SCADA系统的漏洞扫描探测技术

2020.12

AUTOMATION

PANORAMA55SCADA系统的漏洞扫描探测技术Vulnerability

Seanning

and

Detection

Technique

on

SCADA

Systems★北京天地和兴科技有限公司陈博，马达摘要：本文首先简要介绍SCADA系统的组成、协议、特点及其先天的脆

弱性，其次对目前现有对SCADA系统进行扫描探测的技术、方法和工具

进行详细分析，表明主动扫描与被动扫描各有优点和缺点，而智能扫描

外重要。可将二者优势进行整合，是未来SCADA系统探测扫描的发展方向。最后

通过简单的测试和分析对SCADA系统的安全防护进行思考并提出建议。

关键词：SCADA；漏洞扫描；工控系统2

SCADA系统概述数据采集与监视控制(Supervisory

Control

and

Data

Acquisition,SCADA)系统是智能化工业领域

中必不可缺的一部分，它可以对现场的设备进行监视

Abstract：

This

paper

outlines

the

composition, protocol,

characteristics

and

inherent

vulnerabilities

of

the

SCADA

system,

following

with

a

detailed

analysis

of the

current

technologies,

methods

and

tools

for

seanning

and

detecting

on

SCADA

systems.

Active

seanning

and

passive

seanning

have

their

own

advantages

and

disadvantages,

and intelligent

seanning

can

和控制，同时还具有数据采集、测量、信号报警等功

能，被广泛运用于电力、石油、化工、铁路等领域。

integrate

the

advantages

of

the

two,

which

is

the

future

development

direction

of

SCADA

system

detection

and

scanning.

Finally,

through

a

simple

test

and

analysis,

the

security

protection of SACADA

system

is

considered

and

suggestions are

put

words：

SCADA;

Vulnerability Scanning;

ICS曾经的SCADA系统是孤立于外界网络的独立网络，但

在当今IT和OT融合的环境下，因特网协议(Internet

Protocol,

IP)也与SCADA相融合。由于部分设备较

为脆弱，威胁参与者可以通过恶意扫描对SCADA设备

进行交互，并对工业设备造成破坏，当遭受到攻击时可

能会导致发电机停止工作或异常报警等。1引言“工业4.0”时代，网络化、数字化、智能化成为

了新的方向。信息技术(Infoirnation

Technology,

IT)和操作技术(Operational

Technology,

OT)的

2.1 SCADA系统的组成结构SCADA系统由硬件设备和软件组成的对生产过程

控制与调度的自动化系统，其主要组件有负责收集过程

数据并向连接设备发送控制命令的监控计算机、连接过

程中的传感器和控制器的远程终端单元(RTU)、通

过输入输出来控制各种硬件设备的可编程逻辑控制器

融合已成为大势所趋，同时是工业智能化的核心。早期

的工业控制系统(Industrial

Control

System,

ICS)

