者利用员工安全意识薄弱，发送钓鱼邮件，感染接收者的电脑，再利用网络环境的脆弱性，在办公网快速传播，再蔓延至生产网，感染具有共性漏洞的系统，如IPC等，影响生产或造成破坏。

　　攻击途径

　　工控系统的攻击途径大体包含内部发起和外部发起两类。内部发起又可分为自办公网渗透到工厂网以及车间现场发起攻击；外部发起包含针对式攻击（如APT）和撒网式攻击。

　　工控环境攻击路径

　　内部发起

　　办公网为起点

　　在办公网环境内，使用nmap等工具扫描和获取网段和资产信息，特别是常规工控系统和IT系统端口，Siemens 102，modbus 502，EthernetIP 44818、445、3389等；

　　利用漏洞对识别出的系统进行攻击，包含嗅探、权限绕过或提升、重放攻击、口令猜解、指令注入、永恒之蓝漏洞利用、口令猜解等；

　　成功获取系统控制权后，尝试以该主机为跳板，使用Pass the Hash等方式渗透其他系统，找寻工控相关系统PLC、IPC和SCADA等，以实现攻击目的；

　　若均未成功，转向采用社会工程等方式进一步获取相关信息（如高权限账号等）；

　　同时，考虑设法进入工厂车间内部，转为现场攻击方式；

　　一些集成控制系统的中控平台，或者内网的一些类SCADA等组态控制系统的web应用端或者dll、dat容易被劫持后形成工程师站的提权。

　　车间现场为起点

　　在车间内发起攻击工控系统是最为直接的方法，手段和选择同样是多样化的：

　　进入车间后，仔细观察车间内的情况，寻找IPC或者控制系统的位置，为后续攻击尝试做准备。

　　攻击尝试一：

　　首选目标为控制系统（如PLC），寻找是否存在未上锁，或者网线接口暴露在外的设备；

　　尝试了解相关的控制系统基本信息，例如所使用的品牌，版本等；

　　尝试使用电脑在现场连接控制系统，利用弱口令等脆弱性，尝试恶意指令注入、权限绕过、重放攻击等。

　　攻击尝试二：

　　尝试对现场运行的IPC或者HMI进行攻击，例如对运行的IPC插入恶意U盘植入恶意程序；

　　针对未设置权限的IPC或者HMI直接操作，如修改控制系统的指令等恶意操作。

　　外部发起

　　针对式攻击

　　APT 攻击是典型的外部发起的针对式攻击，攻击过程包含

　　对目标企业进行信息收集以初步了解该企业的基本情况；

　　利用Google、Baidu等搜索引擎寻找暴露在互联网上的域名或服务器；

　　利用爬虫技术尽可能获取网站所有链接、子域名、C段等；

　　尝试对网站应用进行高危漏洞利用，例如恶意文件上传、命令执行、SQL注入、跨站脚本、账户越权等；

　　尝试获取网站webshell，再提升至服务器权限；

　　以该服务器为跳板打入内网环境，转变为内部攻击的模式；

　　通过从互联网搜索外网邮箱的用户名，根据企业的特点，针对式地给这些用户发送钓鱼邮件，以中招的电脑为跳板打入内部环境，转变为内部攻击的模式；

　　利用伪造门禁卡，或者伪装参观、面试人员或者尾随内部员工的方式物理进入企业内部，转变成为内部攻击的模式。

　　撒网式攻击

　　利用Google和Baidu等搜索引擎找出暴露在互联网上企业的域名，若发现可以利用的漏洞则转为针对式攻击；

　　利用社工，尽可能多收集企业的员工的邮箱，大批量发送钓鱼邮件；

　　使用Shodan搜索引擎，针对暴露在互联网上的工控系统发起攻击，成功后转为内部攻击。

　　黑客攻击链（Cyber Kill Chain）

　　一般来说，攻击者通常以低成本、撒网式的攻击手段，如发送钓鱼邮件等社工式，开始攻击尝试。当受害者点开附在钓鱼邮件内的恶意链接或恶意程序时，“潘多拉之盒”就此打开，攻击者将尝试攻陷受害者的设备，并以此设备为跳板，打入企业内网。如果工控网络未能做到与办公网络的有效隔离，攻击者可以在进入办公网络后扫描并分析发现相关工控资产。当前许多工厂工控环境抵御网络攻击的能力较弱，大多存在弱口令，权限设置不当，共享账号和密码，补丁和脆弱性管理缺失，网络隔离和防护不充分等高危漏洞，使得攻击者利用这些漏洞，在企业工控网内大范围、无阻拦、跨领域的对工控资产进行攻击，最终导致工业数据泄露、设备破坏、工序异常、次品率增加、火灾爆炸甚至威胁员工安全等严重后果，形成完整的黑客攻击链。

