0x00 简述

Modbus协议是一种用于工业控制系统中设备间通信的通用协议，它广泛应用于自动化领域。然而，正如许多其他通信协议一样，Modbus也存在安全漏洞，这使得它容易受到恶意攻击。当前有很多Scada软件都通过modbus协议来对PLC进行控制与管理。

Modbus协议由于没有认证的环节，再加上现在很少有将modbus进行加密通信的，所以modbus在内网里面基本上都是透明的，只要控制内网的某个控制器，就可以进行重放modbus协议攻击。目前都是modbus协议攻击都是以破坏的目的为主。根据modbus协议攻击的方法，大致分为以下3种：

• 中间人攻击：黑客可以截取Modbus通信流量，并修改数据或注入虚假命令，从而干扰设备的正常运行。

• 拒绝服务攻击（DoS）：通过发送大量无效请求或者使设备超载，攻击者可以使Modbus从站无法正常工作，导致服务停止。

• 协议重放：攻击者可以利用Modbus协议的漏洞，向设备发送恶意指令，例如修改参数、篡改数据或者执行不当操作。还可能通过读请求获取泄露敏感信息，例如设备配置、生产数据等，为攻击者提供可利用的情报。

其中中间人攻击、协议重放的原理大致相同，都是通过修改modbus的功能函数与寄存器的值来达到读写数据，拒绝服务攻击则是大量发送正常或是异常modbus请求，让modbus从机瘫痪。

0x01 Modbus协议解析

Modbus主从机通讯分为串口通讯（RTU和ASCII）与TCP通讯，目前Modbus攻击通常都是以TCP为主，所以这里只分析tcp协议。Modbus协议解析相关的内容各大社区都可以获取得到，这里不做详细说明，只说明几个站在攻击角度比较关键的点。

首先是modbus协议的交互方式

Modbus协议发送slave的时候，如果slave解析为合法协议，就给与一个相应的回复，如果不合法，那么就不会响应

然后是协议结构

• 00 00 事务标识符
• 00 00 协议标识符
• 00 06 长度标识符
• 站号（1个byte）
• 功能码（1个byte）
• 首个寄存器地址 （2个byte）
• 读取寄存器的个数 （2个byte）

协议样例：

00 00 00 00 06 01 05 00 1a ff 00（无校验位）

其中比较重要的位置就是在于站号、功能码、寄存器地址、寄存器值这四个位置。

1) 站号

站号是slave（Modbus从站）的编号，通常可以利用爆破来获取编号，如果站号不对，slave通常不会有响应。

2) 功能码

功能码对应的能力如下表

3) 寄存器地址

寄存器地址通俗一点的理解就是PLC的功能块，简单是说就是标识，例如搅拌机、电源开关之类的，指定寄存器地址的值可以对这个功能块进行操作。

4) 寄存器值

值就是功能块的状态，例如电源开就是：00 00，电源关就是：FF 00。

0x02Modbus协议攻击

本次攻击测试采用Matesploit与Modbus模拟器ModbusPal来进行，Matesploit在2012年就集成modbus相关攻击脚本。

用的比较多的就是auxiliary/scanner/scada/modbus_findunitid(站ID爆破)和auxiliary/scanner/scada/modbusclient(modbus功能操作)模块。

打开ModbusPal来模拟一个slave，添加一个coil(线圈)

模拟modbus slave之后，就可以开始攻击了，首先可以先爆破UNITID(站ID)

Msf这个脚本是单线程，爆破起来很慢，也可以写一个python进行多线程爆破

可以看到UNITID是233的时候有返回值。确定UNID为233。

再使用auxiliary/scanner/scada/modbusclient模块对modbus进行攻击，这里以修改Coil(线圈)的值为攻击点。

首先设置攻击点

Set action WRITE_COIL为修改单个Coil的值，带S代表修改多个Coil。设置如下图

其中DATA_ADDRESS为Coil起始地址，DATA_COIL为地址偏移量，DATA为值（0或1）

修改前

修改后

一般PLC的指令是以写线圈的请求下发的，Modbus协议重放攻击篡改PLC基本都是以篡改Coil为主。

0x03Modbus攻击检测

传统的IDS对工控攻击协议的解析能力不是特别强，例如snort，虽然支持对modbus的协议进行解析，但是使用的是预处理机制的，在原理上还是还是使用的特征匹配，虽然能够进行威胁识别，但是灵活度不高，不止snort，其他传统的特征匹配型的IDS均存在这个问题，所以建议使用zeek来进行工控类别的威胁检测。

Zeek（以前称为Bro）是一种开源的网络安全监控系统和网络流量分析框架。它最初是由加州大学伯克利分校开发的，旨在帮助网络管理员和安全专家实时监控和分析网络流量，以发现安全威胁、异常行为和网络性能问题。Zeek采用了一种基于网络流量分析的更为灵活的方法。它对网络流量进行深度分析，提取并聚合各种元数据，然后将这些元数据与用户定义的策略进行匹配，以检测潜在的威胁或异常活动。并且zeek的规则编写更加灵活，支持更多的插件。

工控安全漏洞库CISA为zeek量身打造了一个关于modbus的协议解析套件。项目地址：https://github.com/cisagov/icsnpp-modbus/

可以根据项目地址进行安装组件

可以利用这款套件对modbus攻击做检测，这里以暴力破解UNITID为例，DDOS攻击同样可以使用这种方法进行检测。

暴力破解以DOS类攻击都有相同的特点，就是发送大量的TCP包，但是传统的特征匹配型的IDS没有检测单位时间内包数量的功能，如果需要检测，只能编写插件，zeek自带了一个SumStats插件，可以统计数量（虽然很多人吐槽SumStats不好用，但是有总比没有好）

利用wireshark抓一下破解UNITID的包，输入"modbus"过滤一下modbus协议内容

发现这些包统一的func都是4，即读输入寄存器操作，且UNITID在进行遍历，访问都没有回包，是一个很明显的扫描操作。

我们可以参考icsnpp-modbus中的zeek规则文件提取出解析modbus的协议结构体加以利用。

这个record定义了modbus数据包的各个字典，由于是读输入寄存器操作，可以直接使用zeek自带的event:modbus_read_input_registers_request，相关的功能和定义可以参考zeek帮助

要识别扫描操作需要统计包中的所有读输入寄存器操作，使用event:modbus_read_input_registers_request进行来过滤包，并加入SumStats模块进行请求数量统计，参考icsnpp-modbus的event，我们可以编写如下功能

这个地方的if判断可以不用，因为这个event已经对流量进行过滤了。

然后使用SumStats::observe进行统计。SumStats需要两个比较关键的参数，一个是单位时间，一个是阈值，含义就是设置的单位时间内如果请求数量如果超过阈值，那么就判定为扫描攻击。我这里设置的是10秒发送5个包以上即判断为扫描攻击。

由于调用的SumStats插件代码过滤复杂，其中的细节不做赘述，有兴趣的同学可以参考detect-bruteforcing.zeek来进行编辑。

规则测试结果：

我将告警存放到了notice.log文件

总的来说，zeek检测modbus协议的方案已经比较成熟，可以很好的检测到modbus的威胁。