智能电表安全研究:集中器的神秘面纱

智能电表安全研究:集中器的神秘面纱

1

概 述



集中器是远程抄表系统的核心部件之一,下行以RS-485和HPLC为数据链路,自动抄收并存储各种具有载波通信功能的智能仪表、采集终端或采集模块以及各类载波通信终端的电量数据;同时通过上行信通与主站或手持设备进行数据交换,其上行信通支持4G、GPRS、CDMA、光纤等方式,并且采用模块化设计,可通过更换通信模块直接改变通信方式。作为连接主站系统的枢纽设备,集中器的主要任务有两个:一是向采集终端下达命令,并接受其电量数据;二是根据系统要求与主站通信,将主站需要的用户用电数据等信息传输到主站数据库中。


集中器在整个集抄系统中扮演着举足轻重的角色,其面临的安全问题不容忽视。本文作为电力系统设备分析系列文章的第二篇,将以选定的一款集中器设备的硬件分析和固件分析为重点,梳理集中器设备潜在的安全风险并进行一些攻击论证,较为基础的协议介绍和数据链路介绍在前面的文章中有较为全面的讲解,本文不再赘述。


2

分 析



市面上集中器厂商众多,我们在研究过程中也发现不同厂商在集中器固件的实现上大相径庭。但是鉴于其复杂性,市面上大部分集中器都带有操作系统,有内置嵌入式linux的,也有基于轻量级的RTOS的。为了重点突出集中器固件的特点,本文选择一款基于RTOS的集中器进行分享。



2.1 硬件分析

PCB如下

智能电表安全研究:集中器的神秘面纱


MCU为stm32f207,通过分析PCB走线和通断判断,找到从芯片引出到外部的调试接口。

智能电表安全研究:集中器的神秘面纱
智能电表安全研究:集中器的神秘面纱


其中,SWCLK和SWDIO与MCU对应引脚之间都串联有100Ω的电阻。



2.2 硬件提取

使用探针直连MCU上的相关引脚或导出来的调试接口

智能电表安全研究:集中器的神秘面纱


查看stm32f207的芯片内存布局,找到Flash位于0x08000000 – 0x080FFFFF

智能电表安全研究:集中器的神秘面纱


使用Stlink或其他支持SWD协议的工具提取出固件,例如OpenOCD或JFlash。



2.3 固件分析

使用ida分析固件,发现该集中器使用的是基于FreeRTOS改造的系统。首先使用keil编译版本接近的FreeRTOS,将生成的axf文件导入ida中生成idb,再结合bindiff可以恢复一部分符号。

智能电表安全研究:集中器的神秘面纱


同理,libc的符号也能以这样的方式恢复。此外,还可以导入stm32f207的svd文件到ida中,自动解析映射出来的外设地址以便分析。其他符号根据经验自行推断分析。


上电后进入reset中断的处理程序是一个bootloader,提供了若干固件升级方式,如果没有检测到升级操作就会引导程序流跳转至实现集中器主要功能的app中。

智能电表安全研究:集中器的神秘面纱


MainApp中一共有17个Task,具有不同的优先级和栈大小,涵盖了lcd屏幕,抄表管理,网络支持,USB支持,日志功能等方面。


2.3.1 调试终端接口

代码中有很多输入输出函数,最终都是在对0x40011000这段内存映射进行读写。

智能电表安全研究:集中器的神秘面纱
智能电表安全研究:集中器的神秘面纱


查找芯片手册内存映射表,发现是USART1

智能电表安全研究:集中器的神秘面纱


找到对应引脚如下

智能电表安全研究:集中器的神秘面纱


用逻辑分析仪打一下TX的数据,发现确实在输出ASCII明文。

智能电表安全研究:集中器的神秘面纱


这两个引脚距离很近,芯片测试夹使用不便,于是通过显微镜分析PCB连线及通断测试,发现引脚最终连到了SP3232EE芯片的T1IN和R1OUT。

智能电表安全研究:集中器的神秘面纱


该芯片用于将来自PS2座子的RS232电平转换为芯片能承受的TTL电平,那么这两个引脚转换前应该来自T1OUT和R1IN,最终在PS2座子找到导出的调试终端接口。

智能电表安全研究:集中器的神秘面纱


使用DB9串口线连接至电脑即可进入终端交互。

智能电表安全研究:集中器的神秘面纱


2.3.2 FTP服务

智能电表安全研究:集中器的神秘面纱


2.3.3 抄表

智能电表安全研究:集中器的神秘面纱


2.3.4 协议解析

智能电表安全研究:集中器的神秘面纱


2.3.5 事件上报和处理

智能电表安全研究:集中器的神秘面纱


2.3.6 LCD屏幕

智能电表安全研究:集中器的神秘面纱


2.3.7 密码验证

智能电表安全研究:集中器的神秘面纱
智能电表安全研究:集中器的神秘面纱


3

面临的威胁





3.1 攻击面梳理

在之前的文章中,我们分析了智能电表暴露出来的潜在攻击面,例如密码爆破,中间人攻击,固件提取,协议漏洞等。作为智能电表的上游设备,集中器也暴露出来了类似的潜在攻击面。


3.1.1 固件升级

固件升级支持USB,串口,FTP等多种方式,在为开发者带来便利的同时也可能暴露出一些安全问题。如果对升级固件的合法性校验或缺乏相关授权认证,恶意人员即可轻松上传后门程序。


3.1.2 调试串口

串口常用来实现升级功能和终端IO,在这个过程中难免出现代码上的漏洞,导致攻击者可以利用漏洞破坏原执行流或是进行固件提取,导致不可预估的后果。


3.1.3 协议漏洞

除串口外,集中器还可以利用网口、HPLC、无线、RS485等进行通信,因此在协议的解析过程也可能出现漏洞,且物理距离也比串口交互远很多,从而为潜在的远程攻击提供了便利。



3.2 漏洞利用

我们在研究的过程中也发现了一些漏洞,可以实现任意代码执行、篡改数据等攻击。下图是利用漏洞执行shellcode,最终在屏幕中输出了一段特定的banner。

智能电表安全研究:集中器的神秘面纱
智能电表安全研究:集中器的神秘面纱


4

总 结



同智能电表一样,众多集中器设备在如今的高安全体系下也会存在一定的盲区,一旦受到攻击,大量电表数据将受到篡改,带来不可估计的后果。除此之外,黑客还能借助集中器向上通信的特点攻入电力专网,继续扩大攻击事件的影响。集中器是智能采集终端与主站通信之间的重要枢纽,其安全性理应受到相应的重视,我们需要防患于未然,确保这些重要设施不被威胁。


 珞 安 科 技  简 介 


北京珞安科技有限责任公司(简称:珞安科技)成立于2016年是专注工业网络空间安全的创新型高科技企业和国家专精特新“小巨人”企业,并于2022年行业内率先通过CMMI5级认证。

珞安科技拥有业内顶尖工控安全专家团队、工业网络空间安全研究实验室和四大研发中心,坚持自主研发和技术创新,以零信任理念和体系化思想为指导,打造“实战化、易部署、易维护”工控网络安全产品体系,覆盖工控安全、业务安全和工业互联网安全,构建了全方位的工业网络空间安全防护体系。

依托强大的技术原厂商实力,积极开展安全服务和安全运营,业务遍布20多个行业的2000余家工业企业。在全国设有20+分子公司及办事处,提供7*24h安全应急服务响应,保障国家关键信息基础设施安全稳定运行。

智能电表安全研究:集中器的神秘面纱

智能电表安全研究:集中器的神秘面纱

智能电表安全研究:集中器的神秘面纱

智能电表安全研究:集中器的神秘面纱

智能电表安全研究:集中器的神秘面纱

智能电表安全研究:集中器的神秘面纱

原文始发于微信公众号(珞安科技):智能电表安全研究:集中器的神秘面纱

版权声明:admin 发表于 2024年10月30日 下午6:01。
转载请注明:智能电表安全研究:集中器的神秘面纱 | CTF导航

相关文章