About ICS/SCADA, You Must Need to Know / Mars Cheng, Selmon Yang === [TOC] ## 工控系統安全 趨勢的工控子公司TXOne (和 moxa 合開) ## 工業控制系統(SCADA\ICS) ICS(Industrial Control System) 通用性： 資料採集與控系統，SCADA 流程控系統 - 控制(Control) - 畫面(View) - 監視(Monitor) - 架構 - PERA - 工控系統安全架構(PERA) L4-L7 => 資訊技術場域 L1-L3 => 協定跟營運技術 - 常見的ICS架構 採集資料庫、PLC、Sever - SCADA(資料採集與監控系統) - control center 透過通訊技術**遠端**控制不同站點 - DCS(分散式控制系統) - 通常是單一供應商解決方案 - 冗餘處理哭和電源供應 - 通常非常大成本高 - 批次應用 功能非常接近；差別在於距離 ### How ICS run (1) 人機介面(HMI) (2) 控制器(PLC)：核心 (3) 現場設備 (4) 遠端診斷與維護 (5) 感測器 … ### 可程式化邏輯控制器(PLC) 相當於CPU 收到指令就執行。 較新的可以用C++ ### 人機介面(HMI) ## ICS資安威脅大解密 一半的關鍵基礎設施使用ICS，用在重大建設上，如果大亂的話會造成很高的威脅。 - 包含：交通、高科技、能源、水資源、醫療 相關事件： - 核能(Strunet)，5 個弱點，4 個Zeroday - 高科技製造業 - 2010 伊朗核電廠攻擊事件 屏蔽alert、實體破壞基礎設備 - 2015 烏克蘭電網攻擊事件 攻擊+延緩攻擊時間 - 2018 台灣智慧工廠攻擊事件 受感染的laptop進入工廠，(MS17-010) 工廠停擺、損失慘重WannnaCry - 2019 Norsk Hydro工廠攻擊事件 以攻擊者的角度來看，工控系統容易嗎？ 漏洞及公告來說，威脅極高。 ~40% 有連上 internet ~60% 可取得明文密碼 ~57% 無法使用自動更新病毒定義碼 ~53% ICS使用已停止支援之windows作業系統 - 工控廠區作業系統舊 - 無法更新，更新影響可用性 - 一旦被攻擊造成很大的影響 ## ICS 存在哪裡攻擊 攻擊面向： 通訊協定是ICS核心功能之一 不做加密不做管控 造成較大的攻擊機會 SMB Port:445 (MSI17-010) SSH Port:22 Web Port:80\443 … 傳輸裝置： wifi、BuleTooth、ZigBee、GPS、RF - Web App Attack: - injection - Broken Authentication - Sensitive Data Exposure - ... - 通訊協定攻擊 不同廠牌的設備會設計不同的通訊協定 ## 看吧!駭入ICS一點都不難 - 攻擊目標 - 使用 M Protocol TCP - Step > 1.從switch連接進去 > 2.nmap掃描分析 > 3.取得封包 > 4.發現無法解析該通訊協定 > 5.Lua Plugin > 6.撰寫 M Protocol Exploit > 7.對 PLC 執行 M Protocol Exploit M protocol攻擊程式 - base on scapy - 自幹攻擊 PCL Demo 攻擊： - 遠端關閉PLC`0x1002="(Remote STOP)"`，影響可用性 命令注入攻擊： - 對設備(渦輪、發電機)修改高、低頻轉換週期的指令，影響實體設備行為、耗損、效能、etc. > 設備預設可能為每 30 秒轉換一次（高->低->高->低），命令注入使其變成每 2 秒轉換一次 ## 如何防護 - Suggested Start form ICS Cert - virtual patch and containment - perimeter defense - periodical malware inspection - endpoint and usb lockdown - network whitelisting control ###### tags: `HITCONCMT2019`,`HITCONCMT`,`HITCON`