工业控制系统的常见攻击类型有哪些
利用漏洞入侵系统
系统被入侵是系统常见的一种安全隐患。不法者通过漏洞入侵系统后,可以非法使用工业控制系统和网络资源,甚至完全掌控计算机和网络。控制计算机终端和网络往往可以控制或影响诸如化工装置、公用工程设备、核电站安全系统等大型工程化设备。不法者一旦控制该系统,修改系统参数,就可能导致生产运行的瘫痪。不法者可利用被感染的控制中心系统破坏生产过程、切断整个城市的供电系统、恶意污染饮用水,甚至破坏核电站的正常运行。
系统漏洞指操作系统在逻辑设计上的缺陷或错误。不法者通过网络植入木马、病毒等方式来攻击或控制整台计算机,窃取计算机中的重要资料和信息,甚至破坏系统。与个人用户一样,企业用户也会受到系统漏洞攻击,由于企业局域网中机器众多,更新补丁费时费力,有时还需要中断业务,因此企业用户常无法及时更新补丁,使系统造成严重的威胁。
发起拒绝服务攻击
拒绝服务攻击是一种危害极大的安全隐患,它可以人为操纵也可以由病毒自动执行。常见的流量型攻击有Ping Flooding、UDP Flooding等,常见的连接型攻击有SYN Flooding、ACK Flooding等。其通过消耗系统的资源, 如网络带宽、连接数、CPU处理能力、缓冲内存等,使得正常的服务功能失效。拒绝服务攻击难以防范,原因是它的攻击对象非常普遍,从服务器到各种网络设备(如路由器、防火墙等)都可以被拒绝服务攻击。工业互联网的服务器一旦遭受严重的拒绝服务攻击,轻则导致控制系统的通信中断,重则导致控制器死机等。目前这种现象已经在多家工业互联网系统中出现。
使用专属工业控制恶意程序攻击
随着第一个专门针对工业控制系统的Stuxnet的出现,工业控制安全得到了全球安全工作者的关注。近年来又发现了Duqu、Flame、Havex、Triton、Industroyer等多个针对工业控制系统的病毒,并且攻击者的攻击技术更加专业、恶意代码的复杂性逐渐提高、攻击更加隐蔽。其中多数的病毒属于窃密型,长期潜伏于系统中,也有少数病毒对电力、核能等基础设施进行了物理攻击。
信息系统的病毒攻击
在信息技术与传统工业融合的过程中,工业控制正面临越来越多的网络安全威胁,传统的信息系统病毒就是主要的威胁之一。
工业环境之前“带毒运行”是常态,但勒索病毒和挖矿病毒的出现,打破了这一情况。企业的生产网络一旦感染病毒,轻则消耗工业主机的硬件资源,降低工业生产效率;重则导致关键文件被勒索病毒锁死,造成产品线停产,从而给企业带来巨大的经济损失。如2018年8月的台积电安全事件,由于勒索病毒的爆发,使业务停滞,造成大量经济损失。因此,高价值、低保护的工业主机常成为网络犯罪集团的勒索攻击目标。
针对工业系统的高级可持续威胁(APT)攻击
APT攻击通常使用先进的攻击手段对特定目标进行长期持续性的网络攻击,这种攻击不会追求短期的收益或单纯的破坏,而是以步步为营的渗透入侵策略,低调隐蔽地攻击每个特定目标,不做其他多余的活动来打草惊蛇。APT攻击多针对国家战略基础设施,其攻击目标包括政府、金融、能源、制药、化工、媒体和高科技企业等领域。APT攻击综合多种先进的攻击手段,多方位地对重要目标的基础设施和部门进行持续性攻击,其攻击手段包含各种社会工程攻击方法,常利用重要目标内部人员作为跳板进行攻击,且攻击持续时间和潜伏时间可能长达数年,很难进行有效防范。
APT攻击存在攻击持续性、信息收集广泛性、针对性、终端性、渗透性、潜伏控制性、隐蔽性与未知性,这些特性使得攻击者利用工业控制系统的漏洞进行有特定目标和多种方式组合的攻击,从而使传统的防御手段失效,带来更为严重的安全问题。一般来说,APT攻击包含5个阶段,分别为情报收集、突破防线、建立据点、隐秘横向渗透和完成任务。
电子邮件攻击
当前,由于各种业务需要,电子邮件的使用频率很高,而一旦打开的附件中含有病毒等恶意程序,则会导致计算机遭受攻击。
攻击者通过电子邮件作为诱饵,在电子邮件的附件中嵌入漏洞利用的文档,当受害者打开文档后,文档中嵌入的shellcode得以执行,就可实现对目标系统的控制。当受害者重启计算机后,通过操作系统的启动项加载PE文件,从而进行后续的渗透攻击。
IP欺骗
IP欺骗是一种获取对计算机未经许可的访问技术,即攻击者通过伪IP地址向计算机发送信息,并显示该信息来自真实主机。
IP欺骗的目的一般为伪造身份或者获取针对IP/MAC的特权。此方法也被广泛用于DoS攻击,以掩盖攻击系统的真实身份。例如,TCP SYNFlood攻击来源于一个欺骗性的IP地址,它是利用TCP三次握手会话对服务器进行颠覆的又一种攻击方式。一个IP地址欺骗攻击者可以通过手动修改地址或者运行一个实时地址欺骗的程序来假冒一个合法地址。
Non-Blind Spoofing
Non-Blind Spoofing:当攻击者与其目标(可以“看到”数据包序列和确认信息)处在同一子网中时,容易发生这种攻击。攻击者可避开任何认证标准建立新的连接。使用的方法是:在本机,攻击者通过非法行为破坏目标对象已建立连接的数据流,再基于正确的序列号和确认号重新建立新的连接。
Blind Spoofing
Blind Spoofing:当不能从外部获得序列号和确认号时,容易发生这种攻击。攻击者向目标机发送数据包,以对其序列号进行取样。这种方法在过去是可行的,但在现在,大多数操作系统采用随机序列号,这就使得攻击者很难准确预测目标序列号。而一旦序列号被破解,数据就很容易被发送到目标机。
Man in the Middle at Tack
Man in the Middle at Tack:又称为Connection Hijacking和中间人攻击。其具体含义是攻击者从中截取两台主机之间的合法通信信息,并在双方不知道的情况下,删除或更改由一方发送给另一方的信息内容。通过伪造原发送方或接收方的身份,攻击者达到其非法访问通信双方保密信息的目的。Connection Hijacking为TCP通信开发了一种不同步状态,即当接收到的数据包序列号与所期望的序列号不一致时,这种连接称为不同步。TCP层可能删除也可能缓冲数据包,这主要取决于接收到的序列号的实际值。当两台主机充分达到不同步状态时,它们将互相删除/忽略来自对方的数据包。这时,攻击者便趁机导入序列号正确的伪造数据包,其中的通信信息可能被修改或添加。该过程中,攻击者一直位于主机双方的通信路径上,使其可以复制双方发送的数据包。该种攻击关键在于建立不同步状态。需要注意的是,IP欺骗技术不支持匿名因特网访问。