Man in the Middle at Tack:又稱為Connection Hijacking和中間人攻擊。其具體含義是攻擊者從中截取兩臺主機之間的合法通信信息,并在雙方不知道的情況下,刪除或更改由一方發送給另一方的信息內容。通過偽造原發送方或接收方的身份,攻擊者達到其非法訪問通信雙方保密信息的目的。Connection Hijacking為TCP通信開發了一種不同步狀態,即當接收到的數據包序列號與所期望的序列號不一致時,這種連接稱為不同步。TCP層可能刪除也可能緩沖數據包,這主要取決于接收到的序列號的實際值。當兩臺主機充分達到不同步狀態時,它們將互相刪除/忽略來自對方的數據包。這時,攻擊者便趁機導入序列號正確的偽造數據包,其中的通信信息可能被修改或添加。該過程中,攻擊者一直位于主機雙方的通信路徑上,使其可以復制雙方發送的數據包。該種攻擊關鍵在于建立不同步狀態。需要注意的是,IP欺騙技術不支持匿名因特網訪問。
利用漏洞入侵系統
系統被入侵是系統常見的一種安全隱患。不法者通過漏洞入侵系統后,可以非法使用工業控制系統和網絡資源,甚至完全掌控計算機和網絡。控制計算機終端和網絡往往可以控制或影響諸如化工裝置、公用工程設備、核電站安全系統等大型工程化設備。不法者一旦控制該系統,修改系統參數,就可能導致生產運行的癱瘓。不法者可利用被感染的控制中心系統破壞生產過程、切斷整個城市的供電系統、惡意污染飲用水,甚至破壞核電站的正常運行。
系統漏洞指操作系統在邏輯設計上的缺陷或錯誤。不法者通過網絡植入木馬、病毒等方式來攻擊或控制整臺計算機,竊取計算機中的重要資料和信息,甚至破壞系統。與個人用戶一樣,企業用戶也會受到系統漏洞攻擊,由于企業局域網中機器眾多,更新補丁費時費力,有時還需要中斷業務,因此企業用戶常無法及時更新補丁,使系統造成嚴重的威脅。
發起拒絕服務攻擊
拒絕服務攻擊是一種危害極大的安全隱患,它可以人為操縱也可以由病毒自動執行。常見的流量型攻擊有Ping Flooding、UDP Flooding等,常見的連接型攻擊有SYN Flooding、ACK Flooding等。其通過消耗系統的資源, 如網絡帶寬、連接數、CPU處理能力、緩沖內存等,使得正常的服務功能失效。拒絕服務攻擊難以防范,原因是它的攻擊對象非常普遍,從服務器到各種網絡設備(如路由器、防火墻等)都可以被拒絕服務攻擊。工業互聯網的服務器一旦遭受嚴重的拒絕服務攻擊,輕則導致控制系統的通信中斷,重則導致控制器死機等。目前這種現象已經在多家工業互聯網系統中出現。
使用專屬工業控制惡意程序攻擊
隨著第一個專門針對工業控制系統的Stuxnet的出現,工業控制安全得到了全球安全工作者的關注。近年來又發現了Duqu、Flame、Havex、Triton、Industroyer等多個針對工業控制系統的病毒,并且攻擊者的攻擊技術更加專業、惡意代碼的復雜性逐漸提高、攻擊更加隱蔽。其中多數的病毒屬于竊密型,長期潛伏于系統中,也有少數病毒對電力、核能等基礎設施進行了物理攻擊。
信息系統的病毒攻擊
在信息技術與傳統工業融合的過程中,工業控制正面臨越來越多的網絡安全威脅,傳統的信息系統病毒就是主要的威脅之一。
工業環境之前“帶毒運行”是常態,但勒索病毒和挖礦病毒的出現,打破了這一情況。企業的生產網絡一旦感染病毒,輕則消耗工業主機的硬件資源,降低工業生產效率;重則導致關鍵文件被勒索病毒鎖死,造成產品線停產,從而給企業帶來巨大的經濟損失。如2018年8月的臺積電安全事件,由于勒索病毒的爆發,使業務停滯,造成大量經濟損失。因此,高價值、低保護的工業主機常成為網絡犯罪集團的勒索攻擊目標。
針對工業系統的高級可持續威脅(APT)攻擊
