銃口のSCADA：ASU TPセキュリティ分析

ブシェール原子力発電所で発見されたStuxnetワームは、多くのノイズを発生させました。 「誰がこのすべての背後にいたのでしょうか？」-おそらく、この質問は数十年間答えられないでしょう。 今日、多くの人々にとって、重要なインフラストラクチャのオブジェクトは非常に興味深いものです。競合する企業から始まり、戦国の特別なサービスで終わることです。

穴の幅は？

重要なインフラ施設は慎重に保護されているため、そこに到達したり、外部に物を持ち込むことは非常に困難です。 この点で、リモート攻撃の可能性が最も重要です。 今日、各状態はそれ自体で最も重要なオブジェクトのリストを決定します。 そして、このリストは国家秘密ですが、その内容は絶対に明白です。電力産業、原子力および原子力産業、炭化水素輸送部門、石油化学製品、戦略的軍事施設のオブジェクトです。 当然、これらの施設の多くは、複雑な自動プロセス制御システム（ACS TP）である情報技術を使用して自動化プロセスを受けています。

一般的な産業用制御システムには、ディスパッチングシステム（SCADA）、遠隔測定サブシステム、利用可能な産業用データ転送プロトコルに基づく通信インフラストラクチャの3つの主要コンポーネントが含まれます。 多くの場合、外国の文献では、「ACS TP」という用語は省略されており、SCADAシステムのみを参照していますが、スケジューリングでは制御システムプロセス全体のインタラクティブな制御ができないことを理解することが重要です。

インストルメンタルトレーニング

制御システムと技術プロセスのディスパッチに対処する必要がある場合、プロセス制御システムの安全性分析にはどのツールが必要ですか？ ここでは、既知の産業制御システムとSCADAシステムの60％が従来のプラットフォーム（Windows、Linux）に展開されているため、既知の技術と個々の特別なソリューションの接点で作業する必要があります。 必要に応じて、QNXなどのリアルタイムプラットフォーム（ハード、ソフト）を使用し、リアルタイム（リアルタイムシステム）の条件で特定の時間間隔で特定の操作の実行を保証しますが、軍事製品（UAV、空中制御）。

現在、自動プロセス制御システム/ SCADAのセキュリティを分析するための高度に専門化されたソフトウェアツールはそれほど多くありません。

• SCADA-Auditor PC（技術ネットワークのセキュリティ分析用の国内スキャナー、ACS TP / SCADA）;
• Teenable Nessus（いくつかのSCADAシステムテストモジュールと、商用バージョンの多くのプログラマブルロジックコントローラーが含まれています）;
• Rapid7 Metasploit Project（そこにはすべてが悲しい：エクスプロイト/ scada /セクションには、狭い範囲に焦点を絞ったスプロイトが数組しかありません）。

当然、特殊なソフトウェアに加えて、nmapネットワークスキャナーなどの従来のツールも使用されます。 ちなみに、彼は情報セキュリティの最新の傾向にも注目しています。最近、プラグインが登場し、ノード上のStuxnet感染を検出できるようになりました。

---

Stuxnetに感染したホストを見つける方法

NMAP'a新バージョン（5.51）には、NMAP Scripting Engine用のLUAプログラミング言語で書かれた興味深いプラグインが含まれ、その名前は「stuxnet-detect」です。 SMBセッションを介してStuxnetワームの存在についてノードを調査するのは非常に簡単です。

nmap --script stuxnet-detect -p 445 <host>





さらに、トレンドマイクロの専門家が作成したスキャナーを使用して、感染したノードを検出できます。 会社のウェブサイトで入手できます。 これらのスキャナーはどのように機能し、Stuxnetはどのように機能しますか？

Stuxnetは、感染したノードとの内部および外部通信用にRPCサーバーを別のノードとして登録します。 RPCサーバーの機能は、ワームのバージョンを発行（確認）するとともに、更新機能を実行（新しいインスタンスをダウンロード）するように構成されています。 この「産業用」ボットネットのコントロールセンターから、対応するRPC呼び出しを行うことができます。



センターは、バージョンをチェックするコマンド（0x00）を提供します。「古い」場合は、更新機能が呼び出されます（0x04）。 SMB-over-TCPサービス（TCP 445）の可用性が事前にチェックされます。その後、このバージョンのStuxnet（MS10-061など）に組み込まれている脆弱性が悪用され、DCE / RPCを介した特性名前付きパイプへのバインドが実行されます（「// browser」ほとんどの場合）、UUIDとその後続の分析を検索します。 いいね！



