1　研究目的及意義

工業(yè)控制系統由各種自動(dòng)化控制組件和實(shí)時(shí)數據采集、監測的過(guò)程控制組件共同構成。其組件包括數據采集與監控系統（SCADA）、分布式控制系統（DCS）、可編程邏輯控制器（PLC）、遠程終端（RTU）、智能電子設備（IED），以及確保各組件通信的接口技術(shù)。已經(jīng)廣泛運用于核設施、鋼鐵、有色、化工、石油石化、電力、天然氣、先進(jìn)制造、水利樞紐、環(huán)境保護、鐵路、城市軌道交通、民航、城市供水供氣供熱以及其他與國計民生緊密相關(guān)的領(lǐng)域。

傳統的工業(yè)控制系統通常以廠(chǎng)區為單位，是相對孤立的，與外界有較少通信甚至是沒(méi)有通信的，似乎從來(lái)不會(huì )有遭受網(wǎng)絡(luò )攻擊的可能性。但是隨著(zhù)計算機網(wǎng)絡(luò )技術(shù)的飛速發(fā)展和廣泛應用以及工業(yè)生產(chǎn)對ICS要求的不斷提高，獨立環(huán)境下的ICS已經(jīng)不能滿(mǎn)足工業(yè)生產(chǎn)的需求，網(wǎng)絡(luò )化的ICS被越來(lái)越多地應用到工業(yè)生產(chǎn)中來(lái)，工業(yè)過(guò)程與信息化系統的連接越來(lái)越緊密。這種緊密的連接使得原本物理隔絕的ICS失去了免遭網(wǎng)絡(luò )攻擊的天然屏障，面臨著(zhù)遭受網(wǎng)絡(luò )病毒攻擊的可能性。2010年“震網(wǎng)”病毒事件為世人敲響了工業(yè)控制系統網(wǎng)絡(luò )安全的警鐘。短短幾年內，全球范圍內針對工控系統攻擊事件的數量大幅提升，并且相繼發(fā)現了Duqu病毒、火焰病毒等同樣針對工控系統的病毒。2014年春，Havex病毒在能源行業(yè)大規模爆發(fā)，呈現出強烈的行業(yè)橫向蔓延趨勢。Havex病毒相較之前的震網(wǎng)等病毒，其攻擊手段更隱蔽、病毒變種更多、網(wǎng)絡(luò )傳播更迅速，工控網(wǎng)絡(luò )特點(diǎn)針對性強、可造成的危害也更巨大。Havex病毒以及之后出現的Sandworm病毒標志著(zhù)工業(yè)控制網(wǎng)絡(luò )安全已進(jìn)入了APT2.0時(shí)代 。

以美國為首的西方國家在本世紀初就將工控網(wǎng)絡(luò )安全這一問(wèn)題提升到國家戰略高度，并積極推動(dòng)在政策、標準、技術(shù)、方案等方面引導措施。而在我國，工信部于2011年10月下發(fā)了協(xié)〔2011〕451號文“關(guān)于加強工業(yè)控制系統信息安全管理的通知”，要求各級政府和國有大型企業(yè)切實(shí)加強工業(yè)控制系統安全管理。國家于2014年成立了以習近平總書(shū)記為組長(cháng)的中央網(wǎng)絡(luò )安全和信息化領(lǐng)導小組，從國家層面，全面統籌、規劃與管理我國信息化與信息安全建設。并相繼出臺《信息安全產(chǎn)業(yè)“十二五”發(fā)展規劃》和《2006-2020年國家信息化發(fā)展戰略》，為行業(yè)信息化發(fā)展以及信息安全體系化建設提供政策支撐。

與傳統的IT信息系統軟件不同的是，作為關(guān)系到國計民生的工業(yè)控制系統，工業(yè)控制系統相關(guān)軟件在設計過(guò)程中主要注重功能的實(shí)現，而在安全方面考慮得不多，并且很多工控軟件（比如說(shuō)組態(tài)軟件）在其開(kāi)發(fā)初期并沒(méi)有依照嚴格的軟件安全開(kāi)發(fā)規范進(jìn)行，導致存在不安全的漏洞。為了確保國家關(guān)鍵基礎設施工控系統安全穩定運行，避免工控軟件漏洞被利用攻擊，展開(kāi)針對工業(yè)控制系統軟件的安全漏洞研究工作迫在眉睫。

2　研究的主要內容

研究主流工控組態(tài)軟件的安全性，主要是針對主流PLC組態(tài)軟件、DCS系統組態(tài)軟件，或者軌道交通、石油化工等重要行業(yè)應用的工控軟件開(kāi)展安全分析，研究軟件中存在的預置性后門(mén)漏洞、高可利用漏洞等重大安全隱患。