APT攻擊通常使用先進的攻擊手段對特定目標進行長期持續性的網絡攻擊,這種攻擊不會追求短期的收益或單純的破壞,而是以步步為營的滲透入侵策略,低調隱蔽地攻擊每個特定目標,不做其他多余的活動來打草驚蛇。APT攻擊多針對國家戰略基礎設施,其攻擊目標包括政府、金融、能源、制藥、化工、媒體和高科技企業等領域。APT攻擊綜合多種先進的攻擊手段,多方位地對重要目標的基礎設施和部門進行持續性攻擊,其攻擊手段包含各種社會工程攻擊方法,常利用重要目標內部人員作為跳板進行攻擊,且攻擊持續時間和潛伏時間可能長達數年,很難進行有效防范。
APT攻擊存在攻擊持續性、信息收集廣泛性、針對性、終端性、滲透性、潛伏控制性、隱蔽性與未知性,這些特性使得攻擊者利用工業控制系統的漏洞進行有特定目標和多種方式組合的攻擊,從而使傳統的防御手段失效,帶來更為嚴重的安全問題。一般來說,APT攻擊包含5個階段,分別為情報收集、突破防線、建立據點、隱秘橫向滲透和完成任務。
電子郵件攻擊
當前,由于各種業務需要,電子郵件的使用頻率很高,而一旦打開的附件中含有病毒等惡意程序,則會導致計算機遭受攻擊。
攻擊者通過電子郵件作為誘餌,在電子郵件的附件中嵌入漏洞利用的文檔,當受害者打開文檔后,文檔中嵌入的shellcode得以執行,就可實現對目標系統的控制。當受害者重啟計算機后,通過操作系統的啟動項加載PE文件,從而進行后續的滲透攻擊。
IP欺騙
IP欺騙是一種獲取對計算機未經許可的訪問技術,即攻擊者通過偽IP地址向計算機發送信息,并顯示該信息來自真實主機。
IP欺騙的目的一般為偽造身份或者獲取針對IP/MAC的特權。此方法也被廣泛用于DoS攻擊,以掩蓋攻擊系統的真實身份。例如,TCP SYNFlood攻擊來源于一個欺騙性的IP地址,它是利用TCP三次握手會話對服務器進行顛覆的又一種攻擊方式。一個IP地址欺騙攻擊者可以通過手動修改地址或者運行一個實時地址欺騙的程序來假冒一個合法地址。
Non-Blind Spoofing
Non-Blind Spoofing:當攻擊者與其目標(可以“看到”數據包序列和確認信息)處在同一子網中時,容易發生這種攻擊。攻擊者可避開任何認證標準建立新的連接。使用的方法是:在本機,攻擊者通過非法行為破壞目標對象已建立連接的數據流,再基于正確的序列號和確認號重新建立新的連接。
Blind Spoofing
Blind Spoofing:當不能從外部獲得序列號和確認號時,容易發生這種攻擊。攻擊者向目標機發送數據包,以對其序列號進行取樣。這種方法在過去是可行的,但在現在,大多數操作系統采用隨機序列號,這就使得攻擊者很難準確預測目標序列號。而一旦序列號被破解,數據就很容易被發送到目標機。
Man in the Middle at Tack
Man in the Middle at Tack:又稱為Connection Hijacking和中間人攻擊。其具體含義是攻擊者從中截取兩臺主機之間的合法通信信息,并在雙方不知道的情況下,刪除或更改由一方發送給另一方的信息內容。通過偽造原發送方或接收方的身份,攻擊者達到其非法訪問通信雙方保密信息的目的。Connection Hijacking為TCP通信開發了一種不同步狀態,即當接收到的數據包序列號與所期望的序列號不一致時,這種連接稱為不同步。TCP層可能刪除也可能緩沖數據包,這主要取決于接收到的序列號的實際值。當兩臺主機充分達到不同步狀態時,它們將互相刪除/忽略來自對方的數據包。這時,攻擊者便趁機導入序列號正確的偽造數據包,其中的通信信息可能被修改或添加。該過程中,攻擊者一直位于主機雙方的通信路徑上,使其可以復制雙方發送的數據包。該種攻擊關鍵在于建立不同步狀態。需要注意的是,IP欺騙技術不支持匿名因特網訪問。
回答所涉及的環境:聯想天逸510S、Windows 10。