Thu thập thông tin về mạng OT bằng Shodan

Thảo luận trong 'Infrastructure security' bắt đầu bởi nktung, 11/05/21, 11:05 AM.

  1. nktung

    nktung Super Moderator Thành viên BQT

    Tham gia: 08/10/13, 04:10 AM
    Bài viết: 899
    Đã được thích: 372
    Điểm thành tích:
    83
    Ở bài viết Phương thức kẻ gian tấn công hệ thống OT, bước đầu tiên là thu thập thông tin về mạng OT mà có kết nối ra Internet. Một trong những công cụ hiệu quả nhất cho việc dò quét thu thập thông tin trên Internet là Shodan.
    Shodan là công cụ tìm kiếm và lưu trữ thông tin của tất cả những thiết bị có kết nối internet mà nó quét được. Sau khi quét một thiết bị thì Shodan hiển thị một banner gồm tên thiết bị, phiên bản firmware,... và banner này lưu vào Shodan database. Do đó bất kỳ ai search với từ khóa là phiên bản của thiết bị, tên thiết bị ... các thiết bị liên quan sẽ hiện lên trên kết quả tìm kiếm. Phạm vi dò quét của Shodan là tất cả các quốc gia trên thế giới và database được cập nhật liên tục. Shodan hỗ trợ nhiều tìm kiếm tùy chọn và các API giúp truy xuất dữ liệu một cách dễ dàng thuận tiện nhất.

    upload_2021-5-11_11-2-47.png
    Hình ảnh tìm kiếm với từ khóa SCADA trên Shodan

    Sau đây là những thông tin tìm kiếm liên quan đến hệ thống OT:
    • Xác định hệ thống sử dụng số cổng:
    Hệ thống ICS/SCADA sử dụng nhiều giao thức như MODBUS port 502, Fieldbus port 1089- 91, DNP port 19999, Ethernet/IP port 2222, DNP3 port 20000, PROFINET port 34962-64 và EtherCAT port 34980. Phát hiện các cổng mà các hệ thống này hoạt động cho phép kẻ tấn công xác định các hệ thống SCADA.
    Ví dụ: nhập từ khóa port 502 vào ô tìm kiếm Shodan sẽ cho ra kết quả như hình bên dưới. Chúng ta có thể thấy được địa chỉ IP của thiết bị đang mở cổng 502, tên công ty sở hữu, quốc gia, ngày Shodan lưu vào database, các dịch vụ mạng đang mở.

    upload_2021-5-11_11-12-24.png
    • Xác định hệ thống sử dụng tên hãng sản xuất
    Kẻ tấn công cũng có thể khám phá hệ thống thông qua số phiên bản, tên PLC hoặc tên nhà sản xuất. Ví dụ, Schneider Electric, ABB, Siemens... là công ty chuyên sản xuất các thiết bị ngành công nghiệp liên quan đến hệ thống ICS. Kẻ tấn công có thể dò quét theo tên công ty như sau:

    upload_2021-5-11_11-20-40.png

    Như hình trên sử dụng từ khóa Siemens có thể quét ra được kết quả đầu tiên là thiết bị PLC dòng S7-300 có địa chỉ IP và quốc gia là Hungary, và nhiều thông tin khác

    • Tìm kiếm hệ thống dựa trên vị trí địa lý
    Ví dụ muốn tìm hệ thống SCADA tại Việt Nam đang kết nối Internet có thể nhập vào từ khóa như trên. Kết quả thu được là các thông tin về thiết bị trong hệ thống SCADA

    upload_2021-5-11_11-24-32.png
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan