IEC60870-5-104規約安全性分析及攻擊實驗

江澤鑫

(廣州邦訊信息系統有限公司，廣東 廣州 510080)

0 引言

隨著信息技術的發展，信息安全攻擊手段也在不斷豐富和發展，譬如2010年的伊朗核電站遭受“震網”病毒攻擊導致離心機損壞，2015年和2016年烏克蘭電網遭受“Black Energy”病毒感染導致大面積停電。近年來的信息安全事件表明黑客攻擊在攻擊者、攻擊對象、攻擊手段三方面發生轉變：

(1)攻擊者專業性和組織性更強，由以往無組織的業余愛好者，發展為有組織、有贏利模式的黑客團隊，甚至上升為國家層面的網絡作戰部隊。

(2)攻擊對象目的性和針對性更強，由以往攻擊互聯網網站，發展為地下黑產[1]和針對特定工業控制(簡稱“工控”)系統的攻擊。

(3)攻擊手段更加綜合，由以往利用公開漏洞攻擊，發展為社會工程學、地下0DAY漏洞交易、水坑攻擊、擺渡病毒等長時間持續的綜合攻擊，即高級持續威脅(APT)攻擊。

2010年伊朗“震網”病毒事件[2]后，工控安全成為了安全領域的研究熱點。目前研究對象主要集中在工控的設備安全(如施奈德PLC安全問題)、工控通信協議安全(如Modbus、CAN)和工控軟件安全(如西門子、亞控、三維力控等公司軟件)這三個方面。ICS-CERT發布了2010年至今的工控漏洞[3]，公開數據顯示針對能源領域的工控攻擊越來越頻繁。

伊朗核電站控制系統具有物理隔離和部署集中兩大安全優勢，但在社會工程學、0DAY漏洞和擺渡病毒等面前仍然難擋黑客攻擊。電力監控系統不僅是分散網絡控制系統較難物理管控，而且隨著智能電網業務迅速發展，監控系統的資產、威脅、脆弱性都不斷增加，給電力監控系統的安全防護帶來更大的挑戰。雖然2015年國家能源局專門發文升級了電力監控系統的安全防護要求，但其主要是針對近年來新增的配用電和新能源領域的防護、商密和等保的合規性要求。電力監控系統的安全防護重點仍然是系統的總體架構及邊界的縱深防護，在與電力業務層結合上的安全防護相對薄弱。本文的貢獻在于針對電力行業廣泛使用的IEC 60870-5-104(簡稱104)規約[4]的安全性進行研究：

(1)分析了目前電力行業規約的安全性，并指出104規約遙控過程的不安全特性。

(2)提出104規約遙控報文中間人攻擊三種方法。

(3)設計開發了104規約遙控報文攻擊程序，并進行模擬攻擊實驗。

(4)提出104規約防護對策和建議。

1 IEC60870-5-104規約脆弱性

104規約報文分為三類：I幀、S幀、U幀。其中I幀是變長幀，用于傳輸數據；S幀固定6字節，用于確認接收I幀；U幀同樣固定6字節，用于控制啟動/停止/測試。遙控報文屬于I幀，用于傳輸遙控指令，I幀的詳細結構如圖1所示。

圖1 104規約I幀報文格式

其中APCI部分的4個控制域內容主要為報文的發送序列號和接收序列號。其中圖1的ASDU部分詳細定義如圖2所示。

圖2 104規約I幀ASDU定義

其中類型標識是測量值、帶時標值、命令等與業務相關的類型標識。其中可變結構限定詞主要定義信息體的數量。傳送原因是一個枚舉值，可以取周期、突發、激活、激活確認、停止激活、文件傳輸等。其他字段的定義用于描述傳輸對象的內容。

可見，104規約報文格式的定義主要針對業務需求進行定義，缺乏安全層面的考慮。一個安全的協議應當包括以下四個部分：

(1)機密性：讓通信雙方傳輸的內容無法直接被通信通道的第三人容易知曉，譬如加密措施。

(2)完整性：確保數據傳輸過程中不被篡改，如主站發送遙控“合”，不會在傳輸過程中被非法篡改為遙控“分”，或者應該具有識別報文被篡改的能力，譬如消息摘要、HMAC。

