污点标识分析电网工控协议脆弱性的局限所在
工控协议存在协议本体安全性研究以及协议安全应用,在协议本体的安全研究上广泛使用形式化建模分析或者协议程序代码、算法层面的安全分析,典型的分析方法有基于模型的形式化建模分析、代码插桩分析,协议Fuzzing测试;在协议安全应用中涉及协议报文解析。
面向电力工控协议分析的脆弱性分析技术包含静态和动态 :
一、静态分析方面,在不运行电力工控协议实现程序的前提下,分析软件程序中可能存在的漏洞,主要研究软件或固件逆向解析、中间语言分析、模拟执行数据流分析和智能缺陷识别等工控协议的静态漏洞挖掘及分析技术。此外,通过分析工控协议实现程序的词法、语法、语义,检测软件中存在的弱安全函数调用和缺陷代码片段,并以中间表示语言为基础,进一步分析函数控制流图和模块函数调用图,挖掘电力工控协议实现过程中的安全漏洞。( 静态分析方法未考虑外界因素对待测系统安全性的影响)
二、动态分析方面,通过研究电力工控协议脆弱性动态分析进一步挖掘电力工控协议漏洞。电力工控协议脆弱性动态分析技术是在待测系统实际运行的前提下,通过观察待测系统执行过程中程序的运行状态、内存使用状况、寄存器的值以及协议数据处理情况等发现潜在问题。
在阐述本文的观点之前,先摘抄下污点分析的概念:污点分析是信息流分析的一种工程实践技术,污点分析中标记程序中的数据(外部输入数据或者程序内部数据),通过对污点标记的数据的传播实施分析来达到保护数据完整性和保密的目的。如果信息从被标记的污点数据传播给未标记的数据,那么需要将未标记的数据标记为污点数据;如果被标记的污点数据传递到重要数据区域或者信息泄露点,那就意味着信息策略被违反。
本文的观点是由于工控协议的复杂性,在判断污点数据节点的时候无法定义source、sink、sanitizer,电网工业控制系统中的单个协议在SCADA系统中存在多个点位的数据采集,像DNP3、Modbus、S7comm等协议在功能码分布了多种不同的操作功能,
文献6提出一种不需要任何消息字段的先验知识的工控协议识别框架:工业控制系统协议逆向工程框架(ICSPRF),旨在以更高准确度提取ICS协议字段,ICSPRF可以在执行跟踪中收集每个BBL组中处理的污染数据信息,并将它们聚类以得出协议格式。此框架针对六种开源Application测试了Modbus、IEC104、DNP3、s7comm四种协议,ICSPRF在协议逆向工程中,首先通过识别每个协议字段的边界以及构建在字段上的整体结构,其次识别协议字段的类型属性,理解协议消息的语义。
常见的工控协议nmap NSE基本识别。
nmap -p 44818 —script enip-enumerate.nse IP
nmap —script modicon-info.nse -Pn -p 502 -sV IP
nmap -Pn -n -d —script iec-identify.nse —script-args=iec-identify -p IP
nmap -p 102 —script s7-enumerate -sV IP
nmap -d —script mms-identify.nse —script-args=’mms-identify.timeout=500’ -p 102 IP
nmap -p 1911 —script fox-info IP
nmap --script bacnet-info -sU -p 47808 <host>
nmap --script cr3-fingerprint -p 789 <host>
nmap --script pcworx-info -p 1962 <host>
本文提出在对电力工控软件运行协议安全基于Sebek 数据捕获软件的识别方法,
参考文献
[1]Guide to Industrial Control Systems (ICS) Security
[2]Windows 环境下的虚拟高交互蜜罐系统的识别技术研究
[3]Industrial Cybersecurity-ICS Network Security
[4]电力工控协议脆弱性动态分析技术的研究
[5]Windows 环境下的虚拟高交互蜜罐系统的 识别技术研究
[6]Automatic protocol reverse engineering for industrial control systems with dynamic taint analysis
[7]一种基于插桩的基本块粒度下工控协议语法逆向分析方法与流程