2026-04-21 02:35:34 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文系统阐述工业控制系统网络攻击的操作阶段，详细解析攻击者入侵后建立持久化访问、横向移动、命令与控制通信、环境探测、数据监视及物理破坏等核心目标，结合CrashOverride、Triton等真实案例说明攻击手法与后果，并提出需结合邮件过滤、安全意识培训与应急响应计划的多层防御策略应对网络钓鱼与APT威胁。 综合评分： 85 文章分类： 渗透测试,应急响应,威胁情报,安全建设,IoT安全

cover_image

【工业控制系统网络安全系列课程】第4课-工业控制系统的网络安全风险-攻击的主要阶段（续）

原创

老付话安全老付话安全

老付话安全

2026年4月17日 20:29 山东

在小说阅读器读本章

去阅读

点击蓝字

关注我们

关注我，带给你不一样的精彩

世界因你的沉淀而出彩

始于理论，源于实践，终于实战

老付话安全，每天一点点

激情永无限，进步看得见

严正声明

本号所写文章方法和工具只用于学习和交流，严禁使用文章所述内容中的方法未经许可的情况下对生产系统进行方法验证实施，发生一切问题由相关个人承担法律责任，其与本号无关。

特此声明！！！

本文字数：

3907字

阅读时间：

16分钟

攻击行动

一旦攻击者获得了对目标组织网络的访问权限，攻击操作阶段就开始了。根据攻击组织的运营目标，这可能是一种长期的关系（希望至少对攻击者来说，只有攻击组织知道），这种关系可能会持续数年。

此阶段的目标可能包括：

绕过网络访问控制 – 突破网络隔离、防火墙规则或802.1X认证，进入受保护区域。
建立持久化访问机制 – 在多个系统上植入后门、计划任务或服务，确保即使部分通道被清理也能恢复控制。
建立命令与控制（C2）信道 – 配置加密、隐蔽的C2通信，用于下发指令和回传数据。
规避检测 – 清除日志、禁用安全软件、伪装正常流量，隐藏自身行为。
执行横向移动与权限提升 – 在内网中跳转到更高价值的服务器、控制器或历史数据库，获取域管理员或工程站权限。执行横向移动，扩展控制至更多服务器、工作站或控制器。
按需更新工具 – 根据环境动态下载或更换恶意工具、插件或利用程序。
发现并绘制目标环境地图 – 识别网络拓扑、PLC型号、HMI软件版本、SCADA服务器角色以及通信协议（如Modbus、DNP3、S7）。
监视操作与工艺数据 – 静默采集实时过程变量、报警记录、操作员行为，用于后续制定破坏方案或窃取情报。
操纵或破坏物理过程 – 在关键时刻修改设定值、禁用安全联锁、掩盖报警，造成设备损坏、产品质量事故或生产中断。
窃取敏感数据 – 导出工艺配方、逻辑代码、配置参数、维护计划或生产排程，用于商业竞争或勒索胁迫。
掩盖痕迹与规避检测 – 清除日志、篡改时间戳、禁用安全软件，并伪装成正常控制流量，使防御方难以发现异常。
查找、收集与过滤数据 – 定位敏感信息（配置、工艺数据、凭证），打包并外传。
破坏过程与/或通信 – 中断生产流程、篡改控制指令、干扰操作员与设备的通信。

攻击操作阶段目标清单（行业+案例版）

| 目标类别 | 行业示例 | 真实攻击案例 | | — | — | — | | 建立持久化访问机制 – 植入后门、计划任务、服务或修改固件，确保长期控制 | 电力：在变电站RTU中植入驻留代码；石油：在DCS操作站安装远程管理工具 | CrashOverride （2016）：在电力SCADA系统中部署持久化模块，可远程更新攻击组件； Havex（2014）：通过恶意OLE文件植入后门，长期收集能源行业数据 | | 执行横向移动与权限提升 – 从IT网络跳转到OT网络，获取工程站或控制器权限 | 水处理：从办公网跳转至PLC编程站；石油：从历史数据库服务器跳转至安全仪表系统（SIS） | Triton （2017）：攻击者从IT网络横向移动到石化工厂的SIS工程站，获得对Triconex安全控制器的完全控制； Industroyer（2016）：在电力公司内网通过域控提升至管理员权限，进而控制变电站网关 | | 发现并绘制目标环境地图 – 识别PLC型号、协议、SCADA服务器、网络拓扑 | 电力：扫描IEC 60870-5-104或IEC 61850协议设备；水处理：枚举支持Modbus的PLC和HMI | CrashOverride ：攻击者事先对电力系统进行长达数月的探测，绘制出特定断路器及保护继电器的映射关系； Dragonfly 2.0（2017）：利用开源扫描工具识别美国及欧洲能源设施的工控设备 | | 监视操作与工艺数据 – 静默采集实时变量、报警、操作员指令 | 石油：监听DCS与PLC之间的OPC通信；水处理：记录液位、流量、加氯量等关键参数变化 | Industroyer ：恶意软件包含数据包嗅探器，能够捕获变电站内的GOOSE和MMS报文，了解开关状态； BlackEnergy（2015）：在乌克兰电力公司SCADA系统中植入插件，记录操作员控制行为 | | 操纵或破坏物理过程 – 修改设定值、禁用安全联锁、掩盖报警，造成物理后果 | 电力：远程断开断路器或改变变压器抽头；水处理：改变泵速或阀门开度，导致蓄水池溢出或干涸；石油：超压运行管道，引发泄漏或爆炸 | CrashOverride ：同时发送变电站断路器断开指令和虚假遥测数据，导致跳闸且控制中心误以为正常； Triton：直接修改安全仪表系统的逻辑，使紧急停车功能失效，可诱使工艺进入危险状态而不触发安全动作； Maroochy水处理事件（2000）：通过无线方式改变泵和阀门的控制参数，造成数百万升污水外泄 | | 窃取敏感数据 – 获取工艺配方、PLC代码、维护计划、排产信息 | 石油：窃取油井优化算法或管道液压模型；电力：盗取电网负荷预测模型和继电保护定值单 | Havex ：收集能源行业大量工程图纸、PLC配置文件及SCADA系统登录凭证，回传至C2服务器； Night Dragon（2011）：从石油公司窃取油田储量、钻井计划及投标文件 | | 掩盖痕迹与规避检测 – 清除日志、禁用安全软件、伪装成正常控制流量 | 电力：伪造正常IEC 104心跳，掩盖异常指令；水处理：在HMI上回放正常运行画面，隐藏真实工艺数据 | Industroyer ：利用电力通信协议本身缺乏认证的特性，将恶意报文混入正常控制流中； Triton：攻击者擦除了工程站上的入侵痕迹，并修改了SIS控制器的诊断日志； Pipedream（2022）：模块可清除PLC中的入侵痕迹，使离线取证困难 |

