官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序把安全装进口袋

关基安全

^{0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
90
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9}

^{0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9}

工控安全之核电站

FhoeniX42S 2021-08-04 08:21:48 81514

*严正声明：本文仅限于技术讨论与分享，严禁用于非法途径。

hi，大家好，今天来聊聊网络安全之核电站

***我写文章的目的只是为了让大家增强网络安全意识，请勿用作违法行为！！！本人对此不付任何责***

这里，你们需要事先在kali linux中安装andrax桌面版（套娃），这里我就不多介绍了

首先核电站会被黑客入侵吗？

简短的回答是肯定的！

99.9% 的人待在家里却没想到外面发生了什么……

人只知道自己知道的东西，不是吗？很多人每天在万维网上虚度年华，甚至连地球是怎么转的都不知道！

人们相信他们的生活安全是由政府保证的。物理安全不再是他们关心的问题，而是网络安全！

你听说过世界上最大的核事故吗？

切尔诺贝利灾难是 1986 年 4 月 26 日星期六发生在乌克兰北部普里皮亚季市附近切尔诺贝利核电站 4 号反应堆的核事故。就成本和人员伤亡而言，它被认为是历史上最严重的核灾难。

2005 年，它预测还有 4,000 人 可能最终因辐射暴露而死亡。

反应堆建筑物受灾最严重区域的电离辐射水平估计为 每秒 5.6 伦琴 (R/s)，相当于 每小时 20,000 多伦琴 。五小时内的致死剂量约为 500 伦琴（现代辐射单位中约为 5 格雷 (Gy)），因此在某些地区，未采取防护措施的工人在不到一分钟的时间内就受到了致死剂量。

你知道 STUXNET 吗？

Stuxnet 是一种恶意计算机蠕虫，由该死的犹太人制造。于 2010 年首次被发现，据信至少自 2005 年以来一直在开发中。Stuxnet 的目标是监控和数据采集 (SCADA) 系统，据信对伊朗核计划造成重大损害负责。

但这两个事件有什么共同点呢？

您将在整篇文章中看到……

从虚拟世界到物理世界

STUXNET 是第一个与物理世界交互的计算机病毒（我们知道），你能想象吗？一种计算机病毒，可以操纵物理组件造成真正的物理伤害……来吧，这很酷！

核电站是如何工作的？

反应堆加热核心内的水 。

水过热并变成蒸汽 。
初级冷凝器与核心交换热量以产生蒸汽，使涡轮机旋转 。
涡轮机随着蒸汽的压力旋转产生电能 。
二级冷凝器冷却来自涡轮的蒸汽，后者返回初级冷凝器，冷却来自核心的蒸汽 。
二级冷凝器由来自冷却塔的冷水冷却，冷却塔又释放二级冷凝器中的蒸汽 。

这是核电站中核反应堆的基本概念……

在这种情况下，我们有两个永远不会出现故障的关键系统： 反应堆冷却系统 和 反应堆控制系统 。

如果其中一个系统出现故障会怎样？

反应堆熔毁，我们还有另一场灾难，比如切尔诺贝利灾难。

世界上所有的核电站都已经被漂亮国和CN国等国家攻击过。（这是事实）

这些国家在工厂设置了后门，希望可能发生战争以摧毁工厂的基础设施并造成辐射死忘（你爱信不信）

这就是为什么政府和控制核电站的私营公司应该更加关注装置安全的原因。

如何入侵核电站？

反应堆控制系统在大多数情况下是无法访问的，所以让我们关注反应堆冷却系统......