中IT与OT相对较独立，但随着因特网的快速发展，再

(PLC)、为操作员提供窗口的人机界面(HMI)和

通信基础设施。加上ICS在对图像、信号、控制等大数据要求下，IT和

OT融合的新型ICS因此诞生。虽然IT和OT的融合给企

2.2

SCADA的协议概述为了充分理解SCADA系统的通信技术和在SCADA

业带来了更高的生产效率及控制效率，但也因此使得

OT系统将要面临来自IT的威胁，威胁参与者可以利用

IT网络访问OT系统，从而进行攻击。ICS—旦遭受攻

设备上执行网络扫描的可行性，首先对SCADA系统常

见的DNP3和ModBus两种协议进行回顾。DNP3协议是自动化系统组件间的通信协议，它是

完全基于TCP/IP的，在应用层实现了对传输数据的分

击，将会带来巨大的经济损失，因此ICS安全就显得格

56

Column专栏・工业信息安全片、校验、控制等诸多功能。在工业中，常被用于水

利和电力公司。它为各种SCADA系统之间提供通信，

在SCADA系统中起着决定性作用，它主要负责主站与

RTU、IED、HMI之间的通信，且支持多主机、多从

和对等通信，有轮询操作和静态操作的操作模式。操作

员可以通过抓包的形式来监视DNP3协议，以便提髙系

统的可靠性、减少故障和停机时间，但它并没有被设计

于保障通信安全。ModBus是一种点对点的串行通信协议，其作用为

提供RTU和PLC通信的标准，协议可以确定控制器是

如何知道设备地址、识别发送给它的消息、采取的措施

等。但ModBus有很多缺点，同时也有许多扩展去解决

和修复这些缺点，其中最有名的就是ModBus

X拓展。

在网络扫描过程中，由于数据包的接收方设备和发送方

设备不同，他们的指令集也不同，一个Ethernet数据

包从发送方发送出去，但接收方不一定会要求SCADA

设备做出正确回应，当出现这样的情况时，扫描可能将

失去意义。如果接收方在接收过程中，数据包太大或者

传输速度太快，SCADA设备的CPU可能也将无法正常

解析数据。此外，扫描工具在传输数据时可能无法穿过

正在使用的特定介质，这可能会导致在串行网络上造成

连接中断、拒绝服务等负面影响。2.3

SCADA与商用IT网络的差异SCADA系统中的网络与传统的商用IT网络存在着

一定差异。一是，SCADA系统中的ICS网络和商用IT

网络实施不同，ICS网络对于网络的实时性要求较高；

二是，构建的每个节点和子网的架构不同；三是，故

障的严重性不同，ICS网络一旦出现故障，将会带来

严重的后果，巨大的经济损失甚至人员伤亡。工业网

络安全事故造成严重后果的例子众多，如美国Davis-

Besse核电站受到蠕虫攻击、震网病毒攻击伊朗核电站

事件。2.4

SCADA系统漏洞扫描的难点由于SCADA系统最初与IT相对独立，SCADA系统

中的设备在设计之初并不注重信息安全的基本属性，这

将无法保证SCADA设备的安全性和处理事故的能力，

因此它们很容易被攻击。当SCADA系统或ICS组件可能

存在漏洞时、受到出于经济利益的网络攻击时或遭遇到

关注工业安全产业联盟

请扫二维码网络战时，攻击者首先会通过扫描技术进行工业设备及

工控设备的资产发现，以确定一个IP地址内是否存在设

备、该设备是什么样的设备。除了资产发现以外，在监

视控制、数据采集、漏洞扫描等方面都需要使用扫描技

术，这样的扫描技术主要包括主动扫描和被动扫描，以

及最新提出的智能扫描。SCADA系统的脆弱性意味着扫描技术也可能会带

来风险，尤其是主动扫描甚至可能会造成工业设备的损

坏。PLC和RTU等0T设备将监视机械设备(例如泵、

阀门、发电机、报警器等)的运行以及环境因素(例如

温度、湿度、PH值等)。但这些设备是非常敏感的，

无法承受住主动扫描。设备敏感的原因如下：(1)

CPU的功能有限并且性能不高：设备被设

计成一次只能做一件事，可能会导致被大量请求淹没；(2)

实时通信：他们使用实时通信协议，如果

通信延迟，重新建立通信也可能会遇到困难，比如全面

的漏洞扫描将会造成延迟；(3)

设计之初未重视网络安全：0T设备在设计

之初都偏向于对环境的耐受性，比如耐热、耐振动、抵

抗空气中的微粒或者抗电源中断等，但没有设计足够的

网络通信最大承载量；(4)

使用自定义的操作系统和软件：许多0T设

备不会使用经过广泛测试、安全性较高的Windows.

Linux系统和其他软件，而是使用自定义的操作系

统，独立设计的小型软件，这都意味着系统安全性能

较低；(5)

