OT网络深层攻防技术专题之四：OT网络深度横向移动技术

时间：2024-11-19 作者：安帝科技 原创

编者按
俄乌战争加快了工业控制系统网络攻击的技战法创新，黎以冲突中的传呼机对讲机爆炸案刷新了对传统网络战的认知，人工智能、大模型降低了攻击者的时空成本。定向ICS恶意软件，PLC武器化、C2化，RTU勒索，OT网络深度横向移动，LOTL攻击，层出不穷；信息战、网络战、情报战到混合战，屡见不鲜，“关基”安全防护从未如此紧迫。
疫情之后网络安全行业并未如预期迎来高光时刻，卷死、死卷成了常态。卷未必是坏事，卷出思路来尝试，卷出时间来思考……OT网络安全如何回归工业本质，如何直面底层防御盲区？如何遏制网络攻击向动能攻击转化？如何守住关基安全最后一公里？强调关注“业务、人员和供应链”者有之，强调安全能力前置的“设计安全和默认安全”者有之，强调系统工程回归的“弹性工程和知情工程”者有之，强调关注“工业风险和安全运营”者有之，倡导内生的“内置安全、内嵌安全、出厂安全”者有之，等等。10月初，“五眼”联盟会同其日、韩、德、荷盟友推出了OT网络安全的六条原则，着重重申并强调了功能安全、业务理解、OT数据、分区隔离、供应链安全、人员意识，以保障OT环境功能安全、网络安全和业务连续性。
OT网络安全深层次问题是什么？ICS攻击技战术发展态势如何？未来产品、服务、解决方案走向何处？安帝科技试图对这些问题进行系统思考，尝试探寻自己的解决方案和发展路径。期望与业内同仁共同探讨，共同探索，共同成长。

OT网络深度横向移动技术
在描述网络攻击的纵向和横向的技战术动作和步骤时，人们已经习惯了用纵向突破和横向移动来形象地表明攻击者的行进路线。纵向突破，表明攻击者意在击穿纵深防御，从外围到一般再到核心、从公网到内网再到隔离网的南北向攻击路线。而横向移动则代表了在同一层次网络结构的不同子网、设备之间的东西向攻击路线。比如在MITRE的ATT@CK for ICS矩阵中，12个战术动作（初始访问、执行、持久化、权限提升、规避、内部侦察、横向移动、信息收集、指控控制、抑制响应功能、抑制过程、施加影响）中就包括了横向移动，它所运用的成熟策略包括默认凭据、远程服务的漏洞利用、硬编码凭证、横向工具转移、程序下载、远程服务、有效账户。在OT网络中，借助普渡模型很容易理解纵向突破的攻击路线，即攻击者可能从云、互联网、L5、L4、L3、L2直至L1、L0，攻击者最终的目的是操纵或破坏L0级的物理设施（执行器）。为了达成这一目的，攻击者可能需要在不同级实施横向移动以打通防御关卡，最终跨越不同边界并实施精细操控。常见的横向移动多发生在L3以上的IT域，鲜有研究或案例关注或发现了发生在L2特别是L1级的横向移动。这正是本文要表达的重点，发生在L1级的横向移动，称之为OT网络的深度横向移动。过去和当前对OT网络深度横向移动的认知很浅很少，是因为人们对于边界的概念存在误解或误区，加之在一些标准和实践指南中，也并未强化OT网络、OT设备之间的边界。

一、OT网络深度横向移动的界定
人们对于横向移动并不陌生，但要说到OT网络的深度横向移动，可能不一定能洞悉其特别的不同。望文生义，这是发生在OT网络的深层或底层的横向移动，而且攻击者的移动行为发生于控制网络之间、甚至控制设备之间，这些网络与IT域的IP网络是不同的。