泵是我们的目标，尤其是初级冷凝器的泵，为什么？很简单，泵在“反应堆区”内，这个区里的所有东西都是放射性的。所以显然是让反应堆熔毁和爆炸的一个高优先级目标！

这些泵是如何控制的？

在 99% 的情况下，工业控制系统变体是 SCADA，主要用于工业：安装汽车的机器人、交通灯……

SCADA 系统极易受到数以千计的攻击……但很难升级到现代协议或标准，因为大多数使用 SCADA 的系统不能像发电厂一样长时间停止。

出于安全原因，这些系统不会暴露在互联网上，它们仅限于内部网络！

尽管如此，STUXNET 还是能够摧毁伊朗的核计划……如何？

STUXNET 通过内部监测系统部署在伊朗的铀浓缩设施中。

内部监控系统

如前所述，SCADA 系统仅限于内部网络，但看到内部监控系统将这些系统暴露给互联网的情况很常见，最常见的是 RDP 和 SDN。

有时，负责设施的政府或部门需要这些系统来监控和记录内部活动。

软件定义网络

在下图中，您可以看到 SDN 的结构（ ANDRAX 可以本机破解 SDN 网络 ）。

一旦我们入侵并设法将自己定位在 SDN 接口之间，我们将扫描内部网络以寻找目标。

核电站模拟器

出于显而易见的原因，我无法炸毁真正的核反应堆，所以我根据现实世界中的核电站渗透测试制作了一个模拟器。更准确地说是反应堆冷却系统的模拟器。

在模拟器中，我们可以看到从“涡轮泵”和“反应堆水泵”开始的冷却过程。

三个传感器连接到我们的寄存器，这意味着我们将在模拟器中获得三个读数，一个用于涡轮 RPM，一个用于每个泵。

这是如何工作的？

模拟器的工作方式与真正的冷却系统相同。

我们的目标是“反应器区域”中的泵，因此该泵的标称 RPM 为 27,000，STEP 为 500 RPM，但“STEP”是传感器进行的调整，以防速度低于 27,000 RPM 控制器将“加速”，如果速度超过 27,000 RPM，控制器将“减速”……如此简单！

扫描网络

我们已经通过 SDN hack 进入了核电站网络……所以现在我们需要更多地了解这个网络中的设备。

运行 nmap 扫描，我们可以检测到 IP 为的有趣主机 10.0.0.75 ，现在让我们扫描此设备以查找开放端口。

是的！ 我们的扫描发现了一个非常有趣的端口。 502 正式成为的端口 mbap （ Modbus 应用协议 ）。

让我们使用 nmap 进行更多调查：

我们这就去！为了消除误报，我们将使用 modscan 来获取更多信息。

就是这样 ！我们确认该设备是 RTU ……但是，WTF 是 MODBUS？

MODBUS介绍

Modbus 是一种与其一起使用的数据通信协议 可编程逻辑控制器 (PLC) 。 Modbus 已成为事实上的标准通信协议，现在是连接工业电子设备的常用方法。

Modbus 协议使用字符串行通信线路、以太网或 Internet 协议套件作为传输层。

Modbus 通常用于将工厂/系统监控计算机与连接起来 远程终端单元 (RTU) 和数据采集 在电力行业的监控 (SCADA) 系统中，。许多数据类型从工厂设备的工业控制中命名，例如梯形逻辑，因为它用于驱动继电器：单个物理输出称为线圈，单个物理输入称为离散输入或触点。

破解泵

如果我是来自另一个国家的攻击者或只是受雇来做那件事，我的目标将是熔化反应堆，引起爆炸和/或辐射泄漏……无论如何，这涉及反应堆的物理损坏。

我们可以在这里执行两个操作……

众所周知，RTU 控制器会在风扇速度不正常的情况下“超速”或“降速”，我们可以改变传感器中的速度……因此控制器会认为速度“更低”（例如），并将开始 STEP“过度”动作，试图再次将风扇速度提升到额定速度……

让我们看看图片中的一些例子：

如果我们将传感器中的标称速度更改为 FAKE High Speed，控制器将尝试 STEP down 向泵 PLC 发送命令以降低速度，如果我们继续向控制器发送 FAKE High Speed，它将继续发送 STEP向泵 PLC 发出向下命令……如果这种情况持续一段时间，反应堆内的压力将非常快地变得至关重要，比控制器处理的速度更快，核心将熔化，反应堆将爆炸！