2番目の方法は、タスクスケジューラで「ロードされた」悪意のあるStuxnetコードを検索することです。 この手法に基づいて、Trend Microスキャナーが機能します。

---

典型的な脅威

技術的ネットワークの典型的なトポロジに伴う脅威を明確に調べてみましょう。 （技術プロセスの性質に応じて）3つのゾーンを個別に区別します-コーポレート（管理とは関係がなく、ビジネスプロセスのみを扱う）、エグゼクティブ（技術プロセスが実行される直接リンク、たとえば、アンモニアの処理や石油の管理） ）およびディスパッチゾーン（プロセスの進行に影響を与える可能性のある産業用制御システムのオペレーターが存在します）。

典型的なテクノロジーネットワークトポロジ

1. アクチュエータと遠隔測定サブシステム
   
   非常に多くの場合、使用されるデバイスの電子コンポーネントベースでは、IPSec、SSL、またはVPNなどの一般的なテクノロジを実装できません。 ただし、これらのデバイスへのアクセスは常に必要です。 さらに、これらのデバイスの一部は、センサーなどを使用してプロセスのパフォーマンスに関する情報（テレメトリー）を収集するためのデバイスとして機能します。 それらには、アラームや事故に関するメッセージが蓄積される可能性があり、これは非常に重要です。 この点で、一般に利用可能なIPアドレスを割り当てることが非常に重要です。これは、残念ながら非常に一般的です。 状況によっては、ネットワーク設計エラーを起こしてこれを回避することはできません。 たとえば、最新の産業用コントローラーは、直接またはモデム経由で接続できます。 モデムを介して接続する場合、GPRS / GSMモデムと組み合わされることが多く、デフォルトではデバイスにモバイルオペレーターのIPアドレスが与えられます。 この構成では、外部攻撃に対して非常に脆弱です。 特殊なユーティリティと方法を使用して、攻撃者はそのようなデバイスを検出し、多くの悪いことをすることができます。 アクチュエーター自体は通常、シリアルインターフェイス（RS-232 / RS-485）を介してMODBUSサーバーに接続され、MODBUSサーバー自体には、オペレーターとのイーサネット/産業用イーサネットチャネルを介したTCP / IP制御があります。
2. ARMオペレーターとSCADAシステムのパーク
   
   これらの同志は最も困難な立場にあります。なぜなら、彼らの間の政権の問題はしばしば尊重されないからです。 2番目の問題は、外国の専門家がしばしば受け入れられ、全く異なる善意を持っている可能性があることです。 ブシェール原子力発電所でStuxnetワームを導入する慣行が示したように、サービスユニットのインサイダーエンジニアがUSBドライブから悪意のあるプログラムを導入しました。 そのような同志が世界の原子力発電所を何人歩き回るのかは疑問のままです。 オペレーターは、通常、異なるレベルの特権でSCADAシステムに接続し、新しいプロジェクトを計画および実装し、既存のプロジェクトを変更することができます。 システムソフトウェアのディスパッチには多くの脆弱性がありますが、インサイダー取引は依然として主要な脅威です。
3. コーポレートゾーン（BANゾーン-ビジネスエリアネットワーク）
   
   その中に座っている人々がいます。彼らは原則として、私たちが検討したすべての組織の所有者です。 エネルギーまたは石油輸送組織の分野では、これは特に明白です-リビアのエネルギー生成複合体または石油掘削装置のラインの形で、それらの経済全体がさまざまな大陸に位置することができ、彼ら自身は私たちのような暖かく無害な国に座っています:) BANは、利益を上げること、彼らが請求書、ビジネスの経済的および経済的問題を研究することにほとんどの時間を費やす理由に直接懸念しています。

開始しました

住宅の熱エネルギー消費を管理するための派遣システムの監査をどのように実施したかについての実践的な話を共有します。 私の主なタスクは、システムに存在する脆弱性を検出し、システムの重要な要素にリモートでアクセスすることでした。

ネットワークの範囲を指定すると、その中の境界アクセスゲートウェイを識別することが決定されました。 長い間検索する必要はありませんでした。Cisco7301ルータ上のCiscoルータおよびセキュリティデバイスマネージャであり、CISCO SDMとして知られています。 可能であれば、その構成ファイルを調べ、内部ネットワークの範囲を指定し、そこで最も価値のあるものを特定する必要がありました。