(3)抗抵賴性：消息發送方對自己發送的內容無法否認，譬如數字簽名。

(4)抗重放性：消息接收方應能識別接收到的合法消息是否為舊的消息或已接收過的消息，而不執行消息內容的要求，譬如時間戳、消息序列號或窗口。

根據104規約的定義，其顯然不具備保密性、完整性、抗抵賴性。104規約4個控制域的發送序列號和接收序列號可以一定程度上實現抗重放，但抗重放性相對較弱。

(1)104規約的U幀可以控制104交互過程的啟停。目前測試過的104規約在實現U幀啟動后，序列號基本都是0或1開始，可以很容易實現重放攻擊。

(2)由于序列號內容沒有通過進一步的完整性措施保證，極易被黑客一并篡改從而實現報文重放攻擊。

104規約主要業務功能包括遙測、遙信和遙控，其中遙控最為重要。遙控業務中主站和廠站交互過程如圖3所示。

圖3 104規約遙控交互過程

遙控交互過程包括I幀報文來回交互2次，其中第2個報文的返?？梢孕：诉b控指令的正確與否(即遙控的“合”與“分”是否正確)，同時在第3個報文中同樣再附帶遙控分合字段。104規約的遙控交互過程雖然通過操作人員介入進行返校，似乎增強了安全性，但這只是“虛假”的安全感，它不會對104規約遙控過程起到任何安全性作用，理由是：

(1)遙控交互過程在同一TCP會話通道之內，能夠劫持一個報文也就能劫持所有報文，返校報文和遙控預置報文一樣可以被輕松篡改。

(2)操作人員的介入是基于104規約通道的報文返校，如果通信通道遭受攻擊，操作人員則無法感知。

因此，遙控返校是一個“虛假”的安全感，不僅不會增加遙控安全性，反而使得決策者產生“大意”并放松安全警戒?？梢姡敌Ｕ_不代表安全，不代表廠站/終端接收的遙控報文正確；返校的作用僅僅是在返校錯誤時方便操作人員發現異常。

2 104規約中間人攻擊方法

本節分析三種有效的104規約中間人攻擊，主要包括：應用層(TCP/IP網絡模型的第5層)的透明代理中間人、ARP(TCP/IP網絡模型的第2層)欺騙中間人和網橋過濾(TCP/IP網絡模型的第1層)中間人攻擊。本文還基于網橋過濾方法開發了104規約攻擊程序，并進行了實驗。

(1)攻擊方法一：ARP欺騙[5]，在前置交換機上接入一個攻擊設備，向前置機及其下一跳(或網關)發送非法ARP通知報文，使得前置機誤認為攻擊設備是網關，而網關誤認為攻擊設備是前置機，從而使得報文流經攻擊設備進行遙控篡改攻擊。該方法通過修改前置機和網關的ARP表實現欺騙目的，但ARP表存在生命周期，導致頻繁地發送非法ARP報文，容易被管理員發現并市場已有防御方法。因而，本文認為ARP欺騙并不是一個完美的104規約攻擊方法。

(2)攻擊方法二：透明代理攻擊，在前置機與交換機之前串接一個攻擊設備，該設備配置為雙向透明代理，類似于防火墻的透明模式。將前置機與廠站的TCP連接中止于攻擊設備，攻擊設備再以前置機的名義向廠站發起TCP連接。攻擊設備將數據在兩個TCP會話之間“轉發”并篡改遙控報文。

相比于ARP欺騙，這種攻擊方法不容易被發現，但在實現上相對有難度。由于需要與前置機和廠站分別建立TCP連接，一方面需要確保兩個TCP連接的Client端端口號保持一致才不容易被發現，另一方面需要維護好兩個TCP連接狀態，避免TCP狀態長時間差異過大。

此外，由于透明代理將中斷了前置機與廠站的TCP連接并進行數據“轉發”，其中絕大多數的數據包并不是攻擊者關心的對象，但為了確保不被發現，需要一字不漏地實時“轉發”，對攻擊設備的處理性能提出了極大的挑戰。

因此，透明代理攻擊方法雖然理論上有效，但攻擊實踐中將遇到攻擊設備性能要求高、成本高、體積大不易部署且攻擊程序不易開發等問題。

ARP欺騙和透明代理兩種攻擊方法還存在攻擊配置參數的問題，即攻擊者需要非常清楚系統的IP劃分情況，并將IP配置到攻擊裝置上。本文提出的第三種攻擊方法相對簡單，不需要針對性的參數配置。

