工控系统蜜罐建设与协议仿真技术分享

0x1、简介

随着Eripp、Shodan、Zoomeye类似的网络空间搜索引擎先后的出现,网络扫描技术的发展和探测的增多,工控设备、物联网设备、基础设 施等作为互联网的一部分,已逐渐被攻击者所重视。从2010年的震网到如今的Havex,工控网络作为一个相对封闭的网络则出现了越来越多更具有针对性的 攻击事件和恶意程序。有针对的模拟工控系统某些特征的蜜罐出现也变得必要,蜜罐作为一种相对主动的安全检测手段,相信在未来使用的会越来越广泛。

0x2、工控蜜罐日志分析

Link:工控蜜罐日志收集项目链接地址

博主于6月低在香港和大陆外网节点搭建了设备协议仿真程序,用于发现主动扫描和来源IP的操作行为,根据积累的日志得出了如下结论:
A、目前针对特定端口(tcp/102、tcp/502)的扫描和识别的源IP均来自于国外。
11z
B、对协议的识别使用的是已知公开的技术。(由ScadaStrangeLove发布的plcscan和Digitalbond移植的基于nmap的 nse识别枚举脚本,这一点可以根据目前接收到的交互报文断定,如读取西门子PLC设备时使用的是SZL请求,识别Modbus设备型号信息使用了43号 功能码)。
22z
C、协议仿真程序并未收到恶意攻击和写入指令(例如西门子PLC CPU的stop指令和数据写入指令等,modbus的05、06等具有写入功能的功能码,详请参考日志)。

0x3、快速实现协议仿真

案例一

Modbus协议介绍

Modbus协议是工控网络中最常见的一种协议之一,该协议由莫迪康于1979年,为使用可编程逻辑控制器(PLC)而发表,因为简单易用至今使用已经相当广泛,如RTU、PLC、传感器等,协议可以适用于以太网、串口。同样因为使用广泛,公网暴露数量较多(Shodan查询连接)。

Modbus协议服务端实例脚本
Link:Modbus协议资料

33z

案例二

西门子S7协议介绍

西门子S7系列或CP模块使用以太网通信时主要基于ISO TCP (RFC1006)和西门子自有S7协议实现,并且协议详细实现由厂商自行持有,官方并未公开,外部应用与西门子S7系列PLC使用以太网通讯时可以使用 西门子官方组件或者非官方实现的的开源通讯库实现,目前第三方开源的通讯库同样也实现了较多功能,如libnodave,snap7等均已解码了西门子 PLC的较多操作功能。

44z

西门子S7协议服务端介绍

西门子S7协议实现较为较为复杂,并且功能较多,实现高交互需要利用西门子的开源协议栈实现,以SNAP7项目为例,该项目中提供了PLC服务端的部分功能仿真,使用时只需对固定特征进行修改即可实现PLC服务端的功能。

0x4、注意事项

1、 使用Conpot类似开源工控蜜罐系统需要注意本地化,使用默认配置是不可取的。如下图

55z

【via@ICS安全团队