1、横向移动的概念
横向移动是网络攻击中用于在网络内部扩展攻击范围的策略，攻击者在入侵初期获取初步访问权限后，通过一系列步骤在受害网络中继续转移和扩展。其目的是在未被检测到的情况下，通过探索内网、收集信息和利用漏洞，逐步获取更高权限，从而确保在网络中的长期存在和进一步行动的能力。

横向移动的关键阶段主要包括：初始入侵和侦察，攻击者在初次进入网络后进行资产识别和攻击路径探索；凭据收集，利用键盘记录、内存提取等技术窃取用户凭据；权限提升，通过漏洞利用获取更高权限；横向扩展，使用远程服务或信任关系在网络中移动，以访问其他关键系统和数据。
实现横向移动常见的技术手段有：凭据盗窃（如Pass-the-Hash和Pass-the-Ticket）；远程服务滥用（如RDP和SMB协议）；进程注入和内存加载技术，用于在目标系统上执行恶意程序；以及内网扫描和资产探测，帮助定位目标系统和识别攻击途径。这些技术手段为攻击者在网络中扩展访问提供了有效支持。

2、OT网络深度横向移动的背景
运营技术（OT）是指“通过对工业设备、资产、流程和事件进行直接监控和/或控制来检测或引起变化的硬件和软件。” 这包括工业控制系统（ICS）。OT/ICS系统依赖于各种专门的嵌入式设备，如可编程逻辑控制器（PLC）和远程终端单元（RTU），它们直接连接到传感器/执行器并实现控制回路；以及更传统的计算机，配备有专门的软件作为人机界面（HMI），允许操作员在工业流程上以图形方式看到并实施变更；历史数据记录仪用于存储从过程中收集的带有时间戳的数据和事件；或允许操作员对现场设备进行编程的工程工作站。
传统上，采用普渡企业参考架构来描述OT网络的通用架构，该架构是企业集成不同层级的参考模型。图1描述了普渡模型各层级中的系统类型：0层包含连接到物理世界的传感器和执行器；1层包含控制物理过程的设备（如PLC和RTU）；2层包含供人类监视和控制过程使用的SCADA和HMI系统；等等。

图1 普渡企业参考架构
OT网络安全传统上强调边界加固，尤其是在外部边界和不同安全段边界，如BPCS和SIS之间的分段。然而，L1设备也经常成为连接多个混合网络的交叉点，这些网络有时具有不同的安全配置文件。这些链接可能包括工业无线网络、串行链路到WAN无线电调制解调器、嵌套的现场总线网络，以及安全仪表系统（SIS）和第三方封装单元（PU)1的串行或以太网点对点链路。攻击者通过这些设备可以横向移动到其他网络，这在以往的安全评估中常被忽视。例如，攻击者可能通过串行链路或以太网点对点链路进入安全仪表系统，这些链路通常被视为隔离的，但实际上可能成为攻击者横向移动的通道。

3、OT网络深度横向移动的概念
OT网络深度横向移动是指攻击者在OT网络深层（普渡模型的L2以下），特别是第一级（L1）上，横向移动到不同网络段和网络类型的能力。这种移动能够使攻击者跨越安全边界，对嵌套在PLC背后的现场总线网络中的设备进行详细操作，绕过功能和安全限制，从而可能引发严重的网络物理攻击后果。这里不可回避的事实，就是每一个移动的动作会涉及到权限、凭据和链路，而漏洞利用和认证绕过是最常用的手段。

图2 OT网络深度横向移动示意

4、OT网络深度横向移动的特点
L1层的深度横向移动与L3以上层级的横向移动的明显的不同，主要表现在如下几个方面：
技术更复杂：L1层的深度横向移动涉及到对OT协议和设备更深入的技术理解，因为攻击者需要操作或绕过PLC和现场设备的功能和安全限制。
影响更直接：L1层的横向移动可能导致更直接的物理影响，因为攻击者可以直接操纵控制物理过程的设备。
隐蔽性更强：L1层的横向移动可能更难被发现，因为这些活动通常隐藏在控制逻辑和设备操作中，不像L2以上层级的横向移动那样容易被网络监控和安全工具检测到。
技能要求更高：执行L1层横向移动的攻击者需要对OT环境有更深入的了解，包括对特定OT协议、设备和控制逻辑的知识。
跨越的网络和设备更多：L1层的横向移动可能涉及到通过多个嵌套网络和设备进行移动，而L2以上层级的横向移动可能更多地涉及到在网络和服务器之间移动。
绕过安全控制的难度更大：L1层的横向移动可能需要攻击者绕过或操纵更多的安全控制和物理限制，如BPCS和SIS之间的安全联锁和互锁。

二、OT网络深度横向移动的主要动因
众所周知，横向移动作为攻击者典型的TTP之一，其核心是服务于攻击者最终的目的，要到达核心目标/网络，或长期隐蔽，或盗取核心数据，或勒索破坏，等等。这表明横向移动仍然是过程和手段。在OT网络的深度横向移动中，关键目的类似，就是穿越边界（可能不被认为是边界）和精细控制（毁伤、致瘫的前置条件）。
1、跨越边界
攻击者可能需要在L1层移动以绕过已加固或未被识别的安全边界，进入不同的网络分段。例如，BPCS和SIS之间的交互，以及与第三方控制系统（如PU或市政基础设施系统之间的接口）的连接。这些连接通常由现场总线耦合器管理，这些耦合器可能比预期的“哑”设备具有更大的攻击面和潜在的横向移动能力。

图3 位于多个网络交汇点的L1级设备和BPCS-SIS的不同架构
图3右侧表明BPCS和SIS的五种架构（完全分离（Air-gapped）架构、集成（Integrated）架构、接口（Interfaced）架构、共同（Common）架构、共享（Shared）架构）），决定了OT网络中潜在的攻击路径和安全边界，其对深度横向移动的难易程度和方式有直接影响。完全分离架构提供最高安全保障，但因成本和灵活性问题越来越少见。集成架构通过防火墙实现BPCS与SIS的隔离通信，提高了操作灵活性。接口架构在L1层允许有限通信，但需确保链接的安全性。共同架构和共享架构通过共享背板或设备，增加了系统间的交互，但也带来了新的攻击面，如背板总线的安全性和共同故障模式。

现场总线耦合器是用于连接不同网络或提供对第三方系统（如打包单元PU）的有限接口的设备。这些耦合器通常被视为受限的网关，仅在两个不同的现场总线之间传输特定的IO值集。传统上，耦合器是“哑”设备，使用静态的MCU或ASIC逻辑处理IO映射，攻击面非常有限。然而，随着技术的发展，这些设备变得越来越“智能”，具备复杂的协议转换能力和带内固件更新功能。这种转变大大增加了它们的攻击面，使得它们可能成为深度横向移动的潜在入口点。

2、细粒度控制
攻击者可能需要对嵌套设备进行非常详细的控制，或者绕过PLC和现场设备强制执行的功能和安全限制。例如，攻击者可能需要操纵VFD（变频驱动）的跳过频率设置、传感器校准和信号报告，或以常规功能无法实现的方式操作阀门关闭速度。这可能需要攻击者在设备上执行代码，或者通过通信模块和可能的应用处理器（AP）移动到设备的关键部分。

图4 带有嵌套系统的架构示意
一方面，攻击者需要细粒度访问嵌套设备的情况，因为在复杂的工业架构中，主PLC通常连接到多个嵌套的以太网或现场总线设备网络。这些嵌套设备向主PLC公开有限的参数，而主PLC又将这些参数的一部分暴露给第二层网络，使得攻击者可能无法直接实现所需的网络物理影响。
另一方面，攻击者需要绕过功能和安全限制。例如，攻击者可能需要操纵设备以超出正常功能范围的方式执行操作，如跳过设定值、校准传感器或改变执行速度，这通常需要在设备本身上执行代码。这种深度横向移动对于评估单个漏洞的潜在影响至关重要，因为它可能使攻击者能够转移到系统的其他部分，造成更灾难性的后果。