后期维护不充分：一个0T设备可能会使用

数年甚至十数年，维护不充分造成0T设备处于崩溃的

边缘，例如积满灰尘让设备运行至接近过载点。完整的

漏洞扫描则可能会带来额外的负载，使其超过过载点而

崩溃。3

SCADA系统漏洞扫描方法与工具3.1漏洞扫描方法3.1.1被动扫描被动扫描也叫做被动监视、被动嗅探。它使用对

网络流量的监视来识别服务、主机和客户端。在网络上

设置了一个观察点，需要网络管理员或网络工程师的协

助才能配置这些系统以获得最佳结果。无源扫描器可

以长时间连续运行，而不会中断常规的网络流量或与

设备本身进行交互，因为无源扫描工具的输入数据是

由网络流量直接馈送。这意味着用户可以创建算法以

剖析每个协议，有可能从每个数据包中提取重要的信

息和标识符。被动扫描是一种安全的扫描方式，由于其

被动性质，它无法获得设备的详细信息，且无法扫描到

休眠设备。3.1.2主动扫描主动扫描是主动向被扫描设备发送数据包的扫描方

式，它试图联系每个主机上的每个服务，将数据包发送

到每个主机并监视响应，但是随着时间的流逝，或者在

以后重复相同的扫描时，此信息将会过时。主动扫描与

被动扫描的一个显著差异：与设备的实时交互。在获取

有关ICS或SCADA网络上设备的信息时，主动方法需要

与网络上的设备进行某种形式的交互，在网络上的“观

察点”运行更长的时间，从而无需从任何已连接的设备

发送或接收数据。利用主动扫描可以扫描漏洞、发现和

识别网络上的资产、操作系统和网络设备等的配置评

估、扫描恶意软件、检测更新等，但主动扫描是一种侵

入型扫描，再加上工控设备的脆弱性，可能会损坏部分

敏感的工控设备。3.1.3智能扫描智能扫描是一种新的扫描技术。无论是被动扫

描还是主动扫描都有缺点。被动扫描无法给出较为完

善的信息，主动扫描可以提供更多的信息但又可能对

敏感的工控设备造成损坏，而智能扫描，结合了两者

的优点，同时使缺点最小化。智能扫描通过对设备的

判定来决定是否中断扫描。因为智能扫描是为了保护

SCADA敏感设备不因扫描而破坏而研究的，工厂使用

智能扫描大多为了SCADA系统的检查与防护，从而可

以获得被扫描设备的参数，例如CPU的当前负载率、

设备温度的变化情况、设备安全的CPU负载和温度

阈值，将这些参数代入计算扫描方式的算法中，然后

将会得出一个安全的扫描方式。对性能较好的设备采

用高速扫描：在不需要得到上一个数据包结果的情况

下，快速连续发送一系列数据包，最后在对所接收到

2020.12

AUTOMATION

PANORAMA57的全部数据包进行统计。而对性能较差的设备釆用缓

慢低速的扫描，甚至一次只发送一个数据包，当接收

到上一个数据包后才发送下一个数据包，若在规定的

时间内（可以是30秒，也可以是60秒等等）没有收到

数据包，则视为被扫描设备进行了丢包操作，扫描程

序将会再次发出数据包，但连续超过四次以上的丢包

将会中断扫描。除此之外，当收到的数据包是断断续

续则可能是因为CPU性能处于极限状态。如果是敏感

设备将及时中断扫描，并记录该设备的IP、MAC地址

等信息，默认下次扫描将会跳过该敏感设备。通过目

前技术分析以及各大厂商设备的出现，未来全智能扫

描分析具有广阔应用空间，通过扫描技术获得系统一

切可利用的参数，并把用户想知道的部分提取出来，

整理成数据方式选择目前最优的方案呈现在用户的面

前。或许未来还会在智能扫描功能中内嵌“系

统”，集扫描分析为一体，我们可以拭目以待。3.2常用扫描工具3.2.1

ShodanShodan是一个搜索引擎，但它与Google这种搜

索网址的搜索引擎不同，Shodan用来搜索网络空间中

的在线设备，用户可以通过Shodan搜索指定的设备，

或者搜索特定类型的设备，其中Shodan上最受欢迎的

搜索内容是：webcam,

linksys,

cisco,

netgear,

SCADA等等。那么Shodan是如何工作的呢？

Shodan

通过扫描全网设备并抓取解析各个设备返回的banner

信息，通过了解这些信息Shodan就能得知网络中最

受欢迎的Web服务器，或是网络中存在可匿名登录的

FTP服务器数量。Shodan常被用于査看指定主机的相关信息，如地理位置信息、开放端口、是否存在某些漏

洞等信息。-»

-

shodan

host

8.Z50189.201.128.25OCity:MexicoCountry:MexicoOrganization:

Metro

Net,

S.A.P.I.

de

of

open

ports:

Vulnerabilities:44

Forttnet

FortiGate

508

or

FortiWifi

80C

firewall

http config

I—

SSL

Versions:

SSLv3,

TLSvl,

TLSvl.l,

TLSvl.21--

Diffie-Hellman

Parameters:Bits:

1024Generator:

2Fingerprint: RF(2409/Oakley

Group

2图1

Shodan查看指定IP的SCADA设备情报及漏洞扫描结果

58Column专栏•工业信息安全3.2.2

NmapNmap是一个网络连接端扫描软件，用来扫描网

上电脑开放的网络连接端。确定哪些服务运行在连

接端，并且推断哪个操作系统计算机运行（亦称为

fingerprinting）

o它是网络管理员必用的软件之一，

用以评估网络系统。正如大多数被用于网络安全的工

具，Nmap也是不少黑客及骇客爱用的工具。系统管理

员可以利用Nmap来探测工作环境中未经批准使用的服

务器，但是黑客会利用Nmap来搜集目标电脑的网络设

定，从而计划攻击的方法。Nmap以隐秘的手法，避开闯入检测系统的监视，

并尽可能不影响目标系统的日常操作。Nmap工具在电

影黑客帝国（The

Matrix）中也被用到（引自电影人

物：崔妮蒂利用Nmap工具配合SSH1的32位元循环冗

余校验漏洞入侵发电站的能源管理系统）。Nmap具有众多的脚本，其中就包含了针对各个公

司SCADA设备的漏洞扫描脚本，这些脚本集成了该公

司大多数SCADA设备的漏洞扫描，但不同公司SCADA

设备的脚本通常是不能通用的。D:Toolsnmap-7.60>nnap

-p

*H818

--script

enip-enunorate

■■■■■■■■■Starting

Naap

7.00

(

,)

at

2915-11-30

1H：29

China

Standard

Til

Naap

scan

report

forHost

is

up

(0.**1s

latency)PORT

STATE

SERUICEMH818/tcp

op«n

EtherN®t/IPI

•nip-enum®rate：I

Uendor:

Rockwoll

AutoMation/flllen-Bradley

(1)I

Product

Na■•:

1766-L32BMA

A/5.36I

Serial

Nuaber:

GxHe^faSOeI

D«uic«

Type；

Progrannable

Logic Controller

(11)I

Product

Code：

90I

Revision：

1.5图2

Nmap扫描罗克韦尔自动化Allen-Bradley PLC3.2.3

NessusNessus是目前全世界使用人数颇多的系统漏洞扫

描与分析软件，总共有超过75,000个机构使用Nessus作

为扫描该机构电脑系统的软件。作为漏洞扫描方面强大

的工具之一，Nessus提供完整的电脑漏洞扫描服务，并

随时更新其漏洞数据库。不同于传统的漏洞扫描软件,

Nessus可同时在本机或远端上遥控，进行系统的漏洞分

析扫描。其运作效能能随着系统的资源而自行调整。如

果将主机加入更多的资源（例如加快CPU速度或增加内

存大小），其效率表现可因为丰富资源而提高。Nessus

拥有众多的插件，因此也可以用于扫描SCADA,但需要

事先安装好插件，它可以帮助使用者扫描常见的SCADA

设备。这些插件的安装方法简单，且该软件具有可视化

图形界面，对于技术水平一般的工作人员极为友好。关注工业安全产业联盟

请扫二维码3.2.4

Passive

Vulnerability ScannerPassive

Vulnerability Scanner

（PVS）是一项网

络发现和漏洞分析的专利技术，它以一种非入侵性的方

式，提供持续的实时网络分析和监控。在数据包层PVS

漏洞监控工具监控IPv4和IPv6网络流量，来确定拓扑

结构、服务和漏洞。可以完整查看用户的安全状态，同

时集中日志分析和漏洞管理。顾名思义，这款软件是一款被动扫描软件，在ICS

中，可以用其来进行网络分析和监控，以检测是否有异

常流量通过。♦）PVSHS—

•-

—

-O

寥一

O

f

iiuuuiiniLi图4

PVS被动扫描的数据监控页面3.2.5

MSFMSF是一个渗透测试框架，它的功能十分强大，

无论是漏洞扫描还是漏洞利用、远程控制等它都可以

实现。MSF通过加载众多的模块进行扫描及利用，利

用一个模块对SCADA系统的攻击流程为：(1)加载模

块；(2)设置目标IP;

(3)对目标进行漏洞扫描，判断其存在模块内的哪些漏洞；(4)如果该设备存在漏

洞，就可以对其进行攻击。>

•xploit/aindoNS/scKfo/liz*■sf

«xploit(aindoM/scad«/rMl»in_scpc_initialize)

>

Mt

RHOSTRHOST

172.16

56.134■af

exploit(windoas/Kada/rcalwin_Ue)

>

wt

payload

«tndMs/aaterix*«t«r/bipayload

-

/■•t«rpr«t«r/bind_tcp*sf

r»ploit(«ir

?

..

/sextoilwin_5cpc

.injjjaliie)

>

e'pinjt172.16.55.134:912

-

Tryinj

target[町

Sorted

-ir<1

TCP

handler

a*znst

V?

16.56.134:4444[•]

SwxJinf

st*

(179779 bytes)

to

172. J6.56.134[•]

Hatarprctar

•

iilOn

4 opened

(172.

t6.