　　02  工业控制系统能否有效抵御攻击？

　　工控系统能否有效阻击黑客攻击，取决于攻守双方的准备和措施。目前来看，攻击者更加积极研究工控系统漏洞和攻击手段，而企业在当下更着重于高效生产和数字化转型，对工控安全的关注和投入相对滞后；加上工控系统的陈旧性和非标准性，使得暴露在攻击者面前可利用的脆弱性较多，举例如下：

　　组织与人员

　　未落实安全责任

　　管理层重视不足，部门间安全职责不清晰，无明确安全部门或岗位。

　　安全意识薄弱

　　员工对工控系统的安全意识相对薄弱，特别是生产或一线员工。传统型企业的“隐匿式安全”（security by obscurity），认为严格物理安全和访问管理即可确保安全，认为未发生安全事件即是安全，这往往使得企业忽略对网络安全的建设，未能及时补救隐患。

　　管理与监督

　　“经验式”管理

　　工控系统自身缺乏安全设计与考量，是很多企业存在的普遍现象，通过实施适当安全保障措施，可以有效弥补。但很多企业并没有建立有效的安全策略和措施，仅依靠个人经验和历史经验进行管理。

　　应急响应机制缺失

　　缺少应急响应机制，出现突发事件时无法快速组织人力和部署应对措施来控制事件进一步蔓延，并在最短时间内解决问题和恢复生产。

　　缺少恰当的口令策略

　　未设置恰当的口令策略和管理，如弱口令，共享口令，多台主机或设备共用一个口令，以及口令共享给第三方供应商等情形，增加密码泄露风险。

　　缺乏安全审计日志

　　系统出现安全事件后，无法追踪和分析事件源头和原因，以避免类似情形的再次发生。

　　网络与架构

　　“防君子式”网络隔离

　　内部办公网络和工厂网络缺乏有效隔离，未划分安全域进行防护，导致办公网络的攻击或病毒蔓延至工厂网络，造成生产影响。

　　不安全的通讯协议

　　工业控制协议非标准化，且大多存在安全隐患，例如CAN、DNP3.0、Modbus、IEC60870-5-101。

　　不安全的远程访问

　　为方便维修工程师和供应商的远程调试，未对远程访问部署安全措施和监控，此类远程访问功能可能是攻击者利用率最高的漏洞之一。

　　复杂的结构

　　工控系统的结构相对于IT环境而言更为复杂，攻击面较多。典型的工控环境一般会有以下组成部件：控制器（PLC、数控车床、DCS）、SCADA系统、工业计算机、工业软件、HMI、网络、交换机、路由器、工业数据库等，其中任意一个环节或者部件出现问题就有可能导致整个工控系统被攻击。

　　主机与设备

　　认证与授权

　　为了日常使用方便，重要控制系统未设置密码、设置弱密码或共用密码，将密码贴在现场机器上，这些“便利”往往也为攻击者的入侵提供了极大的便利。

　　防病毒软件

　　未安装病毒防护软件，未及时更新病毒库，非正版软件等。

　　操作系统陈旧性

　　现在的工厂环境中，使用越来越多的计算机系统，然而由于工业控制系统的更新迭代的时间相比于IT系统要长很多，使得工业控制系统中存在大量陈旧的计算机系统，如windows xp、windows 2003等操作系统，存在大量可被攻击利用的高危漏洞。

　　默认配置

　　许多工厂在安装设备时，使用了默认口令、默认路径，开启不必要且不安全的端口和服务等默认配置。

　　离线设备管理

　　对于离线设备，往往认为是安全的，忽视网络安全保护措施。但随着企业数字化的推进或在业务需要时进行网络连接时，此类设备可能会成为安全体系的短板和缺口。

　　物理防护

　　硬件调试接口

　　重要控制系统的机架未上锁，或暴露在外的调试接口未有效防护。

　　物理端口

　　未对IPC等通用接口进行有效管理或禁用，如USB、PS/2等外部接口，可能存在设备未授权接入风险，导致病毒感染或者程序非法修改。

　　外部人员访问

　　人员进出车间管控不严，特别是外部人员，如供应商等。

　　上述汇总的可以被攻击者利用的部分脆弱性，企业可结合自身业务特点予以关注，短期考虑针对高风险漏洞采取一定的补偿性措施，中长期依据业务和数字化发展规划，逐步建立起与业务和生产同步发展的工控安全管控体系。