谷神星网络科技有限公司

“知己知彼，百战不殆”，只有了解了黑客攻击的步骤和方法，才能有效采取防御措施，保障工业控制系统的网络安全。

1 网络攻击的基本步骤和方法

网络攻击的方法很多，但大部分都包含信息搜集、网络扫描、账户破解和实施攻击四个阶段。

1.1 信息搜集

任何攻击的第一步都是信息搜集。利用现成的网络工具和搜索引擎，黑客可以透过企业和合作伙伴的公开信息、会员组织信息、员工博客等原始资料，获取企业与员工信息、内外部网络及网域、潜在的网络入口、网络设备等信息，了解企业网络的安全状况，寻找网络攻击的切入点。例如，根据 DNS信息可以定位相关网域，根据用户身份信息（包括地址和电话等）可以实施社会工程学攻击等。如果识别出网络设备，就可以窃取更多、更详细的资料，如通过命令行工具traceroute等了解路由器、防火墙以及其他可以接近目标的设备。

用于信息收集的网络工具有：开源整合工具如 Maltego（www.paterva.com/web5/）、社交网络工具如 Facebook和 LinkedIn、社会工程学工具（SET）以及专门用来“反人为因素的高级攻击”工具等。

1.2 网络扫描

网络扫描首先通过大量的 ping扫描方式来识别网络主机和设备，然后利用网络控制报文协议（ICMP）等获知网络掩码，打开 TCP和用户数据报文协议（UDP）端口（可以识别系统服务，因为很多已知端口会映射一个系统服务）。

用于网络扫描的工具有很多，流行的 Fyodor Nmap扫描器是一款免费的、集合 ping扫描、端口扫描、操作系统检测、服务和服务版本检测等多功能的网络扫描工具，提供16种语言，适合所有主流操作系统以及 Amiga等非主流操作系统。另一款流行的网络扫描工具是含有网络扫描功能的网络入侵测试工具Metasploit。

1.3 账户破解

账户破解指黑客以枚举方式来获取账户或账户凭据以及账户共享的网络资源的过程。这个过程包括建立（或企图建立）连接，并通过net view、finger、rpcinfo等工具不断尝试直至成功。一旦获取了用户名，密码就可以通过猜测（利用信息收集时获取的信息）、密码发生器或截取的网络信息破解。

常用的破解工具如 Metasploit，含有即装即用的破解模块。其版本3.5中，还能破解 MySQL和 MSSQL服务、Oracle数据库用户、DNS服务、SAP商务对象、Apache网络服务器、Wordpress博客、服务器信息块（SMB）用户及共享、简单邮件传输协议（SMTP）用户、会话发起协议（SIP）用户，甚至 SMTP和Telnet认证等。

1.4 实施攻击

到底是破坏系统、感染系统还是潜伏下来，主要看黑客的意图。

如果只是想中止一个进程或服务，只要知道服务器的外部 IP地址，用简单的 DOS攻击就可以实现了。如果想攻击一个内部系统或服务，则需要突破层层防御。

一旦进入系统，就可以在某个设备上安装和执行恶意代码来感染系统。这些恶意代码有的简单，比如 botnets僵尸程序；有的复杂，如Rootkits程序和内存驻留程序。系统感染后，黑客就可以随心所欲，如打开后门、提升权限、感染其他设备、新建控制命令等。

潜伏意味着攻击者的目的是侵入网络并隐藏下来，等待时机。潜伏的同时还需要做到：⑴建立外部连接或控制命令的后门；⑵不断挖掘用户凭据以进入其他系统；⑶提升权限，获取数据；⑷删除 log和其他入侵痕迹，伪装合法服务以隐藏控制命令，改头换面避免被发现。

成功潜伏意味着整个攻击过程都必须是隐蔽的，也就是说，整个过程要在内存里完成，或通过重写服务程序，让外部控制命令可以借合法服务暗中运行。潜伏还可能包括多重感染，如果恶意程序被发现并删除，“备份”的恶意程序将会以新的不被知晓的形式激活。

2 工业控制系统网络的攻击步骤和方法

网络攻击的基本步骤和方法同样适用于工业控制系统网络。不过，由于工业控制系统网络使用专门的系统和协议，其攻击步骤和方法也有一定的差异性。

2.1 信息搜集

工业控制系统的网络、协议和系统都比较特殊，攻击者要搜集到相关信息并不容易，他们通常会从企业的公开信息、轮班时间表、合作服务和贸易往来，尤其是企业供应商所提供产品的协议规范等入手。