奇妙なことに、ゲートウェイ自体に2つの脆弱性がありました。

• 許可バイパスレベル15。
• 統合されたアカウント「cisco」（ゲートウェイは運用開始されたばかりで、管理者自身がセキュリティをまだ確立できなかった理由）

アクセス権を得て、私が最初に取ったのはデバイスからの設定でした。パスワードハッシュが含まれているためです。



#

show running config







サブネットを調べた後、すぐに境界ルーターから直接ネットワークの分析を始めました。 当然、この手順は2つの方法で実行できます。

• ネットワークノードを介して実行され、既知のポートに接続してサービスに関する情報を収集するTCLスクリプトを積極的に使用します。
• 受動的に、ここではすべてが少し複雑です。なぜなら、最新のCISCOファームウェアアップデートのみにCisco IOS Embedded Packet Capture（EPC）が含まれているためです。これは、ネットワーク診断のパケットアナライザとして機能する非常に便利なものです。

多くのノイズを発生させないために、私はEPCを使用するだけでゲートウェイを1つの大きなスニファーに変える必要がある2番目のパスに沿って進みました。



# EXEC

enable



# «pktrace1», 256 , 100

monitor capture buffer pktrace1 size 256 max-size 100 circular



# , FastEthernet, ,

monitor capture point ip cef ipceffa0/1 fastEthernet-type 0/1 both

#

monitor capture point associate ipceffa0/1 pktrace1

#

monitor capture point start ipceffa0/1

#

show monitor capture buffer pktrace1dump







トラフィックでTCPポート502を示す行を見つけたので、このポートはMODBUS TCPプロトコルに典型的であるため、多くのことが明らかになりました。 パケットルーティングと宛先アドレスにより、コントロールセンターの場所を判断できました。 実際、この方法で、ルーティング機器、特に現在のファームウェアバージョンを持つCISCOルーターから、本格的なパッシブネットワーク偵察を行うことが可能です。

スキャナーを起動すると、誰かがすでに生産的にそこにいたことに気付きました。いくつかのノードがワームに感染しており、それぞれが比master的に「マスターを待っています」と教えてくれました。 多くのSCADAシステムのデフォルト設定では、Microsoft Windows DCOM OSへの匿名アクセスを組織することを推奨しているという興味深い事実に注意する必要があります。 また、多くの産業用プロトコルは、いくつかの理由（テレメトリ機器の実装の難しさ、トラフィック量の増加）のために暗号化をサポートしていません。 一方、SDM構成から取得されたハッシュは復号化されました。 今回は、ネイティブのCISCO「secret 7」の代わりに、MD5がハッシュアルゴリズムとして使用されました。

---

MODBUSがデータを転送する方法

MODBUSネットワークでは、ASCIIまたはRTUの2つのデータ送信方法のいずれかを使用できます。 ユーザーは、各コントローラーの構成中に、他のパラメーター（ボーレート、パリティモードなど）とともに目的のモードを選択します。 ASCIIモードを使用する場合、メッセージの各バイトは2つのASCII文字として送信されます。 この方法の主な利点は、文字の送信間隔が最大1秒で、送信エラーが発生しないことです。 ASCIIモードでは、メッセージはコロン（：、ASCII 3A 16進数）で始まり、「キャリッジリターンラインフィード」シーケンス（CRLF、ASCII 0D、0A 16進数）で終わります。 送信に有効な文字は、16進数0〜9、A〜Fです。 ネットワーク上のネットワークデバイスのモニターは、コロン記号を継続的に監視します。 受信すると、各デバイスは次のメッセージフィールド（アドレスフィールド）などをデコードします。

---

CISCOルーターのパスワード

予想される「秘密7」ハッシュの代わりに、「CISCO 5」（CISCOタイプ「5」パスワード）がCISCOルータで見つかることがあります。 ハッシュパスワードを取得するプロセスは、「シークレット7」ハッキングとは異なります。これは、よく知られているスクリプトであるCain and Abelや他の多くのプログラムを使用して解読できます。 パスワードハッシュの外観と保存方法の例：

username jbash enable secret 5 $1$iUjJ$cDZ03KKGh7mHfX2RSbDqP.

username jbash password 7 07362E590E1B1C041B1E124C0A2F2E206832752E1A01134D





ハッシュアルゴリズムがmd5（unix）に似ていることは簡単にわかります。したがって、この場合、これらのタイプのハッシュ、つまりPasswords Pro、John The Ripper、EGBなどを復元できる最新のソフトウェアツールを使用して、辞書攻撃を行うことができます。 構造的には、次のようになります。

