Dò quét thông tin hệ thống ICS/SCADA bằng Nmap
Nmap (Network mapper) là một tiện ích mã nguồn mở và miễn phí dùng để khai thác thông tin mạng và kiểm tra bảo mật. Nmap sử dụng các kĩ thuật scan như TCP SYN scan, TCP CONNECT scan, UDP scan, TCP NULL, FIN, Xmas scan… nhằm xác định máy chủ nào có sẵn trên mạng, những dịch vụ nào (tên ứng dụng và phiên bản OS) đang hoạt động, những bộ lọc packet /Firewall nào đang sử dụng, các port nào đang mở và nhiều thông tin khác.
Những kẻ tấn công sử dụng các công cụ quét như Nmap để xác định các cổng đang mở và các dịch vụ đang chạy trên hệ thống được kết nối với mạng OT.
Hình 1. Các tùy chọn quét trên Nmap (nguồn nmap.org)
Dưới đây là các lệnh Nmap khác nhau được những kẻ tấn công sử dụng để liệt kê các cổng và dịch vụ đang mở của hệ thống ICS/SCADA:
- Xác định cổng và dịch vụ mở
nmap -Pn -sT --scan-delay 1s --max -llelism 1 -p 80, 102, 443, 502, 4840, 4843, 4911, 9600, 19999, 2000, 20547, 34962-34964, 34980, 44818, 46823, 46824, 55000-55003 <Target IP> 530, 593, 789, 1089-1091, 1911, 1962, 2222, 2404, 4000
Những kẻ tấn công sử dụng lệnh Nmap ở trên để thực hiện dò la nhằm xác định các giao thức ICS/SCADA đang hoạt động. Số cổng được liệt kê trong lệnh là số cổng thông dụng được sử dụng cho các giao thức ICS/SCADA.
- Xác định hệ thống HMI (Human-Machine Interface)
HMI là giao diện vận hành giữa người và máy thông qua PLC. Khi người vận hành tác động nhấn nút trên màn hình hoặc cài đặt thông số, yêu cầu sẽ được gửi đến PLC, PLC điều khiển máy móc dây chuyền hoạt động. Ngược lại, hệ thống máy móc dây chuyền có thể gửi trạng thái hoạt động hoặc thông số hiện tại lên màn hình HMI thông qua PLC giúp cho con người thực hiện quá trình giám sát và điều khiển.
Hình 2. Một giao diện HMI hệ thống SCADA điện lực (Nguồn. ResearchGate)
Ngoài ra còn các kiểu dò quét khác.
- Quét Siemens SIMATIC S7 PLCs
Kẻ tấn công sử dụng lệnh trên để phát hiện thiết bị PLC có mở cổng 102 hay không. Thiết bị PLC Siemens SIMATIC S7 sử dụng cổng 102 cho giao tiếp S7, được sử dụng để trao đổi thông tin giữa thiết bị PLC và hệ thống SCADA.
- Quét thiết bị Modbus
Giao thức Modbus RTU là một giao thức mở, sử dụng đường truyền vật lý RS-232 hoặc RS485 và mô hình dạng Master-Slave. Đây là một giao thức được sử dụng rộng rãi trong nhiều lĩnh vực như BMS (Building Management Systems), tự động hóa, công nghiệp, điện lực,....Modbus được coi là giao thức truyền thông hoạt động ở tầng "Application", cung cấp khả năng truyền thông Master/Slave giữa các thiết bị được kết nối thông qua các bus hoặc network. Trên mô hình OSI, Modbus được đặt ở lớp 7. Modbus được xác định là một giao thức hoạt động theo "hỏi/đáp" và sử dụng các "function codes" tương ứng để hỏi đáp.
- Quét thiết bị Niagara Fox
Niagara Fox là một giao thức được sử dụng cho giao tiếp máy-máy trong hệ thống quản lý tòa nhà (BMSS). Giao thức này hoạt động trên các cổng TCP 1911 và 4911. Kẻ tấn công thu thập thông tin như tên ứng dụng, phiên bản Java, hệ điều hành máy chủ, múi giờ, địa chỉ IP cục bộ và các phiên bản phần mềm.
- Quét thiết bị ProConOS
ProConOS là một hệ điều hành nhúng hiệu suất cao (high performance run-time engine) được sử dụng trên các thiết bị PLC. Những kẻ tấn công có thể sử dụng lệnh trên để liệt kê các thông tin như loại PLC, tên mã nguồn của dự án và các thông tin khác.