研究過(guò)程中需要搭建上位機組態(tài)軟件運行的模擬工控環(huán)境，如圖1所示，它模擬了工業(yè)控制系統中的一個(gè)單元，包括了上位機的監控站與工程師站，還有現場(chǎng)控制設備PLC等，它們都通過(guò)一個(gè)工業(yè)交換機連接在一起。

圖1 工業(yè)控制系統模擬平臺

同時(shí)，還需要構建完整、可擴展的動(dòng)態(tài)隨機分析測試框架，監控測試目標，管理測試結果，并支持多目標（例如，PLC組態(tài)軟件、DCS組態(tài)軟件），多種協(xié)議（Modbus、OPCDA、IEC104、DNP3、MMS、GOOSE、PROFINET、Siemens S7、艾默生DeltaV協(xié)議），多線(xiàn)程（加速測試進(jìn)度），如圖2所示。

圖2 動(dòng)態(tài)隨機分析測試框架

該框架提供了操作、監視、管理整個(gè)漏洞測試過(guò)程的功能。測試過(guò)程中，基于高效的智能模糊測試和攻擊測試等自動(dòng)化測試方法，自動(dòng)生成測試用例列表，并在測試列表運行時(shí)可以實(shí)時(shí)監控和進(jìn)行管理，能夠高效完成復雜測試。

主要開(kāi)展研究?jì)热萑缦拢?/p>

2.1　工控組態(tài)軟件的已知漏洞分布情況研究

經(jīng)過(guò)對已公開(kāi)的大量工控組態(tài)軟件漏洞的調查研究發(fā)現，其漏洞類(lèi)型主要分布在：文件格式解析類(lèi)漏洞、ActiveX控件類(lèi)漏洞、專(zhuān)有工控通訊協(xié)議類(lèi)漏洞和Web服務(wù)類(lèi)漏洞。

多數工控組態(tài)軟件都會(huì )用文件作為程序的輸入，而畸形的文件格式往往會(huì )引發(fā)諸如整數溢出、緩沖區溢出等文件格式解析類(lèi)漏洞。

工控組態(tài)軟件在安裝時(shí)經(jīng)常會(huì )注冊一些ActiveX控件，這些控件往往封裝著(zhù)一些邏輯較為復雜的方法，這些方法對參數輸入檢查不嚴格會(huì )引發(fā)嚴重的緩沖區溢出漏洞。

不少工控軟件都存在著(zhù)一些專(zhuān)有工控通訊協(xié)議，而畸形的協(xié)議報文會(huì )觸發(fā)拒絕服務(wù)或緩沖區溢出漏洞，這些從協(xié)議觸發(fā)的漏洞歸為專(zhuān)有工控通訊協(xié)議類(lèi)。該類(lèi)漏洞的分析，需要收集并詳細分析工控通訊協(xié)議的格式，若協(xié)議格式不公開(kāi)可通過(guò)逆向分析或分析數據包之間的規律獲得。

一些工控軟件本身也帶有Web服務(wù)，可能存在SQL注入、路徑遍歷、后臺密碼弱口令等常見(jiàn)的Web漏洞。

2.2　工控組態(tài)軟件的漏洞分析技術(shù)

研究的漏洞分析技術(shù)是對已公開(kāi)但信息量較少的漏洞（如僅含有POC無(wú)漏洞利用腳本）進(jìn)行定位與根源分析的技術(shù)，它包括動(dòng)態(tài)調試、靜態(tài)分析與二進(jìn)制逆向分析等技術(shù)。

動(dòng)態(tài)調試是指利用調試器跟蹤軟件的運行，通過(guò)動(dòng)態(tài)調試能夠清楚地了解到軟件的運行步驟，包括各類(lèi)寄存器的數據及內存數據。通過(guò)利用該技術(shù)能夠跟蹤調試漏洞觸發(fā)的整個(gè)執行過(guò)程，從而發(fā)現哪個(gè)環(huán)節是真正引發(fā)漏洞的根源。靜態(tài)分析是與動(dòng)態(tài)調試相對應的代碼分析技術(shù)，它不運行代碼只是通過(guò)對代碼的自動(dòng)靜態(tài)掃描發(fā)現隱含的程序問(wèn)題。而二進(jìn)制逆向分析是在軟件不開(kāi)源的情況下分析定位漏洞的一種有效方法。這三種技術(shù)相結合，可以準確地定位組態(tài)軟件漏洞觸發(fā)時(shí)的行為及函數，清晰地分析出漏洞機理。