$1$FKKk$t2NOQP.vSScMbwJWERNU0/ (type "5"),

«FKKk» - (salt)





自家製のブルートフォースは次のようになります。

openssl passwd -1 -salt FKKk cisco（「cisco」の代わりに-パスワードを使用して辞書から単語を移動します。最終ハッシュが調査済みのオリジナルと一致する場合-成功した選択、不在-継続的なブルート）。

---

派遣制度

パスワードを復号化した後、ネットワークの境界の調査を開始しました。 一部のホストには外部IPアドレスのエイリアスがあり、外部から接続できるようになりました。 ネットワーク内のワークステーションの1つにアクセスできるようになったので、SCADA-Auditorソフトウェアを使用して、すべてのICSデバイスの積極的な偵察を開始しました。 他のスキャナーは、MODBUSに典型的な利用可能なTCP 502ポートを表示しますが、ネイティブ接続を確立し、そこからサービス情報を取得します-彼らは確かに方法を知りません。

SCADA-Auditorを使用して、スケジューリングシステムまたはテレメトリ要素の配置の兆候を含むネットワーク範囲内のノードを識別する必要がありました。 何を探すべきかを知っていれば、多くの標識に対してこれを行うことができます。 検索の可能な基準の1つは、SNMPプロトコルのポーリングの出力（使用可能な場合）です。 また、ネットワーク自体の内部で、管理パネルと組み込みのWebサーバーを介して、SCADA自体を見つけました-それはCascade-ACSでした。 このソフトウェアパッケージを調べた後、いくつかの脆弱性を特定しました。

1. KASKAD / Web_Clnt.dll / ShowPage？Web_Clnt.iniワークフロープロジェクトを使用したディレクトリの不正な読み取り。 それから、ベースへの完全なパスを見つけることができます：
   
   Project="C:\Program Files\Kaskad\Projects\KVisionDemoProject\kaskad.kpr"
   
   
   
   
2. ユーザー情報の開示KASKAD / Web_Clnt.dll / ShowPage？../../../ Projects / KVisionDemoProject / Configurator / Events.ini。
3. データベースへのパスワードとユーザーの読み取り：
   
   UserName=sysdba

Password= ( XOR' 0x1B)
   
   
   
   
4. サービス情報開示KASKAD / Web_Clnt.dll / ShowPage？../../../ Projects / KVisionDemoProject / Configurator / Stations.ini：
   
   ClntIPAdr1=127.0.01

= 3050
   
   
   
   
5. TCPポート3050「 \x00\x00\x00\x35\x4a\x4a\x4a\x4a\x4a\x4a\x4a\x4a\x4a\x4a\x4a\x4a\x4a
   
   
   
   」のソケットで記録することによるサービス拒否。 脆弱性は、Firebird DBMSの典型的なものです。
6. SCADAユーザーの不正な追加：
   
   INSERT INTO USERLIST (USERNAME, USERPASSW, NAME, GRPNAME, FULLNAME, FLAGS, FLAGS_, ALLOWTIME, REGISTERTIME, LASTENTERTIME, LASTPWDCHANGETIME, PWDKEEPPERIOD, STATIONS, DROPTIMEOUT, PSPRDACCESS, PSPWRACCESS, PSPRDACCESS_, PSPWRACCESS_) VALUES ('ITD', '745F87A6B56BACAB', 'itd', '', ', 3, null, null, '2002-01-30 13:11:36.0', '2002-01-30 13:11:36.0', '2002-01-30 13:11:36.0', 0, null, null, null, null, null, null);
   
   
   
   

SCADAパラメーター-アラームとアラートを開発するための多くのオプション

MODBUS'omシングルではありません！

MODBUSによって制御されるテレメトリノードを発見したので、作業を開始しました。 プロトコルを詳しく調べると、多くの興味深い機能を特定できます。

1. たとえば、PLCデバイスをリッスンオンリーモードにすることができます。 このモードでは、特定の時間間隔でコマンドの処理および実行からPLCを切断できます。これにより、システム全体がシャットダウンする可能性があります。 MODBUSアーキテクチャによると、1つのデバイス（マスター）のみが転送を開始（要求を作成）できます。 他のデバイス（スレーブ）は、メインデバイスから要求されたデータを送信するか、要求されたアクションを実行します。 一般的なホストデバイスには、ホスト（HOST）プロセッサとプログラミングパネルが含まれます。 典型的なスレーブはプログラマブルコントローラです。
   