3、被忽视的原因
对于OT网络深度横向移动的忽视源处于两个主要原因，首先是存在一些关于边界的常见误解或误区。一是边界加固的焦点。传统上，OT安全的重点放在了外部边界的强化上，如IT和OT之间的DMZ（通常位于Purdue第三级或3.5级），而忽略了L1层的内部边界。这导致了许多资产所有者和运营商对L1层的安全边界视而不见，认为这些地方天然是安全的，因为它们通常不直接连接到更广泛的控制网络。二是对“哑”设备的假设。许多OT系统架构师和集成商基于对“哑”设备（如现场总线耦合器）的假设设计了安全架构，但这些设备实际上可能是“智能”设备，具有更大的攻击面和潜在的横向移动能力。三是对非路由协议的误解。一些OT系统架构师和集成商评估链接安全性时，仅考虑原生路由能力和显式呈现的功能，因此认为某些链接（如串行、点对点、非路由）比实际上更安全。四是对安全控制的过度信任。组织可能过度信任某些安全控制措施，例如在BPCS和SIS之间的受限链接，这些链接通常被设置为具有受限功能，并且与更广泛的控制网络隔离，但实际上可能并不像预期的那样安全。
其次就是相关标准指南中对边界的忽视。在IEC 61508、NIST SP 800-82、HSE OG-0086和供应商指南中，存在对L1层边界安全的一些忽视。一是对串行链接的忽视。标准和供应商指南中很少讨论硬化串行链接，尽管它们与以太网变体一样容易被利用。二是对共同架构的不明确指导。在共同架构中，BPCS和SIS控制器共享单个背板，这实际上构成了一个安全边界，但这一点在指南中并没有被重视。三是对内部网络的忽视。安全指南通常将嵌套设备网络的安全性简化为对主PLC的强化，而很少关注这些设备网络内部可能存在边界。

三、OT网络深度横向移动的主要TTPs
在MITRE的ATT@CK for ICS的横向移动策略中，目前仅仅列出了默认凭据、远程服务的漏洞利用、硬编码凭证、横向工具转移、程序下载、远程服务、有效账户这七种战术策略，但这肯定不是全部。仍有一些在发展中的策略，未知的策略，需要补充到这里。Vedre实验室的报告中总结了如下四种深度横向移动的TTPs，代表了OT网络深层攻防技战术的最新发展。
1、协议路由和隧道技术滥用
攻击者可能利用OT协议的可路由性来横向移动。许多OT协议，如CIP、S7comm、EtherCAT，天生具有高度的可路由性，允许攻击者在不同的嵌套设备网络之间进行消息路由。这种可路由性通常被滥用来访问设计上不安全的功能。此外，协议封装和直通功能，如Modbus MEI和HART协议直通，允许将不同协议封装在顶层协议的PDU中，有效地将它们隧道到控制或设备网络的深处。这种TTP的目的是使攻击者能够绕过传统的安全边界，访问和控制原本隔离的系统。

2、带内代码下载
攻击者还可能利用设备的带内代码下载功能来横向移动。这种功能允许通过网络下载控制逻辑和固件，通常由于设计上的不安全性而容易受到攻击。攻击者可以利用这些功能来远程执行代码，从而在设备上获得立足点。例如，通过操纵现场总线耦合器或利用CANopen的特定功能，攻击者可以下载并执行恶意代码。这种TTP的目的是直接在目标设备上获得执行能力，为进一步的横向移动或提升权限做准备。