:t.：6298S

—

172.16.56.134:4444)

at图5

MSF使用模块对SCADA系统进行扫描及利用

4测试与分析4.1

SCADA漏洞扫描及利用测试如果SCADA系统被威胁参与者进行恶意的漏洞扫

描，威胁参与者可能会对扫描出的漏洞加以利用，从而

对SCADA系统造成破坏。为了观察和评估对SCADA系

统进行恶意的漏洞扫描所造成的后果，笔者利用现有

的ICS模拟设备进行本次SCADA系统漏洞扫描及利用实

验，本次实验基于搭载了西门子S7

PLC的智能制造工

控模拟系统。首先使用Nmap对整个SCADA系统进行扫描，以

发现存活主机，该SCADA系统由一个PLC、一个HMI

和一个RTU组成。本次测试以该SCADA系统中的PLC

为攻击目标，利用ISF对目标PLC进行攻击，本次使用

攻击模块为s7_300_400_PLC_control,此脚本可以使

PLC停止工作。在命令框内输入命令以运行ISF。

-9 python

Exploitation

FrameworkNote

:

ICSSPOLIT

is

fork froa routersploit

at

Devhttpswenzhe:

〃

-

cmn/reverse-shell

/rout

Team

:

zhu

:

0.1.0Exploits:

8

Scanners：

6

Creds:

14ICS

Exploits:PLC：

7

ICS

Switch:

•Software：

0图6

ISF运行界面使用模块后，设置目标的IP地址，然后运行模块

后，将会在确认目标存活后发送一个数据包以停止PLC

运行。isf

>

use

exploits/plcs/siemens/s7_300_400_plc_control

isf

(

)

>

set

target

192.168.0.6[*]isf

{'target'(

:

^192.168.0.6)1

}>

run[♦]Running

module

...[<

TargetSending

ispacket

alive

to

target[*]

Stop

pic ______________________

图7利用模块进行攻击4.2趋势分析与思考基于SCADA的漏洞扫描可以是出于工厂为提前发

现风险、降低风险而做的自我保护；也可以是出于破

坏或牟利的威胁参与者对SCADA系统的漏洞扫描，威

胁参与者通过漏洞来攻击SCADA系统。由于主动扫描

具有一定危害性，笔者从工厂如何进行更为安全的漏2020.12

AUTOMATION

PANORAMA59洞扫描和防御威胁参与者的恶意扫描两个方面进行分

析与思考。当工厂对SCADA系统进行安全检查时，如何进行

安全的漏洞扫描？笔者认为可以使用主动扫描与被动扫

描相结合的方式。主动扫描应当在确保SCADA系统安

全的情况下使用，对非敏感的设备使用主动扫描可以获

得更为详细的设备信息并且可以检测出存在的漏洞，而

对于敏感设备应当使用被动扫描以监控和分析流经敏感

设备的网络流量。而未来的研究方向将会是智能扫描如

何在保证SCADA系统安全的情况下尽可能的实现更为

细致的扫描。那么工厂又该如何去防御威胁参与者的恶意扫

描？笔者认为工厂必须具备一个完整的安全策略，这个

安全策略不仅仅作用于硬件设备，还作用于所有员工。

从硬件设备层面来说是在系统中配置防火墙以限制外来

网络流量，以及做好充分的态势感知和威胁检测。从员

工层面来说就是限制员工权限，每个员工能接触的设备

及接触设备方式都需要进行限制，使权限最小化、精细

化，最大化保证安全。5结语在IT/OT融合环境下，SCADA系统将无法避免来

自IT的威胁，由于工控系统中部分设备极为敏感，无

论是基于漏洞发掘的扫描，还是基于资产发现的扫描，

都将可能造成敏感设备损坏，从而对整个工业生产造成

损失。无论是主动扫描还是被动扫描，都有明显的缺点

与不足，而智能扫描可以通过计算设备过载点并给出适

合的扫描方案，以此来保证SCADA系统敏感设备不因

为受到扫描而产生设备损坏、拒绝服务等不良影响。通

过对扫描算法的不断更新与完善，未来智能扫描将成为

SCADA系统漏洞扫描的新方向。Hi作者简介：陈博（1992-）,男，安徽安庆人，大专学历，北京

天地和兴科技有限公司渗透测试工程师、安全研究员，

研究方向为工业控制系统的漏洞挖掘技术。马达（1999-）,云南昆明人，学士学位在读，北京

天地和兴科技有限公司渗透测试工程师、安全研究员，

研究方向为工业控制系统的漏洞挖掘技术。