本月14日,灯塔实验室发布了最新的研究成功《针对网络空间关键基础设施情报收集的组织
行为分析报告 》,全文较长,网页仅摘出精华部分,阅读全文请在文章尾部下载PDF版本;
==================华丽的分割线================
目录:
一、背景
随着Shodan类网络空间搜索引擎的出现,基于主动探测的工控安全态势感知技术倍受研究者追捧。Shodan搜索引擎7*24小时在网络空间搜索爬取互联网外部端口数据,并且根据扫描结果实时更新数据库,这其中不乏针对工控协议的探测。ZMap、MASSCAN等基于异步无状态扫描工具的出现,使得快速探测整个IPV4空间变成可能,加上基于工控设备通信协议的识别探测,则可以迅速在网络空间中定位工控系统。
网络空间中的工控系统作为真正的关键基础设施是重要的战略和情报资源,而根据灯塔实验室的数据统计,自2014年以来,针对工控设备软硬件的扫描与探测的类型和次数有逐年增多的趋势。
本报告则主要介绍了目前专注于网络空间中工控关键基础设施情报搜集的国内外组织,通过我们长期跟踪部分组织的扫描引擎动作行为,对其关注的工控资产类型和历史动作行为进行了分析。
二、情报收集的通用原理与技术
2.1 通用原理介绍
在传统网络中一般情况下需要鉴定一些服务、系统,往往可以通过端口扫描的方式来完成,比如检查一些知名端口的开放情况。通过端口开放的情况能大概了解目标系统运行了那些服务以及操作系统类型。具体要验证一些服务则可以使用对应的协议,去交互请求对应的内容。而在传统网络中大量的协议都是标准并公开的。
在工控系统这个情况则不一样,工控的设备、软件的数据传输广泛的使用了行业专有与私有通信协议,如Modbus、IEC101/104、DNP3等通用工控协议,当然也存在大量的私有协议。我们曾经在“使用Wireshark分析工控协议”中总结过工控网络中协议的几种类型,即标准协议,私有公开,私有不公开情况三种。
总体来说探测并定位工控软硬件可以使用其支持的协议来完成精确识别或模糊匹配,具体可以通过如下几种方式。
- 利用标准且公开的工控协议对工控系统进行定位
在一些标准的协议规范中如Modbus、OPCUA、EtherNet/IP等协议中,通常约定了固定的Function code读取应用及模块信息,这样我们便可以准确识别目标设备的厂商信息或产品信息,而不支持读取设备、应用信息的协议也可以确认目标开放并运行了工控相关的协议,如下列举了几种常见标准协议识别设备、应用的方式。
via:灯塔实验室
原创文章,作者:Jekyll361,如若转载,请注明出处:https://www.ek7.cn/beacon/89.html
评论列表(3条)
大赞,这个必须支持。
来支持一下
这个必须得支持。