3、带内代码下载
攻击者通过直接操作设备的内存来执行横向移动。这种操作通常通过协议如Modbus或EtherNet/IP中的内存映射功能实现，允许对设备内存的特定区域进行读写访问。攻击者可以利用这些功能来操纵内存中的代码流信息，如函数指针或调度表，从而实现任意代码执行。例如，通过CANopen的OS Debugger SDO，攻击者可以对设备的整个内存空间进行任意读写访问。这种TTP的目的是绕过传统的代码执行限制，直接在设备内存中植入恶意代码。

4、协议栈漏洞利用
由于内存不安全编程语言的普遍使用，协议栈漏洞为攻击者提供了利用这些漏洞进行远程代码执行的机会。攻击者利用嵌入式设备中协议栈的漏洞来实现横向移动。由于内存不安全的编程语言的广泛使用，如C和C++，嵌入式设备的协议栈容易受到远程服务漏洞的影响。这些漏洞可以用于远程代码执行，允许攻击者通过网络协议栈漏洞来控制设备。这种TTP的目的是利用编程错误来获得对设备的控制，从而实现横向移动和进一步的网络渗透。

四、典型OT网络中的深度横向移动
OT网络的深度横向移动，在一些新兴的网络场景中，同样存在应用的可能，这是以攻击者的能力、目的和意图所决定的。
1、嵌入式设备应用场景
在企业IT网络中，攻击者可能会从服务器和工作站移动到嵌入式组件中，以实现更战略性和持久性的定位。这包括针对UEFI的恶意软件、服务器管理接口中的固件级rootkit，以及利用Intel管理引擎（ME）的攻击。

2、物联网（IoT）场景
在IoT设备中，攻击者可能会利用暴露的IoT设备作为初始访问和内部网络的跳转点。比如攻击者会IP摄像头、NAS设备、VoIP电话和打印机等IoT设备，作为突破的首要目标，形成初始访问点。这些设备可能成为进入内部网络的跳板，然后攻击者可以横向移动到其他嵌入式设备。例如在建筑自动化系统（BAS）中，利用IoT设备进行横向移动是完全可行的。

3、车联网场景
在汽车网络安全研究中，攻击链通常会通过多个嵌入式ECU、网关模块和跨芯片总线移动，以实现对内部功能的操纵。例如，攻击者可能首先破坏多媒体单元，然后获得对CAN控制器芯片的控制，以删除CAN消息过滤器，最终危害网关模块。

4、移动互联场景
在移动设备安全研究中，通信处理器（CP）的初始突破几乎总是伴随着通过滥用直接内存访问（DMA）能力或芯片驱动程序中的漏洞，向应用程序处理器（AP）的横向移动。这种从CP到AP的升级不仅限于移动设备，也适用于任何将CP与其AP分开集成的设备，包括工业领域的蜂窝和无线路由器。

这些典型场景强调了横向移动策略和技战术在不同领域的普遍性和有效性，同时也提醒了OT网络运营商需要关注这些技战术，以更好地防御和缓解潜在的网络攻击。通过理解这些横向移动的技战术，OT网络可以更有效地设计防御措施，保护关键基础设施免受类似攻击。

五、OT网络深度移动横向示例
在Verde实验室的研究报告中，概念验证场景通过一个假设的可移动桥梁基础设施，展示了深度横向移动在OT网络中的实际应用。攻击者的目标是在悬臂式桥梁上造成物理损害，这通常需要绕过桥梁控制系统中的功能和安全约束。
1、场景简况

图5 OT网络的深度横向移动实景及原理示意
关键条件包括：
1) 通过Wago 750耦合器与施耐德电气M340 PLC的通信；
2) 利用M340 PLC的CANopen接口与现场设备交互；
3) 通过受限的点对点以太网链路到达Allen-Bradley GuardLogix安全PLC。

