赛宁谈靶场|工控系列（一）：让石油石化行业的“中枢神经”更健康

随着“云大物移智链”等新一代信息技术与制造技术的加速融合，石油石化行业正在经历数字化建设应用、智能化能力提升阶段，驱动以技术、管理及服务创新的综合式转变，业务生产的强连续性、高安全性、高可靠性及环境的特定性等因素，决定工业控制系统安全稳定运行的重要性。工业控制系统由原来的封闭独立走向开放、由单机走向互联、由自动化走向智能化，作为国家关键基础设施的“中枢神经”，工业控制系统正面临着一系列的安全挑战：

1、高危漏洞易被忽视：工控系统的更新周期慢 ，客观存在大量的高危漏洞，容易暴露攻击面给攻击者。

2、缺乏安全防护能力：缺少真实的人员综合演练环境及有效的装备综合测评环境，仅靠物理环境进行安全隔离，导致攻击者一旦进入工控网络就可快速投放病毒和恶意代码，长驱直入拿下工控系统权限。

3、安全意识薄弱：工业企业信息安全建设大多仍是围绕企业的基本安全需求进行安全防护建设，还处于以设备釆购为主的初级阶段，在工业信息安全产品的配置和运维方面缺乏持续学习的意愿。

4、安全从业人员短缺：工控行业安全人才严重欠缺，安全人才的知识、技能水平参差不齐。

为提升工控系统网络安全能力，赛宁推出工控系统网络安全靶场！

一、工控靶场在石油石化的重要职能：

1、工控业务仿真：

定制化靶场环境可复现各种典型应用场景，并支持对工控业务进行模拟。

2、工控系统测试：

通过真实场景构建，以企业网络架构，引用真实网络安全攻击事件，模拟了工控企业内部网络拓扑结构，通过模拟从外部打点到内网渗透，拿下工控主机的完整过程，对工控设备、工控系统进行高烈度安全测试。

3、工控系统态势可视化：

通过实物沙盘和3D电子沙盘态势可以更生动、直观地展示工控靶场安全测试全流程，包括工控企业的日常业务流程、工控系统安全测试的攻击流程、工控系统受到攻击的异常运行流程等。

4、工控行业安全意识提升：

通过对工控系统的业务仿真、安全测试以及相关态势的生动展示，可以大大提升工控安全从业人员在工业信息安全产品的配置和运维能力，从而提升工控行业从业人员整体的网络安全意识。

5、工控安全人才培养：

通过构建超逼真工控环境开展工控业务演练，提升工控安全从业人员的运维防护、应急响应、渗透测试三大能力。

二、场景举例：

01、场景准备

场景名称：某工控内网渗透实战场景

场景概述：本场景基于某实际网络拓扑和工控业务架构进行搭建，场景内包含100余台主机以及30余子网，内置相关工控系统，包括施耐德PLC、西门子PLC、罗克韦尔PLC等；引用真实网络安全攻击事件，模拟了从外部打点到内网渗透最后拿下工控主机的完整过程，涉及代理隧道转发、内网信息收集、内网横向移动、权限提升、基于资源的委派、Exchange后渗透利用、360绕过等内网常见的攻击渗透手段。通过本场景可以进行相关攻防技术训练。

演练目标：本场景可以通过网站侦察、数据库渗透、内网服务器渗透等，实现控制目标PLC主机，破坏目标业务流程。

02、场景构建

03、场景演练

攻击目标：目标工控网络渗透

攻击流程：

核心信息服务区渗透

1、移动到父域adlab

在win10攻击机内上传内网综合扫描工具fscan进行端口扫描

发现exchange,并能通过浏览器成功访问；

2、exchange漏洞利用

运行proxyshell脚本，首先获取exchange的powershell 管理shell

清理邮件导出请求，执行dropshell，即可写入webshell

运行中国菜刀，添加shell

3、密码抓取

上传mimikatz抓取密码

4、EXCHANGE信息搜集

域内存在Exchange服务器，通过pth登录到邮件服务器，添加Exchange管理单元，搜寻统计password关键字的邮件。

搜索发现administrator邮箱内有一封包含pass的邮件，New-MailboxexportRequest导出pst格式的邮件；在桌面上新建1.bat，将以下命令写入到该文件里并通过webshell进行上传；