(3)攻擊方法三：網橋過濾，其原理與攻擊方法二類似，區別是不在應用層將TCP中斷并代理，而是將攻擊設備配置為一個網橋轉發設備，這樣等同于前置機到網關之間經過一個網橋設備，最后在攻擊設備的兩個網卡轉發報文的過程中對遙控報文進行篡改攻擊。

該方法可以實現透明代理攻擊不易被察覺的效果，而且還能解決透明代理攻擊方法存在的處理性能要求高、攻擊程序開發繁瑣、使用參數配置復雜等問題。因為兩個網卡轉發數據，不需要維護TCP連接狀態，只是在目標報文上進行替換即可，這樣攻擊設備可以做到成本低，體積小，同時攻擊程序開發簡單。

不過，這種攻擊方式存在一個小缺陷，即篡改大數據包報文較難。由于前置機與廠站之間報文通過TCP進行承載，在TCP之下的IP層將對于大數據包進行分片，然后再重組。網橋過濾攻擊方法不對數據包進行重組，因而對于前置機與廠站之間的大包數據攻擊能力存在不足。但實際上，由于104規約的APDU長度只有一個字節，最大只支持256，即每個104報文都只是小包，故該攻擊方法并不會影響對104規約攻擊的效果。

3 攻擊方法實現及實驗

本文設計實現的攻擊方法原理如圖4所示。在前置網串接一個小巧(具有隱蔽性)的雙網口裝置，或者改造并替換交換機的固件(如OpenWrt)。

圖4 網橋攻擊

該攻擊裝置工作在物理層，攻擊裝置不斷監測流出的數據包是否為104的遙控報文(主要檢測數據包的應用層是否包括104規約I幀格式的ASDU特定的類別標識字段)。對于104報文只要滿足觸發條件(如時間、IP、點號、次數或異常等)則篡改，并記錄該遙控報文廠站IP、前置機TCP會話端口、104報文序列號、公共地址和遙控操作等參數。監控該次篡改報文后的廠站返回報文是否為遙控返校報文，如果是，則將返校報文里的遙控操作字段再次修改，從而讓主站和廠站分別沒有察覺。

同理實現遙控執行和執行確認報文的篡改，將整個遙控過程來回四個報文的篡改程序固化到任何具有兩個以上網口的硬件上，如支持開源OpenWrt項目的產品，這樣就具有足夠的隱蔽性。

為方便驗證攻擊方法的有效性，本文創建三個虛擬機：模擬主站虛擬機、模擬廠站虛擬機和攻擊虛擬機，攻擊虛擬機配置兩個網卡并分別與主站虛擬機和廠站虛擬機互聯。主站虛擬機與廠站虛擬機使用PMA軟件模擬104規約過程，攻擊虛擬機里運行一個本文提出的網橋攻擊方法實現的攻擊程序。模擬主站與模擬廠站的報文記錄分別如圖5和圖6所示。

圖5 模擬主站側的報文記錄

模擬主站的記錄顯示，在發送遙控“合”之后，收到廠站端的遙控“合”返校；隨后發送遙控執行“合”，最后廠站端返回執行“合”確認。

相反，在模擬廠站的記錄卻顯示，在接收主站遙控“分”之后，發送遙控返?！胺帧保浑S后接收到主站遙控執行“分”命令，最后廠站將執行“分”確認發送出去。

圖6 模擬廠站的報文記錄

本文提出的網橋攻擊方法在主站和廠站使用tracert/traceroute等工具進行網絡調試都不會發現異常，甚至IP地址與MAC地址綁定等手段也都無法防御，具有足夠的隱蔽性，適合檢查時間/使用時間(TOC/TOU)異步攻擊。

4 防護建議

本文提出的中間人攻擊方式可以從以下幾方面進行防護：

(1)應用層設計優化，放棄沒有安全機制的104規約。

(2)應用層實現改造，放棄使用普通socket進行TCP連接，使用SSL等安全socket進行TCP連接。

(3)將縱向加密裝置的加密認證功能往后移一步，嵌入前置機，消滅防護盲區。

(4)各運行單位在機房、系統、布線、跳線等物理設施、人員以及設備購置等方面加強安全管理。

5 結論

本文深入探討了104規約的安全性，提出針對104規約遙控業務的有效攻擊方法并進行了模擬實驗，最后給出相應的防護對策。一方面，本文提出的攻擊路徑方法只適用于研究，不能在生產環境使用；另一方面，系統管理員如果嚴格按照電力監控系統安全防護方案進行防護[6]，則可以降低本文所提出的安全風險。