2.3　工控組態(tài)軟件的漏洞利用技術(shù)

漏洞機理研究清楚后，下一步就是研究漏洞利用并編寫(xiě)exploit驗證代碼。拒絕服務(wù)類(lèi)的漏洞利用較為簡(jiǎn)單，直接構造exploit打死目標服務(wù)即可，本項目中更關(guān)注整數溢出、棧緩沖區溢出、堆緩沖區溢出和基于A(yíng)ctiveX控件的緩沖區溢出的漏洞利用技術(shù)。若在Windows平臺下進(jìn)行漏洞利用，需要掌握各種常見(jiàn)的攻擊緩解技術(shù)及繞過(guò)方法。

3　研究主要技術(shù)路線(xiàn)

3.1　Windows下常見(jiàn)攻擊緩解技術(shù)及繞過(guò)方法

工控組態(tài)軟件多數安裝在Windows平臺，工控網(wǎng)絡(luò )中最常見(jiàn)的Windows平臺為Windows XP和Windows 7。自從Windows成為主流操作系統以后，針對Windows平臺的漏洞利用技術(shù)不斷發(fā)展，而微軟也不斷運用新的攻擊緩解技術(shù)來(lái)封堵漏洞利用技術(shù)。根據被引入Windows的時(shí)間順序，先后引入的攻擊緩解技術(shù)有：GS（Control Stack CheckingCalls）、SafeSEH（Safe Structured Exception Handler）、Heap Protection、DEP（Data Execution Prevention）、ASLR（Address SpaceLayout Randomization）等。在Windows平臺下編寫(xiě)漏洞利用腳本需要深入理解這幾種保護機制，并需要掌握其繞過(guò)方法。

3.2　基于A(yíng)ctiveX控件的漏洞分析和利用技術(shù)

ActiveX是以微軟COM（Component Object Model）模型為理論基礎建立起來(lái)的技術(shù)，通過(guò)建立帶有接口的對象，ActiveX控件能被其他COM組件或者程序調用，IE里面經(jīng)常用到這樣的技術(shù)。COM組件被廣泛用于瀏覽器的第三方應用程序，工控組態(tài)軟件也經(jīng)常使用基于COM組件的ActiveX控件技術(shù)。但由于第三方開(kāi)發(fā)人員編程方面的原因，ActiveX控件出現越來(lái)越多的漏洞。

基于A(yíng)ctiveX控件的安全漏洞，可分為如下幾種：

（1）調用的控件可以創(chuàng )建、修改或者刪除本地文件，修改注冊表等信息；

（2）調用的控件可以獲取本地信息，如某文件信息、用戶(hù)名、密碼、IP地址等；

（3）調用的控件可以通過(guò)欺騙行為使用戶(hù)訪(fǎng)問(wèn)惡意網(wǎng)頁(yè)、下載惡意程序等；

（4）調用的控件存在緩沖區溢出或者格式化字符串等漏洞，導致瀏覽器或者系統異常。

目前對于A(yíng)ctiveX控件的漏洞分析，可借助一些自動(dòng)化工具，比較出名的有ComRaider、AxMan、Axfuzz等。ComRaider是一款非常出色的ActiveXFuzz工具。它已將測試ActiveX控件時(shí)所需的編寫(xiě)測試模板、獲取CLSID、獲取用戶(hù)接口、制定測試參數、測試結果監視等功能全部整合，能夠自動(dòng)區分出當前系統中哪些ActiveX控件可以被瀏覽器正常調用，并分析出被測控件所有的外部接口，包括函數接口以及屬性接口。

對于A(yíng)ctiveX控件的漏洞利用，比較有效的方法是堆噴射（Heap Spray）技術(shù)。Heap Spray是在shellcode的前面加上大量的slide code（滑板指令），組成一個(gè)注入代碼段。然后向系統申請大量?jì)却?，并且反復用注入代碼段來(lái)填充。這樣就使得進(jìn)程的地址空間被大量注入代碼所占據。然后結合其他的漏洞攻擊技術(shù)控制程序流，使得程序執行到堆上，最終將導致shellcode的執行。傳統slide code（滑板指令）一般是NOP指令，但是隨著(zhù)一些新的攻擊技術(shù)的出現，逐漸開(kāi)始使用更多的類(lèi)NOP指令，譬如0x0C（0x0C0C代表的x86指令是OR AL 0x0C），0x0D等，不管是NOP還是0C，他們的共同特點(diǎn)是不會(huì )影響shellcode的執行。Heap Spray只是一種輔助技術(shù)，需要結合其他的棧溢出或堆溢出等等各種溢出技術(shù)才能發(fā)揮作用。