绕过网络访问控制

网络连接主要分为两种类型：绑定连接与反向连接。

绑定连接（直接连接）

绑定连接是指客户端系统直接连接到目标服务器上的某个服务端口（例如 Web 服务的 80 或 443 端口）。客户端将自身的连接“绑定”到服务器。典型例子：互联网上的一个 Web 浏览器，直接访问某公司 DMZ 区域内的 Web 服务器。对攻击者而言，绑定连接提供了一条直接通往目标系统的路径，可以主动发起攻击。

反向连接

反向连接的实现方式则更为隐蔽。例如，攻击者将恶意代码伪装成电子邮件附件或植入 USB 设备中。当受害者执行或打开该文件时，恶意程序会主动尝试与攻击者控制的服务器建立连接。最常见的载体是鱼叉式网络钓鱼：攻击者向目标组织中的特定人员发送精心伪造的邮件，其中包含指向恶意服务器的链接。用户点击链接后，系统会发起一条出站连接到受感染的服务器，从而将漏洞“反向”送回到攻击者手中。

Verizon 2018 年数据泄露调查报告显示：

在受控的网络钓鱼测试中，78% 的用户全年不会点击任何钓鱼邮件。

但在任何一次钓鱼活动中，平均仍有 4% 的用户会点击。而攻击者只需要这 4% 中的一个人，就能成功入侵。

许多组织拥有强大的网络边界防御，严格阻止非授权入站流量；但边界防御往往允许内部系统几乎无限制地对外连接，这恰恰为反向连接提供了可乘之机。

防守者如何防范网络钓鱼攻击？

答案是没有一个包罗万象的解决方案来对抗网络钓鱼攻击。

没有任何单一方案可以完全解决钓鱼威胁。通常需要组合以下措施：

可靠的邮件过滤系统
积极且有针对性的安全意识培训
持续保持警惕的入侵检测与事件响应计划

命令与控制（C2）

攻击者必须能够与受感染的系统保持通信，实现长期控制与远程管理。为此，他们需要建立并维护自己的命令与控制（C2）基础设施，通常包括：

C2 服务器：用于发送指令、接收回传数据、管理多个受害主机。
域名与动态 DNS：避免被固定 IP 封禁，灵活切换通信端点。
重定向器或代理链：隐藏真实 C2 服务器位置，增加溯源难度。
加密通信通道：使用 HTTPS、DNS 隧道、自定义协议等绕过检测。
备用信道：如社交网络、云服务 API、邮件等，以防主通道被切断。

持久访问与远程访问

一旦攻击者在目标网络上站稳脚跟，首要任务便是建立持久性。持久性意味着：即使系统重启、补丁更新或原始漏洞被修复，恶意软件仍能自动执行并重新连接至攻击者的 C2 服务器。攻击者最不想做的就是重新攻击同一系统，尤其是在系统已被修补并且原始漏洞已被删除或缓解的情况下。

这就是高级持续威胁（APT）一词的由来。它适用于极其隐蔽的组，并且在目标网络上的存在以及持续监控、收集数据和维护/更新其工具集方面都保持持久性。

攻击者希望尽可能长时间地远程、一致地访问受害者网络。通过远程访问，攻击者可以在世界任何地方发送新

命令、更新他们的工具、泄露数据、操纵进程、偷钱、散布仇恨和不满，并且通常玩得很开心。

高级持续威胁（APT）的由来

“高级持续威胁”（APT）一词正是描述具备以下特征的攻击组织：

高度隐蔽：长期潜伏，避免触发安全警报。
持久存在：通过多种持久化机制（如计划任务、服务、注册表启动项、固件后门等）确保访问不丢失。
持续监控与数据收集：在数月甚至数年内不断窃取信息。
工具集维护与更新：根据目标环境调整恶意软件，逃避检测。

远程访问的价值

攻击者追求尽可能长时间地保持对受害者网络的稳定、远程、交互式访问。通过远程访问，他们可以：

随时发送新命令（如横向移动、数据查询）。
更新或更换工具（如上传新模块、卸载旧后门）。
窃取敏感数据（批量外传或分段渗出）。
操纵业务流程（修改控制指令、破坏物理设备）。
窃取资金或勒索。
散布虚假信息、煽动混乱，甚至作为跳板攻击其他目标。

end

往期内容回顾****

@请赐予我力量，关注和转发是最大的支持@

欢迎扫码进群交流

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：老付话安全老付话安全老付话安全《【工业控制系统网络安全系列课程】第4课-工业控制系统的网络安全风险-攻击的主要阶段（续）》