基于工业互联网控制设备网络武器化研究

一、工业互联网网络安全现状

1.1工业互联网控制系统概述

随着工业互联网的发展，促使工业企业加快数字化转型升级。数字化、网络化、智能化的生产方式成为了主流。大量的工业控制系统和生产设备通过互联互通的方式，连接了起来。这也使得这些重要的生产系统成为了黑客攻击的主要目标，并针对工业互联网控制系统发起了网络攻击事件。工业互联网控制系统的信息安全重要性日益凸显，成为了制造强国和网络强国建设的重要支撑、保障国家网络安全的重要基础。

1.2工业互联网安全现状

工业互联网控制设备的安全偏向于功能安全、设备硬件安全、生产工艺安全等，但却很少关注控制系统本身的信息安全。如系统的固件、软件、网络等信息传递的媒介及途径。工业互联网控制设备一般都采用的稳定设备，运行时间长，生命周期比较长，因此这些设备的漏洞就成为了黑客被攻击的入口，也是信息安全的重要保护点。

但随着科技技术水平的发展，工业互联网控制设备的智能化、网络化和通用性的提升，控制设备的性能也越来越好，可完成的功能越来越多，导致信息安全防护的手段需要不断提升。

本文主要从工业互联网控制设备角度出发，以控制设备中心，以不同的信息途径或者介质研究其信息安全。

1.3典型工业互联网安全事件

“震网”事件，主要利用微软Windows系统和西门子SIMATIC WinCC系统的多个漏洞，通过移动存储介质和局域网进行传播，通过西门子控制器控制的变频器的信息被篡改，导致执行设备的损坏。

Havex病毒事件，主要利用OPC协议的开放性，从控制系统中的OPC服务器，获取工业互联网生产现场的数据，进而影响生产现场。

Black Energy恶意软件事件，主要利用了僵尸网络，以恶意代码攻击载荷的方式，远程控制工业互联网控制系统，直接控制工业现场的生产，导致大面积的停电事故。

以上这些工业互联网事件，都是从外部网络，入侵到工业互联网控制系统中，对控制系统中的控制设备进入攻击，进而造成影响实际生产生活的恶性网络攻击事件。

本文主要研究以工业控制设备本身角度出发，以网络、协议、控制等手段，实现将控制设备武器化，在内网中直接发起网络攻击，造成生产设施、生产工艺的停顿或者破坏。

二、设备武器化研究必要性

2.1 防护角度

在工业互联网高速发展的今天，防护手段也在不断变化。针对不同情境下的攻击手段，防护者所能思考，以及所能见到的攻击事件不断发生以及变化。主要分为以下几种情况：

1、对已知的攻击手法、手段以及攻击方式的防护；

2、对未知的攻击手法、思路以及安全隐患的安全加固；

3、安全体系防护，如何寻找自身系统的靶标点、脆弱点等。

2.2攻击角度

在“未知攻、焉知防”的理念下，通过研究各种攻击手段、手法以及路径的过程中，才能发现如何更好的防护系统安全。并可以通过提升研究方法、思路获得新的防护方式。

1、分析攻击路径，探索安全防护壁垒；

2、分析攻击手段，探索安全防护规则；

3、分析攻击靶标，探索安全防护配置。

2.3安全思维

安全思维是有效指导如何加强系统安全，在不断的更新攻击靶标、攻击手段和攻击路径，有效检验安全体系的合理性。通过不断的渗透测试、定向攻击和武器化进攻，不断冲击旧式安全体系，不断提出合理的安全建议，优化安全策略，进而完善安全体系的建设。

三、控制设备网络资源

3.1 编程语言

工业控制系统控制设备所运行的客户代码，一般都是由编程语言组成。根据国际电工委员会制定的工业控制系统语言标准（IEC1131-3）。控制设备的编程语言包括以下五种：梯形图语言（LD）、指令表语言（IL）、功能模块图语言（FBD）、顺序功能流程图语言（SFC）及结构化文本语言（ST）。

目前大部分的控制设备都支持以太网形式的网络使用，如西门子PLC的网络控制模块有TCON、TSEND、TRCV等，分别可以进行TCP/IP网络连接，发送网络数据包，接受网络数据等。可以充分利用这些资源使用控制设备对内部网络发起网络请求，已达到网络传播、网络攻击、网络数据分发等功能。

3.2以太网模块

我们知道，大部分的恶意代码都需要网络进行传播或者触发。尤其僵尸网络，更是通过以太网将分散在不同区域的设备，统一执行命令操作。

随着工业互联网控制系统的联网化需求，大部分设备都已经自身携带以太网模块，或者根据需要可以配置以太网独立模块以进行联网的需求。

3.3通信协议

控制设备的通信协议，是工控设备与工控应用、工控设备与工控设备之间沟通的一种重要语言。通信协议是双方完成通信或者服务所必须遵守的规则和约定。通过通信协议可以将更多的设备、应用互联起来。