對于A(yíng)ctiveX控件中函數參數的緩沖區溢出漏洞，常結合堆噴射技術(shù)構造漏洞利用代碼，效果良好。

3.3　基于工控協(xié)議的漏洞分析和利用技術(shù)

對于工控協(xié)議的漏洞分析需要詳細了解協(xié)議實(shí)現的報文格式，而工控組態(tài)軟件常用的協(xié)議分為兩類(lèi)：公開(kāi)標準的協(xié)議和私有協(xié)議。公開(kāi)標準的協(xié)議，如Modbus、OPCDA、IEC104、DNP3、MMS、GOOSE、PROFINET等協(xié)議；私有協(xié)議，如SiemensS7、艾默生DeltaV協(xié)議等，未了解報文格式的工控組態(tài)軟件的私有協(xié)議占絕大多數，因此針對這些私有協(xié)議的報文格式解析工作是漏洞分析和利用過(guò)程中的研究難點(diǎn)。工控組態(tài)軟件及產(chǎn)品之間的通訊協(xié)議往往使用私有協(xié)議，而現在的通訊協(xié)議日趨復雜并引入了協(xié)議狀態(tài)機來(lái)處理不同的邏輯分支，且在不同的狀態(tài)下通訊數據的結構也會(huì )存在差異。因此，需要分析組態(tài)軟件及控制設備在不同狀態(tài)下的通訊數據（例如，認證通過(guò)前與通過(guò)后等），將這些數據格式與狀態(tài)機之間進(jìn)行關(guān)聯(lián)，了解的數據格式越多在漏洞分析過(guò)程中起到的作用越大。

4　結語(yǔ)

目前我國工業(yè)控制系統安全面臨著(zhù)嚴峻的挑戰，而其主要的安全問(wèn)題就是工業(yè)控制軟件、控制設備甚至通訊協(xié)議本身存在設計上的缺陷。這些缺陷被攻擊者利用后能夠造成系統宕機、敏感數據泄露甚至直接獲取系統的操控權。因此，開(kāi)展在工業(yè)控制系統中的主流PLC組態(tài)軟件、DCS系統組態(tài)軟件或重要行業(yè)應用的工控軟件的漏洞研究，分析軟件中存在的預置性后門(mén)漏洞、高可利用漏洞等重大安全隱患，為保障工業(yè)控制系統的安全提供漏洞研究支持，提升工業(yè)控制系統安全防護能力。

作者簡(jiǎn)介

梁鼎銘（1985-），男，廣東佛山人，本科，4年工控網(wǎng)絡(luò )安全從業(yè)經(jīng)驗，8年電力系統行業(yè)資深經(jīng)驗，廣東省工業(yè)互聯(lián)網(wǎng)聯(lián)盟專(zhuān)家委員之一，曾參與多項工業(yè)控制系統網(wǎng)絡(luò )安全標準編制，現任深圳融安網(wǎng)絡(luò )科技有限公司解決方案總監，主要從事工控系統安全咨詢(xún)，風(fēng)險評估，解決方案構建工作。具有豐富的實(shí)踐經(jīng)驗，直接參與領(lǐng)導過(guò)的項目有：南方電網(wǎng)并網(wǎng)發(fā)電機組可靠性智能評估與預警大數據優(yōu)化關(guān)鍵技術(shù)研究（科研類(lèi)），廣東省電科學(xué)院熱工系統信息安全研究，國家電網(wǎng)泛終端一體化管控項目等。

參考文獻：

[1] Keith A. Stouffer, Victoria Y. Pillitteri, Suzanne Lightman, Marshall Abrams, Adam Hahn. Guide to Industrial Control Systems (ICS) Security[EB/OL]. https:// nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST. SP. 800 - 82r2. pdf, 2015, 06.

[2] 朱世順, 黃益彬, 朱應飛, 等. 工業(yè)控制系統信息安全防護關(guān)鍵技術(shù)研究[J]. 電力信息與通信技術(shù), 2013, 11 (11) : 106 - 109.

[3] 胡冬平. 工業(yè)控制系統組態(tài)軟件安全防護關(guān)鍵技術(shù)研究[D]. 哈爾濱: 哈爾濱工業(yè)大學(xué), 2015.

[4] 工信部. 關(guān)于加強工業(yè)控制系統信息安全管理的通知[Z].

摘自《工業(yè)控制系統信息安全專(zhuān)刊（第五輯）》