OT安全入门:攻击者思维——OT渗透测试简介(第四部分)
大家好!
我是 aravind0x7,欢迎回到我们 OT(运营技术)安全之旅的下一个章节。
如果您一直在关注这个系列,那么您现在应该已经掌握了基础知识,了解了为什么像 Modbus 和 DNP3 这样的协议如此不安全,并且认识到遗留系统以及 IT/OT 融合所带来的巨大挑战。我们已经讨论过威胁;现在,让我们来谈谈攻击者(以及道德黑客!)实际上是如何操作的。
今天,我们将把思维模式从防御转向攻击。我们将探讨测试 IT 网络和 OT 网络之间的关键区别,以及发现漏洞所需的方法论和安全的、精准的工具。
黄金法则:OT 渗透测试 ≠ IT 渗透测试
让我们从最重要的区别开始。当您测试一个 IT 系统时,最坏的情况通常是暂时的服务中断或数据丢失。当您测试一个 OT 系统时,最坏的情况是意想不到的物理后果。
使一个 PLC(可编程逻辑控制器)或 DCS(分布式控制系统)崩溃可能导致爆炸、大范围断电或水处理设施的污染。
为什么主动扫描是危险的
传统的、激进的 IT 扫描工具(例如使用 Nmap 进行全端口扫描,或使用 Nessus 等全面的漏洞扫描器)通过向系统发送大量意外数据包来运行。在 OT 世界里,这无异于一场灾难,因为:
- 遗留系统是脆弱的: 许多旧设备在设计时从未考虑过要处理意外的数据包或流量峰值。它们缺乏现代计算机强大的异常处理能力,可能会进入故障安全状态(意味着停机),或者更糟的是,进入失控状态。
- 意外的指令: 像 Modbus 这样简单的协议可能会将一次激进的扫描误解为一次有效的物理指令,导致执行器在过程中打开或泵机关闭。
- 可用性就是生命: 在 OT 世界中,系统的可用性直接关系到安全和连续性。任何危及这一点的测试都是失败的,无论发现了多少漏洞。
需要牢记的重要一点! 您是在测试 SRA(安全、可靠性和可用性)模型,而不是传统的 CIA 模型。
第一阶段:被动侦察(幽灵模式)
既然我们不能让任何东西崩溃,任何 OT 评估中第一个也是最重要的阶段就是被动侦察。攻击者(或道德黑客)静静地坐着并监听。
目标是在不发送任何恶意数据包的情况下,绘制出网络架构和控制逻辑图。
1. 监听网络与协议分析
测试人员不是主动扫描,而是接入承载 OT 流量的交换机上的一个监控端口(端口镜像或镜像端口)。我们只需捕获数据。这就是像 Wireshark 这样的工具成为 OT 黑客最佳拍档的地方。
由于许多 OT 协议(如 Modbus/TCP、Profinet 等)缺乏加密,我们可以立即了解到大量信息:
- 资产清单: 我们可以绘制网络层次结构图,识别出每一个设备、它的 IP 地址、它的供应商,甚至它的功能(例如,“这是控制泵站 A 的西门子 PLC”)。
- 过程控制逻辑: 我们可以读取正在发送的精确指令和接收到的数据(例如,“向寄存器 40001 写入值 1” 或 “罐体液位:55%”)。我们实际上是在学习工厂的语言。
- 识别模型: 通过观察谁在和谁通信,我们可以追踪通信路径,并识别出第 3 级(控制服务器)和第 0/1 级(PLC/现场设备)之间存在(或缺乏)的网络分段。
2. 外部足迹探测
在进行初步侦察时,攻击者经常使用像 shodan.com 这样的工具(我们将在后续博客中学习如何使用 Shodan)。您可以把 Shodan 想象成一个针对联网设备的搜索引擎。简单地搜索常见的 OT 关键词或协议,就可能发现:
- 直接连接到互联网的暴露的人机界面 (HMI)。
- 位于公司防火墙之外的控制服务器。
- 使用默认或易于猜测证书的设备。
如果一个关键设备出现在 Shodan 上,攻击者就已经赢得了第一个也是最艰难的战役:访问权。
第二阶段:安全的主动测试与关键目标
主动测试很少见,而且必须是精准的。它通常被限制在非生产环境的测试床(一个旨在模拟真实系统的复制环境)上进行,或者在计划的维护窗口期内,并有 OT 工程师在场的情况下进行。
测试床:您的恐怖实验室
测试床是安全方法论的关键部分。通过重建生产环境(包括 PLC、HMI 和协议),安全团队可以安全地运行激进的漏洞利用程序,并分析其影响,而不会对实际的工厂车间构成任何风险。
攻击者的首选目标
当攻击者转向漏洞利用时,他们会寻找最容易得手的目标和关键弱点:
- 弱口令或默认凭证: 这仍然是最简单的途径。许多旧的 HMI 甚至工程师站都使用默认凭据或像 admin/1234 这样的简单密码。一旦进入,攻击者就拥有了对流程的操作员级访问权限。
- 固件和逻辑缺陷: 攻击者针对运行设备的代码。他们寻找 PLC 处理代码上传方式的漏洞(例如,上传新的控制逻辑不需要数字签名),或者利用设备上运行的操作系统中已知的、无法修补的缺陷。
- 工程师站 (EW): 工程师站是一个关键的支点。它保存着所有 PLC 的专有代码。如果攻击者通过简单的 IT 攻击手段(如鱼叉式网络钓鱼邮件)攻陷了工程师站,他们就可以利用这台受信任的机器上传恶意代码并破坏工业过程。
- 协议操纵和重放攻击: 由于旧协议缺乏加密和完整性校验,攻击者可以:
- 中间人攻击 (MiTM): 截获一个合法的指令(例如“打开阀门”)并更改其参数(例如更改打开百分比)。
- 重放攻击: 捕获一个良性的指令数据包,然后在某个对该过程有害的时机重新发送它(例如,在最大负荷期间重放一个“安全停机”指令)。
结论与下一步
但理论仅仅是个开始。我知道您已经迫不及待地想看看这在真实世界中是如何运作的。
在本系列的下一部分中,我们将深入探讨实践性的 OT 侦察。我们将脱离概念,亲自动手操作(当然是安全的!)。我将带您逐步了解如何对 OT 目标执行侦察,演示如何在不触发警报或破坏流程的情况下捕获流量和识别资产。
关注我以获取更多相关内容,并通过 LinkedIn 与我联系!FINISHED CSD0tFqvECLokhw9aBeRqs1Co2sx9L/ONu3aGvHOz4Dee90JK4r/riWxKkNkGvHLQB05JOUjttDz83jPL6d0PCOjkbusZtWzXkuqQOa/kNCmd/NnufBYJ42+M8HghsONMOdUUaQoJifEW0+Df1FkcRtL7COvCN8h27wKXkMd/45fhUrSbt6VuIRrxc9m8D9D