   PLCデバイスは、ブロードキャスト要求を使用して特定のスレーブデバイスまたはすべてのスレーブデバイスに特別なパケットを送信することにより、「リッスンオンリー」モードに切り替えられます。 スレーブデバイスは、自分宛のリクエストに応じてメッセージを返します。 ブロードキャスト要求は応答を返しません。
2. もう1つの典型的な間違いは、プロトコルの実装とは何の関係もありませんが、産業用プロトコルで動作するデバイス側の入力データの誤った処理です。 開発者は、パッケージの最大サイズを制御することを忘れがちで、これがクラッシュにつながり、デバイスを混乱させます。 たとえば、有名なClearSCADAパッケージのModbus SCADAPackドライバーは、60〜260バイトのパケットを処理できます。 デバイスに何が起こるか、より本格的なパッケージを送信する場合は、自分で確認できます:)。
3. 同様の問題は、統合WebサーバーからFTPデーモンまで、通常のサービスおよびコントローラーで使用されるサービスの設計エラーです。 たとえば、有名なAppweb Embedded Web Serverは、Apache Benchmarking Tool（ab）によって生成されたフラッドを使用してクラッシュします。例：
   
   ab -n 1000 -c 50 xxx.xxx.xxx.xxx/index.html

-n –

-c –
   
   
   
   
4. 私はあなたと1つのshareなトリックを共有します。 MODBUSテレメトリーコントローラーの1つを無効にすると、管理者はパニックに陥り、コントローラーを再起動するために確実にそこに登り、管理パネルに移動してすべての設定を確認します。 ここでは、ARPスプーフィングを使用してLANセグメントのトラフィックをスニッフィングすることにより、パスワードを傍受できます。

問題があります

既存の規制の枠組みに関する問題は明らかです。特に産業用制御システムやSCADAなどの重要なシステムには、明確で明確な要件はありません。 最近、私たちの専門家が標準の技術仕様を発見し、商用電力計測の自動化された情報測定システムの1つ（AIIS KUE）での実装を発見しました。 開発者によって考慮されたロシア連邦のRD FSTECによると、不正アクセスに対する保護の要件は2Bです。 残念ながら、このクラスでは、保護違反の信号送信の試行、プログラム、ネットワークノード、通信チャネルなどへの被験者のアクセスの制御など、多くの問題が考慮されていません。 問題！

---

最も興味深い事件

自動プロセス制御システムの安全性に携わるロシアの会社STC "Stankoinformzaschita"は、2008〜2010年の外国の自動プロセス制御システムの情報セキュリティインシデントの分析を含む分析レポートを発行しました。 それらの最も興味深いもの：

2008年3月7日、ハッチ原子力発電所（米国ジョージア州）のブロック2、ソフトウェアアップデートのインストール後48時間の緊急シャットダウン（2006年にプログラム可能な緊急故障によりブラウンズフェリー原子力発電所で同様の事件が発生しました）実稼働ネットワークから異常な出力ネットワークトラフィックを受信した場合の論理コントローラー）;

2008年5月、テネシーバレー認証局（TVA）（エネルギー会社には11の石炭火力発電所、8つの火力発電所、3つの原子力発電所、29の米国水力発電所があります）、規制レビュー（GAO、HHS）により、さまざまな重大度の約2,000の脆弱性が明らかになりました。 セキュリティホールの中で、インターネットに接続された実稼働ネットワークのセグメント、アプリケーションソフトウェアの複数の脆弱性、セキュリティアップデートの欠如、ネットワークアーキテクチャおよびデータ交換チャネルの設計のエラーが特定されました。

2008年8月26日、米国連邦航空局のフライトプランニングセンター、3ダースのアメリカの空港のコントロールセンターは、フライトプランニングセンターでのコンピューターの誤動作の結果として無効になりました。



そのようなシステムへのハッカー侵入の多くの事実は、舞台裏に残っています。 大衆に逃れたものは特別な基盤に分類され、その一つがRISIです。

---

ハッカーマガジン、 7月（07）150

ユーリ・カミンコフ、STC「Stankoinformzashchita」



ハッカーを購読する

• 1 999 p。 12枚の用紙オプション
• 1249 RUR iOS / iPadの年間サブスクリプション（Androidリリースは近日公開予定！）
• Androidのハッカー