工控安全半月报第七期(2018-01 下)

工匠安全实验室最新版块,专注工控安全的我们,精选近期全球范围内工控安全领域的重要事件,让您及时了解行业发展动态,洞悉行业尖端技术,探寻行业前进方向。

行业动态

工业控制系统是钢铁、石化、电力、核工业、轨道交通、冶金、装备制造、武器装备等重点领域的核心中枢,是国家关键基础设施的重要组成部分。工业控制系统信息安全(以下简称工控安全)是实施制造强国和网络强国战略的重要保障,关系到国家安全、经济发展和社会稳定。为此,工业和信息化部于2017年12月12日正式印发了《工业控制系统信息安全行动计划(2018—2020)》(以下简称《行动计划》),明确了未来三年工信部在工控安全方面的工作重点和方向,为全面落实国家安全战略,提升工业企业工控安全防护能力,加快我国工控安全保障体系建设,促进工业信息安全产业健康发展指明了道路。中控科技集团创始人、工控安全专家褚健老师对《行动计划》的深入解读

到目前为止,全球发电厂与输电线路较以往任何时候都更依赖于联网能力与通过互联网进行的控制机 制,华尔街方面已从中看到了商机,自2010年起,华尔街在电网相关方面的投资总计约17亿美元(约 合人民币110亿元)。银行与风险投资公司在内的投资者在2017年中将融资额度增加了一倍以上,旨在 为电网运营商、公共事业以及其它工业企业开发网络安全解决方案。各行业急于进入物联网时代的现 状将进一步提升电网遭遇网络攻击的风险,并需要健全相关服务与之抗衡。

IOACTIVE 发出警告称有黑客组织日前正瞄准SCADA-ICS 系统,研究人员基于OWASP 2016分析了34家在 Google Play商店上发布应用程序的供应商。目前已确定有 147个与安全编码编程相关的问题( 该安全编码可能允许代码被篡改 )。黑客可以远程控制智能手机,以进一步攻击在硬件和软件上使用的易受攻击的 ICS 应用程序,从而导致关键基础设施沦陷。

俄罗斯联邦安全局 (FSB) 在俄罗斯斯塔夫罗波尔市逮捕了黑客 Denis Zayev,原因是Denis Zayev开发了多款专门针对加油站的恶意软件。数十名加油站员工,他们在电子加油泵上安装这种恶意软件,让消费者每加仑汽油多支付3%到7%的油钱,而多出的这些钱,自然而然的也就被他们分掉了,目前它们共诈骗了约数亿卢布。

2017年,对于关键信息基础设施保护来说,有着里程碑的意义。随着《网络安全法》的颁布实施和《 关键信息基础设施安全保护条例(征求意见稿)》等相关政策陆续出台,众多关系国家安全、国计民生、公共利益的关键行业部门开始部署推进保护工作。对于关键基础设施也是不平凡的一年,越来越多的安全事件爆发,警示着我们是时候该行动起来啦。十大安全事件如下:

  1. 勒索病毒WannaCry全球爆发,影响众多行业、企业;
  2. 全球十余个国家银行机构使用SWIFT(银行结算系统)陆续遭到网络攻击;
  3. 超过140家银行和金融机构感染复杂的无文件恶意软件;
  4. 勒索软件ClearEnergyScythe 开始对工控系统进行勒索;
  5. 国家级黑客团伙Lazarus利用中国基础设施对亚太发起定向攻击;
  6. 影子经纪人公开NSA网络战武器
  7. 多款银行APP易受MITM攻击;
  8. 俄罗斯APT黑客组织“蜻蜓”入侵美国电网;
  9. 伊朗黑客组织APT33被曝光,针对航空航天和能源行业收集情报;
  10. 北美多家航空公司通报多起网络安全事件。

网络沙箱技术主要面向非工业控制系统或者IT环境,而无法有效针对专门的工业控制系统的恶意软件 ——这是因为其并未考虑到 OT 协议与设备,也无法模拟 OT 组件。加之工业控制系统社区没有足够的工具,而且VirusTotal在处理工业控制系统相关恶意软件时效果并不理想。

CyberX公司某研究小组计划发布一款开源在线工具——基于Web的免费沙箱工具,利用蜜罐功能捕捉并审查各类工业控制系统(ICS)恶意软件样本,能够模拟真实世界中的工业网络环境。这款沙箱工具允许运行并解压工业控制系统恶意软件,而后检测其中的 OPC(开放平台通信)扫描或覆盖 PLC 配置文件等恶意活动,同时提供快速的离线检测功能。预计这款工具将在未来几个月内正式与广大用户见面。

卡巴斯基实验室的研究人员发现,荷兰SIM卡制造商金雅拓(Gemalto) 的软件授权解决方案 Sentinel LDK 中存在14个漏洞,其中一些允许执行 DoS 攻击,任意代码执行以及捕获 NTLM 哈希等 。由于端口1947 允许访问系统,导致远程攻击者可利用这些漏洞。恶意人员能够扫描端口1947 找到远程可访问的设备,或者对目标设备进行物理访问,从而连接 USB令牌(即使计算机被锁定),以此进行远程访问。多家大型企业也使用这款软件,包括ABB、通用电气、惠普、西门子、Cadac Group 以及 Zemax。

网信军民融合发展联盟网络空间工作委员会与工业和信息化部国家工业信息安全发展研究中心联合主办,北京知道创宇信息技术有限公司和南京赛宁信息技术有限公司承办,中国工程院信息与电子工程科技发展战略研究中心、移动互联网发展中心、中关村信大网络信息军民融合研究院和《网信军民融合》杂志协办的“赛博地球杯”工业互联网安全大赛线下决赛于1月28日在北京顺利召开

2017年下半年,恶意软件Trisis(又称为TRITON)利用了施耐德Triconex 安全仪表控制系统(SIS,Safety Instrumented System)零日漏洞对中东一家石油天然气工厂发起网络攻击,导致工厂停运。安全研究人员表示,这起事件堪称“分水岭”,其它黑客可能会复制这种模式实施攻击。

技术资料

赛题描述:小乙从某邪恶工厂中窃取出了包含关键信息的一个文件,我们已经获知关键系统中使用的key的hash为cQwwddSRxS,需要结合已有信息解出这个key。附件下载地址。

赛题描述:这是我们工厂中在某天下午截取的数据包,请找出流量中针对正常的业务不对劲的数据内容。附下载地址。

在万物互联以及智能制造的大潮中,越来越多的工控设备开始连接到互联网,这就将曾经“貌似安全”的工控系统暴露在公众视野内。而这些暴露在公网的工控设备存在各种隐患,我们甚至可以利用它实现Socket代理来突破内网,本文介绍并且演示了这种新型的攻击方式。

安全漏洞

SIMATIC WinCC是一套自动化数据采集与监视控制(SCADA)系统。Gemalto Sentinel LDK RTE是一套软件保护和授权解决方案。
SIEMENS SIMATIC WinCC Add-On Gemalto Sentinel LDK RTE组件存在缓冲区溢出漏洞,远程攻击者可借助带有超过长度的字符文件名的语言包利用该漏洞执行任意代码。

Advantech WebAccess是一个基于浏览器的人机界面HMI软件包,以及监控和数据采集SCADA。
Advantech WebAccess/SCADA存在目录遍历漏洞,由于对受限目录(“PATH TRAVERSAL”)路径名称的限制不当,攻击者可利用漏洞读取目标设备目录结构中的文件。

Philips IntelliSpace Cardiovascular (ISCV)是一个全面的心脏图像和信息管理系统。
Philips IntelliSpace Cardiovascular System存在未授权访问漏洞,ISCV与电子病历(EMR)系统一起使用时,ISCV处于KIOSK模式,适用于多个用户并使用Windows身份验证,允许攻击者未经授权访问存储在系统中的敏感信息并修改此信息。

SIEMENS楼宇自控系统Desigo PX可编程自动化站提供灵活的解决方案,能够发出报警信号、基于时间的日志记录程序和趋势,可随时修改或扩展。
Siemens DESIGO PX固件存在文件上传漏洞,未经身份验证的远程攻击者利用该漏洞上传恶意固件。

Nari PCS-9611 relay是中国国电南瑞(Nari)公司的一款线路保护测控设备。
Nari PCS-9611 relay中存在输入验证漏洞。远程攻击者可利用该漏洞任意读取/访问系统资源。

Siemens TeleControl Server Basic是德国西门子(Siemens)公司的一套用于Siemens设备的远程控制系统。
Siemens TeleControl Server Basic 3.1之前的版本中存在安全漏洞。攻击者可利用该漏洞提升权限并执行管理操作。

Phoenix Contact mGuard是Phoenix Contact的一款保护系统的未授权访问和安装的安全设备。
PHOENIX CONTACT mGuard存在未授权修改漏洞,mGuard设备依靠内部校验更新包完整性,由于验证无法始终正确执行,导致攻击者可利用漏洞修改固件更新包。

 

原创作者:Dark_Alex,转载请注明来自 工匠安全实验室

发表评论

电子邮件地址不会被公开。 必填项已用*标注

联系我们

18620368203

在线咨询:点击这里给我发消息

邮件:[email protected]

QR code