2、横向移动过程
首先，攻击者通过Wago耦合器的FTP服务漏洞(CVE-2021-31886)获得RCE，实现与M340 PLC的无限制通信。接着，攻击者绕过UMAS协议的身份验证机制(CVE-2022-45789)，并利用M340 PLC的未记录的UMAS CSA命令漏洞(CVE-2022-45788)执行远程代码。然后，攻击者操纵连接到M340的现场设备，如电机驱动和编码器。最后，攻击者利用GuardLogix以太网模块的漏洞(CVE-2019-12256)跨越受限链路，操控安全仪表系统。
结果，攻击者能够在不触发警报的情况下，对桥梁的物理操作进行精细控制，包括操纵限位开关和紧急停止逻辑，最终可能导致桥梁损坏。这一场景展示了攻击者如何通过深度横向移动在OT网络中实现复杂的网络物理攻击，强调了加强OT网络中第一级设备安全的重要性。

图6 攻击路径示意
图6标出了攻击者的6个关键步骤（蓝色序号）：
1）在Wago耦合器上获得远程代码执行（RCE），以实现与M340目标PLC（object PLC）的无限制通信。
2）在M340目标PLC上绕过UMAS服务认证。
3）在M340目标PLC上获得RCE，以便进入桥梁控制系统的内部。
4）操纵连接到M340目标PLC的现场设备。
5）在GuardLogix安全PLC（safety PLC）以太网模块上获得RCE，以跨越点对点链路。
6）在GuardLogix背板上操纵更广泛的安全仪表系统。

3、关键技术
由上述过程可见，在每个移动的步骤，都使用了不同的关键漏洞，或执行代码，或绕过验证。总结全部的演示过程，这里共涉及了四个关键工业设备和相关的五个漏洞，三个典型的漏洞类型-远程代码执行（RCE）、身份验证绕过和协议栈RCE。CVE-2021-31886和CVE-2019-12256为RCE漏洞，允许攻击者在Wago 750耦合器和Allen-Bradley GuardLogix安全PLC上执行任意代码。CVE-2021-22779和CVE-2022-45789涉及Schneider Electric UMAS协议的身份验证绕过，使攻击者能够在Modicon Unity PLC上未经授权执行命令。CVE-2022-45788则是一个协议栈漏洞，允许攻击者通过未记录的Modbus命令在Modicon Unity PLC上执行代码。这些漏洞共同构成了一条攻击链，使攻击者能从外围设备横向移动至关键控制系统。详情见表1。

表1 横向移动过程涉及的设备和漏洞汇总
这些漏洞的利用使得攻击者能够从外部网络开始，逐步深入到OT网络的核心部分，最终实现对关键基础设施的控制。每个漏洞的描述都强调了它们在攻击链中的作用和重要性。

小结与展望
尽管这种OT网络的深度横向移动可能不是大多数用户当前最关注的问题，但研究和认识其潜在危害是有益的。这有助于重新评估对边界的传统看法，认识到L1设备作为边界设备的重要性，并加强这些设备的保护措施。
从缓解和检测的角度，建议采取以下措施：首先，对系统进行分段时，考虑允许使用协议的可路由性及其封装能力。其次，审查低Purdue层次的边界，特别是那些跨越到高度敏感区域或与外部系统交互的边界。此外，限制或禁用不必要的工程服务，使用防火墙和基于IP的ACL来限制敏感流量。对于无法减轻的风险，至少通过DPI（深度数据包检查）解决方案提高这些链接的可见性。最后，定期收集L1设备事件和状态日志，以供SIEM系统分析。
展望未来，随着OT系统变得更加复杂和互联，深度横向移动的威胁将变得更加现实。因此，组织应提前规划，加强L1级设备的安全性，并在设计阶段考虑这些威胁，以确保关键基础设施的长期安全和弹性。

注解：
1 封装单元（Packaged Units，简称PU）是一种具有特定功能的黑匣子控制系统，其功能可能涵盖特定的子系统或整个工厂。PU被集成到资产所有者的更广泛的控制系统中，通常只提供一个有限的控制和/或监控接口，通过Modbus和OPC等协议与资产所有者的流程控制网络（PCN）或SCADA系统连接。

参考文献略。