控制设备的通信协议一般包括三个部分：协议格式、协议内容及通信方式；

协议格式，即我们经常讲的通信协议文本，它包含了协议格式和协议规范；

协议内容，在工业控制设备中，通常包含两个部分。一个部分是控制部分，另外一部分是数据通信部分；控制部分主要包括设备的配置信息，如IP地址设置、工程上传下载、设备状态的设定等内容。数据通信部分主要包括数据传输，包括读写数据、数据的交互及数据的处理等。

四、网络武器化分析

4.1 网络资源侵占

当客户端启动到服务器的TCP/IP套接字连接时，客户端通常连接到服务器的特定端口，并请求服务器通过临时（或暂时）TCP的端口进行响应。

我们通过使用控制设备来向服务器不停的发起TCP连接请求，占用服务器的TCP/IP端口资源。进而使得服务器无法响应正常的连接请求。

网络资源侵占我们可分为侵占其他控制设备、侵占内网服务器、还可以通过网络向外部僵尸网络发送信息。

4.2控制运行状态强制

控制设备的运行控制包括设备运行状态以及控制逻辑运行。

设备运行状态一般包括RUN、STOP、编辑状态等。通过控制设备自身的编辑软件，都可以控制设备的运行状态。也有的控制设备自身携带硬件开关，可以通过物理方式，改变其运行状态。

控制逻辑运行指的是控制设备内部程序的运行逻辑，一般指的现场工艺的控制逻辑，可以通过改变变量的状态、数值以及赋值方式等，改变运行逻辑。

4.3控制器变量强制

在控制设备编写程序调试过程中，经常会用到一个监控的程序。此程序可以有效的帮助我们提高程序编写的效率及检测我们编写的程序是否符合预期设置。但监控程序也带来的一定的安全隐患，使用不当将导致控制设备的逻辑异常。

监控程序可以直接强制变量；在监控程序监控过程中，我们可以预期强制一些变量，来模拟外部的输入输出，作为我们调试程序时候的外部因素。但我们通过远程操作进行强制时，如果忘记关闭强制置位时，则会影响控制设备的控制逻辑执行。

五、控制设备武器化研究

5.1 网络资源实现方式

网络资源侵占的实现逻辑如下图1所示：

图1

首先我们要判断使用的控制设备是否可以调用以太网接口的能力，或者权限。如果不可以，我们可以通过升级软件、固件等方式使其可以使用以太网模块。之后我们对以太网接口的参数进行初始化，使其满足我们需要。然后就是通过不停的建立以太网连接，对目标发起网络攻击。

我们以西门子博图软件中的以太网模块为例，如图2所示。

图2

图2中我们主要用到了TCON功能模块，该模块是建立TCP连接的核心模块。如果我们还想对内网的多个IP进行发起攻击，在需要对CONNECT参数中的IP

地址进行及时更换，每次攻击的时候进行目标IP地址的切换。

5.2控制运行状态强制实现方式

控制运行状态的实现逻辑如下图3所示：

首先，我们要了解被攻击设备的通信协议，如Modbus的控制命令，大部分的控制设备的协议都是私有的，因此在实现控制运行状态强制的效果时，先要了解被攻击设备的通信协议。

我们程序的第一步，是将控制设备通信协议的命令序列化，此时我们才可以通过控制设备，将通信协议命令发送到以太网中。

第二步，我们需要调用以太网模块，与被攻击设备建立以太网连接。

最后一步，将我们序列化后的数据，通过以太网数据发送模块发送出去。

图3

我们以西门子博图软件中的以太网发送模块为例，如图4所示。

图4

图4中是西门子的TSEND的模块，它是将“send_data”数据块中的数据发送出去，以实现通过控制设备对内网其他设备发起网络攻击的目的。

六、安全防护意见

6.1 网络区域访问控制

将内部网络按照功能进行区域划分，在不同区域间应设置访问控制设备，有效减少因内部网络越权访问造成的网络攻击事件。

6.2网络安全审计

在内部的核心交换机处，应设置合理的网络安全审计设备，对不明的网络访问加强安全审计，并及时告警处置。

6.3协议深度解析防护

在关键的核心设备前端，设置协议深度解析防护设备，对不明的访问请求，功能请求一律进行阻止。防止非法访问造成的设备宕机、工艺错乱等事件。

七、总结

工业互联网控制设备武器化研究的目的主要为以下几点：

1、结合当前工业互联网安全事件，判定工业互联网武器化是未来一段时间内的发展方向；

2、对于控制设备的安全防护手段，仍需要一定技术的突破，以及安全思维的变化；

3、控制设备是工业生产、工业互联网的基础核心，其网络安全应同步其信息化过程；

4、控制设备的重点是外联安全，也是大部分安全入侵的入口，外联安全是其网络安全研究方向之一。

原文始发于微信公众号（湘雪尘奕）：基于工业互联网控制设备“网络武器化”研究