酷帥王子'blog-

对电厂生产控制网络的一次漫游(针对工控网络的小型APT攻击)

2022-3-31 3:54 作者:酷帥王子 | 工控物联网车联网安全 |

发散一下思路,攻击入口多多,又一次的从外网到内网的实例,其中又见南京科远的应用,最后达到的效果是可以直接操作多个Modbus TCP Slave子站,当然改数据什么的都是小事情,后面的你懂的,个 人认为针对工控系统的攻击一般都是对来源的实时数据做溯源挖掘,因为数据是直接来自于设备的,随着现在信息化的建设,常规下我们在WEB界面看到的实时数据其实一般经过了多次转发,环顾时下工控安全环境,还是太浮于表面,工控安全厂商层面现在的氛围还是很好的,但是针对实际的用户还是不以为然,现在软,硬,实例一起搞还不给个闪电?

详细说明:

根据对内网摸查,排除了未知的网络部分,这里简单绘制已经完全了解的如下图的拓扑:

.jpg


其实该拓扑也是早期网络中最常见的形式,如果现在看图说话,那按照位置的话在mis和sis中间的实时数据库就相当于以前堡垒机了.
有了拓扑都不想打太多字了,下面简单说一下每一步的操作步骤和往下撸的思路供大家参考
1、当时的入口选择的还是企业的公司官网,拿下了网站的shell,至于怎么找这种企业,个人感觉可以找网上的应用、成功案例、案例展示等熟悉企业应用,当然这么说是准备着长期APT了,其实讲个笑话很多集成商企业在发布成功案例时就有可能手滑了没打码,好吧如果存活的话,这就是一个入口了,在我之前的案例中基本都是这样确定了目标,而且还是屡见不鲜。
2、以这个案例来说,危险的是他的服务是直接在内网做的WEB发布,而没有租用虚拟主机,我相信这种企业其实不在少数。

0.jpg


3、如何撸WEB这块就直接省略了,现在都忘了是怎么拿下的shell,因为shell趟了太常时间,web服务器这块因为是IIS支持asp和asp.net,当时环境下可以运行程序,提权的话用的方式是可以getpass直接读内存中的登录密码或者直接用程序提权加用户,个人做法是直接读登录密码,一般拿到的密码其实能通关很多服务器,其实这步最关键。

0.1.jpg


4、拿下web服务器知道了系统常用的密码,这时又到了最上面的内网,就可以在内网开撸了,根据网络连接,服务基本可以先确认一部分子网。

1.jpg


5、如下图确认了一台没有密码的XP疑似办公机,遍历此网段服务,发现多个网络摄像头web监控界面,不知道是否与泵房部门有关系,能判断是办公网是因为,存活主机远程桌面显示清一色为XP,推测192.168.10*.0类型网段应该是不同部门使用,

2.jpg


6、翻查办公机的浏览记录确认了几台应用服务器地址,因为浏览器的下拉菜单中记录了几个曾经登录过的的用户名,这确认多个用户名和一个用户的弱口令,基本确认为管理员权限

3.jpg


4.jpg


5.jpg


7、在内网环境又确认了多台应用服务器,包含科远的sis监控服务器,这里确认主机房监控等正好与之前的存活IP相符

6.jpg


7.jpg


8、关键的来了,得到了SIS监控的地址,这时就着数据源就可以找到下面的设备了

7.jpg


9、其实要放大攻击面也就需要拿下SIS监控的实时数据库,至于怎么搞,那就请看前面的案例吧,要不社社社。

8.jpg


9.jpg


10、到这里基本确定了已经身处生产网络当中,这里再次确认了存活性和几个简单的服务,例如通过指纹信息发现赫斯曼的交换机和modbus子站。

10.jpg


11、如何确认是真实的modbus slave从站控制设备?而不是别的系统转发的的数据呢,基本可以通过telnet系统开饭端口判断139 135 等系统端口是否开放这样排除.

12.jpg


111.jpg


12、到这里攻击者想下置修改数据,亦或是直接让其拒绝服务这都不是事儿。

漏洞证明:

综上所属

文章作者:酷帥王子
文章地址:https://2k8.org:443/post-341.html
版权所有 © 转载时必须以链接形式注明作者和原始出处!

发表评论:



Powered by 酷帥王子

CopyRight © 2009-2016 酷帥王子'blog.  All rights reserved.