Kimon_感知、诱捕、情报、协作:网络空间工控系统威胁情报

风秀洁

2017/11/14 发布于 技术 分类

本议题将立足网络空间攻防对抗的新战场——工控系统,提出威胁感知诱捕计划并分析与展示系统捕获的入侵行为。

文字内容
1. 感知·诱捕·情报·协作 ⺴络空间⼯控系统威胁情报 [ Kimon@灯塔实验室 ]
2. 关于我们 [ Kimon@灯塔实验室 ] 王启蒙 Kimon 电话:18500851413 邮箱:kimon@plcscan.org 微信:ameng929
3. 基础威胁情报 VS. 高级威胁情报 信息收集方式 VS. 威胁捕获技术 被动威胁感知架构体系 从威胁数据到威胁情报 [ 灯塔实验室@KCon ]
4. Part. 01 基础威胁情报 VS. ⾼级威胁情报
5. 基础威胁情报 VS. ⾼级威胁情报 [灯塔实验室@KCon ]
6. 基础威胁情报 VS. ⾼级威胁情报 [灯塔实验室@KCon ] 国外针对网络空间的情报收集计划 SHINE计划——Project Shodan Intelligence Extraction X-Plane、Treasure Map、NCR 绘制网络空间地图,构建上帝视角感知能力
7. 基础威胁情报 VS. ⾼级威胁情报 [灯塔实验室@KCon ] 基础威胁情报(数据情报) 流量/文件 BGP/AS/路由/Whois/指纹 Passive DNS/信誉数据 战术威胁情报(数据关联&分析) 机读文件(IoC/TTP) 情报落地、协作联动 战略威胁情报(价值&决策) 可读报告 意图分析、感知预测、决策支撑
8. 基础威胁情报 VS. ⾼级威胁情报 [灯塔实验室@KCon ] 数据情报 数据情报是威胁情报的基础 数据情报需要进一步融合、关联、分析 战略情报将关系上层决策,不容有失
9. 基础威胁情报 VS. ⾼级威胁情报 [灯塔实验室@KCon ] 工控系统威胁情报 国家关键信息基础设施 针对能源、关键制造等行业的威胁加剧 Stuxnet/Duqu/Flame BlackEnergy 针对SCADA系统的威胁加剧 远程可控制SCADA、PLC 遍布互联网的工控资产 针对工控专有协议的探测 针对工控设施的威胁行为更值得研究 全球网络空间“底线” 具备上层战略特征 https://apt.securelist.com
10. Part. 02 信息收集⽅式VS. 威胁诱捕技术
11. 信息收集⽅式 VS. 威胁诱捕技术 [灯塔实验室@KCon ] 开放的互联网设备搜索平台 Shodan shodan.io Censys censys.io ZoomEye zoomeye.org ICSfind icsfind.org IVRE ivre.rocks Rapid7 scan.io 开源扫描器框架 nmap nmap.org zmap zmap.io masscan github.com/robertdavidgraham/masscan 基于指纹识别平台的工控设备信息收集方式 《ICS/SCADA/PLC Google/Shodanhq Cheat Sheet》 http://scadastrangelove.org/ 《Internet connected ICS/SCADA/PLC Cheat Sheet》 http://www.scadaexposure.com/
12. 信息收集⽅式 VS. 威胁诱捕技术 [灯塔实验室@KCon ] 利用标准且公开/私有的工控协议对工控系统及设备进行识别
13. 信息收集⽅式 VS. 威胁诱捕技术 [灯塔实验室@KCon ] 利用传统服务特征对工控系统及设备进行识别
14. 信息收集⽅式 VS. 威胁诱捕技术 [灯塔实验室@KCon ] 识别工具列举 https://scadahacker.com/resources/msf-scada.html
15. 信息收集⽅式 VS. 威胁诱捕技术 [灯塔实验室@KCon ] 信息情报收集不只是“扫描” Kill Chain至关重要的第一步 踩点、组装、投送、攻击、植入、控制、收割 由点至面 一个暴漏的工控服务 一个正在运转工业生产网络 40亿IPv4空间针对工控设备进行定位 针对工控网络新型渗透模式 PLC Blaster 网络空间设备搜索平台 时间轴设备信息态势 提供互联网“靶标”
16. 信息收集⽅式 VS. 威胁诱捕技术 [灯塔实验室@KCon ] 威胁捕获方式 传统安全防御设备 针对工控系统的蜜罐 思科PLC蜜罐 Digitalbond 趋势科技 Conpot
17. 信息收集⽅式 VS. 威胁诱捕技术 [灯塔实验室@KCon ] 工控蜜罐存在的问题 易被甄别 针对工控协议的仿真交互低 配置繁琐容易留下疏漏 缺少针对工控业务的仿真 难管理 蜜罐部署繁琐 不具备分布式管理机制 难分析 数据日志机制陈旧 数据量增多难以分析 不具备结合威胁情报的能力
18. 信息收集⽅式 VS. 威胁诱捕技术 [灯塔实验室@KCon ] 主动监测国外蜜罐部署情况
19. 信息收集⽅式 VS. 威胁诱捕技术 [灯塔实验室@KCon ] 通过Shodan搜索国外蜜罐案例 Shodan API
20. 信息收集⽅式 VS. 威胁诱捕技术 [灯塔实验室@KCon ] 国外工控组合蜜罐案例
21. Part. 03 被动威胁感知技术
22. 被动威胁感知技术 [灯塔实验室@KCon ] 工控设备主动指纹信息 S7comm通信流程 TCP三次握手建立通讯TCP连接 ISO_TP连接建立 S7协议连接请求、应答建立连接 实现S7协议读取数据 通过模拟S7comm协议可获取设备信息 Module: 6ES7 151-8AB01-0AB0 Basic Hardware: 6ES7 151-8AB01-0AB0 Version: 3.2.3 System Name: SIMATIC 300(1) Module Type: AN12CPU Serial Number: S C-B8TH91812011 Copyright: Original Siemens Equipment
23. 被动威胁感知技术 [灯塔实验室@KCon ] 工控设备被动指纹信息 《揭秘VxWorks—直击物联网安全罩门》
24. 被动威胁感知技术 [灯塔实验室@KCon ] 工控设备被动指纹信息
25. 被动威胁感知技术 [灯塔实验室@KCon ] 工控设备被动指纹信息 通过modbus协议获取设备项目文件信息 Redpoint nse脚本指纹 debug模式
26. 被动威胁感知技术 [灯塔实验室@KCon ] 被动威胁感知平台架构 IP
27. 被动威胁感知技术 [灯塔实验室@KCon ] 交互行为模式自识别
28. 被动威胁感知技术 [灯塔实验室@KCon ] 自识别后人工分析 提取常见扫描脚本/工具的交互模式 Nmap Script(Redpoint) Msf module Git中的常见针对协议的脚本 提取扫描者、扫描器的行为模式 Shodan Censys Rapid7
29. Part. 04 从威胁数据到威胁情报
30. 从威胁数据到威胁情报 [灯塔实验室@KCon ] 真实的捕获案例 #向DB1数据区写入数据 2016-02-10 15:25:44 [209.133.66.214] Write request, Area : DB1, Start : 0, Size : 452 --> OK 2016-02-10 15:25:45 [209.133.66.214] Write request, Area : DB1, Start : 452, Size : 60 --> OK #向DB1、2、3数据区写入数据 2016-02-22 06:54:19 [93.115.95.202] Write request, Area : DB1, Start : 0, Size : 16 --> OK 2016-02-22 06:54:19 [93.115.95.202] Write request, Area : DB2, Start : 0, Size : 16 --> OK 2016-02-22 06:54:19 [93.115.95.202] Write request, Area : DB3, Start : 0, Size : 16 --> OK #删除CPU程序块 2016-02-22 06:54:43 [93.115.95.202] CPU Control request : Block Insert or Delete --> OK #冷启动PLC CPU 2016-02-22 06:58:09 [37.48.80.101] CPU Control request : Warm START --> OK #停止PLC CPU 2016-02-22 06:58:21 [37.48.80.101] CPU Control request : STOP --> OK #修改PLC系统时间 2016-02-22 07:03:02 [37.48.80.101] System clock write requested • • 攻击动作 – 写内存数据 – 操作CPU状态 – 修改系统时钟 – 删除系统程序 攻击影响 – 数据异常 – 程序停止运行 – 系统时间异常 – 系统运行故障
31. 从威胁数据到威胁情报 [灯塔实验室@KCon ] 对PLC-Blaster的监测 S7-300 FB65 "TCON" FB63 "TSEND" FB64 "TRCV" S7-1200 TCON TSEND/TUSEND TRCV/TURCV CP FC5 "AG_SEND" FC6 "AG_RECV"
32. 从威胁数据到威胁情报 [灯塔实验室@KCon ] 针对HMI的溢出攻击
33. 从威胁数据到威胁情报 [灯塔实验室@KCon ] 针对HMI的web攻击
34. 从威胁数据到威胁情报 [灯塔实验室@KCon ] 针对HMI的工控业务攻击
35. 从威胁数据到威胁情报 [灯塔实验室@KCon ] Shodan组织战术威胁情报
36. 从威胁数据到威胁情报 [灯塔实验室@KCon ] Shodan组织战术威胁情报
37. 从威胁数据到威胁情报 [灯塔实验室@KCon ] Shodan组织战术威胁情报
38. 从威胁数据到威胁情报 [灯塔实验室@KCon ] Shodan组织战术威胁情报
39. 从威胁数据到威胁情报 [灯塔实验室@KCon ] Shodan组织战术威胁情报
40. 从威胁数据到威胁情报 [灯塔实验室@KCon ] Shodan组织战略威胁情报 http://plcscan.org/blog/2016/06/ics-security-research-report-2016-05/
41. 从威胁数据到威胁情报 [灯塔实验室@KCon ] Shodan组织战略威胁情报 IP RDNS 82.221.105.6 71.6.167.142 71.6.135.131 66.240.236.119 71.6.158.166 82.221.105.7 85.25.43.94 71.6.165.200 198.20.99.130 66.240.192.138 71.6.146.185 66.240.219.146 198.20.69.98 198.20.70.114 188.138.1.218 census10 census9 census7 census6 ninja. census census11 rim.census census12 census4 census8 Inspire.census burger.census border.census census3 unknown 169 232 234 233 111 167 192 236 92 237 67 107 215 224 93 S7 102 20130821 20140720 20140508 20140602 —— 20140206 20150122 20140222 20140516 20140226 —— 20141007 20140512 20150811 Modbus 502 20130827 20140526 20140509 20140706 —— 20140206 —— 20140227 20140630 20140225 —— —— 20141104 20140518 20150627 Ethenet/IP 44818 20141025 20140504 20140510 20140430 20160520 20140207 20141016 20140212 20140226 20160414 20160520 20140604 20140603 20160524
42. [ 灯塔实验室@KCon ]
43. THANKS [ 灯塔实验室@KCon ]