运行脚本smbexec脚本建立文件共享用于上传文件

导出用户administrator的邮件，保存到Exchange服务器，查看导出结果

通过smbclient脚本进行下载

运行SysTools Outlook PST Viewer查看存在压缩文件的邮件并将文件下载到本地，解密压缩文件以获取几台运维主机的密码。

安全管控区渗透

1、横向移动运维主机1

通过psexec获取运维主机1权限

进行信息收集，发现运维主机1存在运维软件，使用smbclient脚本获取MobaXterm配置文件，修改配置并下载

将MobaXterm.ini复制到MobaXterm目录下，运行MobaXterm并输入运维主机1密码，成功获取堡垒机和蜜罐主机的密码

2、横向移动运维主机3

查询本地保存的RDP凭证并获取RDP本地保存凭证的文件，使用smbclient脚本解密远程桌面

通过psexec获取运维主机3权限

使用mimikatz抓取密码

工控网络攻击

在win10攻击机上通过远程桌面登录运维主机

在运维主机上通过远程桌面连接工控操作员站，成功发现目标工业控制系统

通过操作目标工业控制系统和执行脚本可对业务系统中的自动化设备进行启停，从而破坏目标流程的正常运行。攻击事件包括：

1、PLC 0day攻击

攻击目标：施耐德PLC

攻击效果：通讯中断，PLC被攻击者接管，上位机、操作员站失去对PLC控制，PLC所对应的收油环节中断；施耐德PLC的RUN指示灯闪烁，无法启动。

场景：工控沙盘环境启动，并进入自动模式

攻击说明：属于1day漏洞（已知但无公开PoC），该漏洞主要针对施耐德PLC的M340以及M580进行攻击。

2、PLC未授权启停攻击

攻击目标：西门子PLC

攻击效果：上位机SCADA控制界面显示西门子PLC处于离线状态，并失去对PLC控制，PLC所对应的储油环节中断；西门子PLC的STOP指示灯亮起

场景：工控沙盘环境启动，并进入自动模式

攻击说明：该攻击通过对西门子S7私有协议逆向分析得来，可以对所有支持S7协议的西门子设备进行使用

3、PLC数值篡改攻击

工业控制系统未显示异常

实时态势T03油罐已发生溢出

攻击目标：施耐德PLC

攻击效果：油罐收油阶段会出现T03、T04油罐收油过量情况，油直接溢出油罐

场景：工控沙盘环境启动，并进入自动模式

攻击说明：该攻击主要是针对PLC的内部参数进行攻击，将其从正常状态转移为非安全状态（油罐溢出）。默认情况下油罐收油上限为200，通过攻击，可将收油上限修改为400，此时会出现持续收油并最终溢出的攻击效果。

此次工控仿真靶场通过真实场景构建，以企业网络架构，引用真实网络安全攻击事件，模拟了该集团内部网络拓扑结构。虚实结合，开展工控系统安全研究、工控网络安全技术培训、攻防对抗演练、工控病毒、漏洞以及其它脆弱性等技术的研究工作，提升集团攻防技术能力。

三、总结：

工控演练靶场一方面能够检验企业工控系统的整体安全能力，另一方面也能够对工控系统人员安全能力进行体系化培养。

赛宁推出的工控靶场由赛宁网安实验室投入研发，赛宁网安实验室在北京、南京、成都三地建有30余人的专业团队，拥有国内一流靶场场景仿真设计能力。熟知西门子、施耐德、罗克韦尔、ABB、三菱和欧姆龙等主流工控厂商的控制系统，并可将它们以仿真或实物的形式集成到各行业仿真应用场景之中。此外，这些应用场景也广泛使用了主流的工控协议，包括S7、ProfiNet、Modbus、Ethner/IP、EtherCAT、IEC60870-5和FINS等等。工控技术专家对行业深耕十年以上，对各种典型应用场景如煤化工、石油采集输送、火力发电、钢铁炼化、智能制造等可进行定制化靶场环境复现。 本期我们主要带大家走进了石油石化行业，那工控靶场在风电行业发挥了什么重要职能呢？敬请期待下一期。

关于赛宁网安

「赛宁网安」成立于2013年。公司最早通过运营网络安全赛事起家，至2016年形成了以赛事服务和网络靶场产品为主的商业模式，目前定位于专业网络靶场提供商。目前的靶场产品体系为”一云六系”。一云为赛宁云，六系为学、训、赛、演、评、战。后者为不同的落地场景，前者为”六系”提供底层能力。赛宁云采用虚拟云平台技术构建靶场底层架构，基于超复杂网络环境仿真、支持超大规模10W+节点并发，为“六系”整个网络靶场平台提供底层基础能力的管理和调度，打造一个稳定性强、适配能力强、扩容能力强、融合能力强的六系共用底层平台。为企业培养技能型的网络安全人才培养，实现现网安全威胁的提前发现，提升网络安全的主动防御能力。「赛宁网安」目前累计服务近千家国防、军工、公安、政府、企事业单位和高校。同时，公司从2016年开始拓展国际市场，其产品和服务也覆盖了20多个国家，包括荷兰、新加坡、智利、沙特、阿尔及利亚等。公司介绍，其是网络靶场领域国内唯一一家具备海外竞争力的公司。未来，赛宁将继续坚持网络攻防对抗研究，产出更好的产品，提升服务质量。在销售模式上，网络靶场具有天生的平台属性，可扩展性强，应用方向较广，包括部队、军工、公安、教育、电力、石油石化、煤炭、轨交、运营商、金融等。因此，赛宁欢迎和更多的合作伙伴比如渠道商、安全厂商等一起合作，共同拓展市场。