Những kẻ tấn công sử dụng các công cụ quét như Nmap để xác định các cổng đang mở và các dịch vụ đang chạy trên hệ thống được kết nối với mạng OT.
Hình 1. Các tùy chọn quét trên Nmap (nguồn nmap.org)
Dưới đây là các lệnh Nmap khác nhau được những kẻ tấn công sử dụng để liệt kê các cổng và dịch vụ đang mở của hệ thống ICS/SCADA:
- Xác định cổng và dịch vụ mở
nmap -Pn -sT --scan-delay 1s --max -llelism 1 -p 80, 102, 443, 502, 4840, 4843, 4911, 9600, 19999, 2000, 20547, 34962-34964, 34980, 44818, 46823, 46824, 55000-55003 <Target IP> 530, 593, 789, 1089-1091, 1911, 1962, 2222, 2404, 4000
Những kẻ tấn công sử dụng lệnh Nmap ở trên để thực hiện dò la nhằm xác định các giao thức ICS/SCADA đang hoạt động. Số cổng được liệt kê trong lệnh là số cổng thông dụng được sử dụng cho các giao thức ICS/SCADA.
- Xác định hệ thống HMI (Human-Machine Interface)
HMI là giao diện vận hành giữa người và máy thông qua PLC. Khi người vận hành tác động nhấn nút trên màn hình hoặc cài đặt thông số, yêu cầu sẽ được gửi đến PLC, PLC điều khiển máy móc dây chuyền hoạt động. Ngược lại, hệ thống máy móc dây chuyền có thể gửi trạng thái hoạt động hoặc thông số hiện tại lên màn hình HMI thông qua PLC giúp cho con người thực hiện quá trình giám sát và điều khiển.
Hình 2. Một giao diện HMI hệ thống SCADA điện lực (Nguồn. ResearchGate)
Ngoài ra còn các kiểu dò quét khác.
nmap –Pn –sT –p 46824 <Target IP>
Ví dụ trên là quét cổng TCP 46824. Lưu ý: một số nhà cung cấp cung cấp giao diện HMI hoạt động trên các cổng không phải là cổng ICS/SCADA thông dụng.- Quét Siemens SIMATIC S7 PLCs
Nmap –Pn –sT –p 102 –script s7 – info <taget IP>
Kẻ tấn công sử dụng lệnh trên để phát hiện thiết bị PLC có mở cổng 102 hay không. Thiết bị PLC Siemens SIMATIC S7 sử dụng cổng 102 cho giao tiếp S7, được sử dụng để trao đổi thông tin giữa thiết bị PLC và hệ thống SCADA.
- Quét thiết bị Modbus
Giao thức Modbus RTU là một giao thức mở, sử dụng đường truyền vật lý RS-232 hoặc RS485 và mô hình dạng Master-Slave. Đây là một giao thức được sử dụng rộng rãi trong nhiều lĩnh vực như BMS (Building Management Systems), tự động hóa, công nghiệp, điện lực,....Modbus được coi là giao thức truyền thông hoạt động ở tầng "Application", cung cấp khả năng truyền thông Master/Slave giữa các thiết bị được kết nối thông qua các bus hoặc network. Trên mô hình OSI, Modbus được đặt ở lớp 7. Modbus được xác định là một giao thức hoạt động theo "hỏi/đáp" và sử dụng các "function codes" tương ứng để hỏi đáp.
- Quét thiết bị Niagara Fox
Niagara Fox là một giao thức được sử dụng cho giao tiếp máy-máy trong hệ thống quản lý tòa nhà (BMSS). Giao thức này hoạt động trên các cổng TCP 1911 và 4911. Kẻ tấn công thu thập thông tin như tên ứng dụng, phiên bản Java, hệ điều hành máy chủ, múi giờ, địa chỉ IP cục bộ và các phiên bản phần mềm.
- Quét thiết bị ProConOS
ProConOS là một hệ điều hành nhúng hiệu suất cao (high performance run-time engine) được sử dụng trên các thiết bị PLC. Những kẻ tấn công có thể sử dụng lệnh trên để liệt kê các thông tin như loại PLC, tên mã nguồn của dự án và các thông tin khác.
Chỉnh sửa lần cuối bởi người điều hành: