Thu thập thông tin về hệ thống ICS/SCADA bằng NetworkMiner

Thảo luận trong 'Infrastructure security' bắt đầu bởi nktung, 13/09/21, 11:09 AM.

  1. nktung

    nktung Super Moderator Thành viên BQT

    Tham gia: 08/10/13, 04:10 AM
    Bài viết: 906
    Đã được thích: 380
    Điểm thành tích:
    83
    Đối với hệ thống ICS/SCADA, nếu sử dụng các công cụ dò quét mạng để discover các thông tin về thì rất dễ tạo ra một cuộc tấn công DoS, làm ngưng trệ hoạt động của hệ thống đó. NetworkMiner thu thập thông tin mà không cần tạo ra lưu lượng dò quét mà thực hiện kỹ thuật “passive network sniffing” và “packet capturing”. Sau đó dựa trên các thông tin thu thập được, NetworkMiner sẽ phân tích để có được các thông tin về hệ thống ICS/SCADA.
    NetworkMiner là công cụ giám sát mạng, mã nguồn mở dành cho hệ điều hành Window. Công cụ này cũng được hỗ trợ để cài đặt trên Linux, Mac OS X và FreeBSD. Có hai phiên bản miễn phí và pro (có trả phí) để lựa chọn, trong đó, phiên bản trả phí có tính năng cho phép tìm kiếm trực tuyến thông tin về địa chỉ IP mà máy chủ (cài networkminer) đang có kết nối tới.
    Những tính năng chính của NetworkMiner:
    - Giám sát mọi gói tin trao đổi ra/vào máy chủ, trong đó cho phép phát hiện ảnh, các file dữ liệu và tài khoản đăng nhập.
    - Dữ liệu hiển thị trực quan
    - Dung lượng nhẹ
    upload_2021-9-13_11-35-44.png
    Hình 1. Thông tin tại tab Host trong giao diện NetworkMiner​
    Như hình trên, máy chủ cài NetworkMiner đang có có kết nối với các địa chỉ IP bên ngoài. Thông tin về từng địa chỉ IP (tên máy chủ, hệ điều hành, cổng, phiên…) sẽ được gộp chi tiết vào một node, chỉ cần click vào là xem được các thông tin chi tiết. Chính vì cách bố trí thông tin này mà NetworkMiner tiện dụng trong việc phân tích máy chủ C&C (Command & Control) hay khi kiểm soát lưu lượng truy cập từ mạng lưới botnet. Tại hình trên ta còn thấy được các thông tin về địa chỉ MAC, các cổng dịch vụ của máy tính ở xa. Toàn bộ các thông tin này có thể được xuất ra file excel để thống kê, phân tích nhằm phát hiện sự bất thường..
    Tại tab Files trong NetworkMiner cho phép trích xuất và lưu các tập tin được chuyển giao qua mạng, từ các trang Web chia sẻ trực tuyến, được thực hiện trên các giao thức FTP, TFTP, HTTP và SMB.
    upload_2021-9-13_11-36-47.png
    Hình 2. Thông tin tại tab Files trong giao diện NetworkMiner​
    Tại tab Credentials của NetworkMiner có thể thu thập thông tin người dùng gồm tài khoản đăng nhập và mật khẩu, kể cả thông tin người dùng sử dụng cho các dịch vụ trực tuyến phổ biến như Gmail hay Facebook. Tab Keyword cho phép tìm kiếm bằng các từ khóa. Các báo cáo cũng có thể được chuyển sang các tập tin HTML, TXT, Javascript,...Tab Anomalies giúp phát hiện các hiện tượng khả nghi và các sự cố có thể xảy ra đối với hệ thống mạng, giúp admin phòng tránh và xử lý kịp thời.
     
    Chỉnh sửa cuối: 13/09/21, 02:09 PM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan