本文基于一個虛構的工業控制系統環境,詳細介紹了攻擊者入侵企業的工業控制網絡,并從其服務器中成功盜取重要生產數據的過程.

案例背景

工廠A得到一筆關鍵的訂單后,一躍成為當地的明星企業.經過幾年發展,不光拓展了生產規模,還建立起一支初具規模的科研團隊,開發出好幾種新產品,銷路很不錯.

專門受雇入侵網絡的攻擊小組X最近接到一筆生意,任務是竊取工廠A新產品的生產工藝、圖紙、配方等資料.

案例描述

攻擊小組X通過工廠A托管在IDC的服務器逐步攻擊滲透,最終侵入工廠A的工業控制網絡,并從Batch服務器中成功盜取重要生產數據,攻擊場景見圖1.入侵過程具體描述如下:

第一步:設法入侵工廠A對外的網站\\(托管在IDC的服務器\\).

網站是外包開發的,代碼已經好多年沒有升級維護了,所以入侵一點都不困難.但X很快發現網站服務器并不在工廠本身的網絡中,而是托管在IDC機房.此外,X發現這臺服務器同時也是工廠A的郵件服務器.X讀了服務器上保存的郵件,了解到不少工廠A的情況,甚至還看到一些技術文檔,但其中并沒有想要的完整工藝資料.

第二步:滲透入侵辦公網,控制科研人員辦公計算機.

在看了很多郵箱后,X在一個科研人員的收件箱里發現一封尚未 接 收 的 郵 件 , 里 面 有 一 個軟件.X修改了這封郵件,給軟件捆綁上了木馬.第二天,X發現這封郵件已經被接收.同時,木馬的控制端也收到了一個連接.X通過控制端查看了被控電腦,果然是一個科研人員的辦公電腦.

X 在這臺電腦中找到一些技術資料并交給雇主,雇主并不滿意,稱資料非常不完整,并且不是工廠A現在那些新產品的資料.于是X繼續對網絡進行滲透,很快又控制了研發部門的幾臺電腦,但仍沒有找到雇主想要的資料.

X繼續進行滲透.半個月后,已經控制了辦公網中二十多臺電腦.X仔細檢查每一臺被控電腦,尋找有價值的數據,但都沒有想要的工藝資料.

第三步:從辦公網滲透入侵工業控制網絡,控制SCADA服務器.

雇主告訴X,生產系統中負責執行生產任務的Batch服務器里一定會有完整的工藝資料,MES\\(制造執行系統\\)相關服務器中也可能有.同時雇主也告訴X,MES服務器和辦公網之間可能是直接連接的,建議他們優先考慮入侵MES.

但X在網絡中沒找到MES,懷疑可能這些電腦本身的安全措施比較嚴格,掃描等常用網絡探測措施都無法發現.而Batch服務器因為和辦公網之間有防火墻隔離,無法直接訪問到.

在監視一臺電腦的桌面時,X看到一個運行著的SCADA監控界面.X非常興奮,因為之前一直認為辦公網和工業控制網絡是徹底隔離的,沒想到有人為了方便隨時查看系統的狀態,讓辦公網也可以連接SCADA服務器.

X查看這臺電腦的當前連接,知道了SCADA服務器的IP地址.再通過分析電腦上安裝的SCADA軟件,很容易得到了該廠使用的軟件名稱和版本信息.在網上搜索了軟件的相關信息后,X發現他們所使用的軟件版本較舊,存在好幾個嚴重漏洞.

X設法找到了同一版本軟件,在自己的系統上搭建測試環境,開始編寫針對這些漏洞的攻擊程序.因為這些漏洞的利用難度都不大,所以只用了一天,程序就寫好了.

利用攻擊程序,X順利地控制了SCADA服務器.有了SCADA服務器作為跳板,現在X可以在工業控制網絡中橫行無忌了.X高興地發現,這里很多電腦甚至連操作系統補丁都沒有及時更新,存在大量漏洞.很快,X找到了用來執行生產任務的Batch服務器.

第四步:侵入Batch服務器,盜取機密生產數據.

X 發現 B a t c h 服務器所運行的控制軟件也同樣存在很多漏洞.所以,X并沒有費多大力氣,也成功入侵了Batch服務器.在服務器的生產數據庫里,獲得了完整的工藝數據.X把竊取的資料交給雇主,雇主很滿意.

案例結果

不久后,工廠A在市場上發現了和自己的新產品類似的仿制品,檢驗后發現成分組成和各方面性能幾乎都完全一樣.這些仿制品的生產商是工廠B.