遗憾的是，搜集这些信息变得越来越容易。如搜索引擎 SHODAN，可以根据端口、协议、国家和其他条件搜索与互联网关联的所有设备。任何使用 HTTP、FTP、SSH或Telnet协议的服务器、网络交换机、路由器或其他网络设备都可以被它检索到，进而轻易找到应用 SCADA协议的设备。虽然很难置办整个控制系统来实施逆向工程，但攻击者可以通过各种公开或地下渠道了解控制系统相关设备的漏洞和后门。

2.2 网络扫描

利用网络扫描可以通过端口、协议等信息快速定位 SCADA和 DCS系统。例如，如果扫描出某设备的502端口使用的是 Modbus协议，那么可以推断，与该设备连接的很可能是 HMI系统或某些监管工作站。

值得注意的是，很多工业控制系统的网络协议对时延非常敏感，如果硬扫描，很可能导致整个网络瘫痪。所以，如果攻击者只是想中断系统服务，那么，只要进行简单的网络扫描就可以达到目的；或者，若扫描发现实时协议只受到防火墙的保护，那么只凭基本的黑客技术，实施 DOS攻击就可以奏效。如果攻击者另有图谋，则只能采取软扫描方式，以避免系统崩溃。

目标系统定位之后，再根据工业控制系统网络协议的特点进行后续扫描，就可以获取相关设备信息。如：可以根据以太网 /IP流量识别出关键基础设施保护（CIP）设备及属性；可以根据 DNP3响应结果发现DNP3的从属地址；可以通过截取EtherCAT帧信息或 SERCOSⅢ主站数据电报得到所有隶属设备及其时间同步信息。

2.3 账户破解

很多工业控制系统是基于Windows的，那些专门破解Windows账户信息的方法和工具也可以应用到工业控制系统上。尤其是运行在 Windows OLE和 DCOM上的 OPC 系统，只要通过主机认证就可以全面控制 OPC环境。如果无法获得底层协议认证，也可以通过枚举方式破解控制系统内其他用户和角色。如 HMI用户、ICCP服务器凭据 (双向表 )、主节点地址（任何主/从工业协议）、以往数据库认证信息等。

进入 HMI，就可以直接控制HMI管理的进程，并窃取信息；进入 ICCP服务器，就可以窃取或操纵控制中心之间的传输数据。所以说，从功能上将物理设备和逻辑设备全部隔离到安全区域是非常重要的。NIST 800-82(工业控制系统安全防护指南 )还建议采用账户复合认证方式。有了物理和数字的双重保护，账户就很难破解；也就是说，即使知道了某个用户名或某个密码，也很难通过账户认证。

2.4 实施攻击

正如前面所述，一次简单的网络扫描就可以破坏工业控制系统网络。因为工业控制系统网络协议非常敏感，信息流稍有变化，协议就会失效。所以，攻击者可以利用硬扫描来破坏系统，利用软扫描来侦测信息。另外，也可以通过防火墙实施网络扫描，因为通过防火墙的开放端口进行分组交换更加容易。一旦扫描通过，黑客就可伪装成合法通信，对控制网络实施 DOS攻击。

如果攻击目的是侵入网络或者潜伏网络，这里以“震网”（Stuxnet）为例可了解黑客可能会应用的渗透技术。“震网”是一种专门针对工业控制系统的、基于 Windows平台的蠕虫病毒，它具有多种扫描和渗透机制，能自我复制，传播能力强，极具隐身性。入侵网络后，“震网”会根据不同环境做出不同反应，如在“企业环境”，它会寻找目标HMI，然后入侵 HMI；在“工业环境”，它会感染 HMI，寻找目标 PLCs，然后将恶意代码植入其中；在“运行环境”，它会利用 PLC寻找某个带特定参数运行的 IEDs，然后植入代码，进行破坏活动。

简单来说，“震网”的攻击手段可以总结为：以常见的黑客技术发动初次攻击；入侵SCADA和DCS后，利用其资源再侵入其他工业控制系统；对“非路由”系统（如 PLCs和IEDs组成的总线），它也可以进行感染，并渗透到更深层的工业生产过程中。

（未完待续，“系列之三：黑客攻击工业控制系统网络的步骤与方法”见2015年第5期）