如何利用蜜罐模拟 IEC-104 基础设施变电站的网络攻击?

admin 2024年4月19日23:29:27评论11 views字数 951阅读3分10秒阅读模式

安装Conpotlinux系统中,如何安装可以参考https://conpot.readthedocs.io/en/latest/installation/quick_install.html

1.设置 IEC-104 模板

启动虚拟 Linux 环境。

使用命令启动 Conpot conpot -f --template IEC104

确保 Conpot 和攻击者机器之间的虚拟网络通信。

2.探索目标

使用 Nmap进行扫描以查找开放的 tcp 端口:

如何利用蜜罐模拟 IEC-104 基础设施变电站的网络攻击?

显示的命令扫描所有 65535 tcp 端口,并显示 22/tcp 2404/tcp 已打开。 2404/tcp端口上的服务表示IEC-104协议。下一步是指纹识别。利用带有 iec-identify.nse 的脚本引擎,从目标中提取更多信息:

如何利用蜜罐模拟 IEC-104 基础设施变电站的网络攻击?

显示的命令在端口 2404 上运行脚本,显示重要信息,例如应用程序服务数据单元 (ASDU) 地址 7720,这对于后续交互至关重要。

Metasploit框架

现在配备了 ASDU,转向 Metasploit 框架进行进一步探索。加载iec-client模块,配置必要的参数来与目标建立通信:

use auxiliary/client/iec104

set RHOSTS <target_ip>

set ASDU 7720

这些命令选择并配置 iec104 客户端模块,设置从侦察阶段获得的目标 IP 地址 (RHOSTS) ASDU 地址。

如何利用蜜罐模拟 IEC-104 基础设施变电站的网络攻击?

配置模块后,启动对目标的询问,以从信息对象中检索重要数据。执行命令 100(模块的默认设置)会触发询问过程,检索基础设施变电站内所有信息对象中存储的所有数据。

劫持信息对象

为了演示未经授权的访问的潜在影响,模拟了对信息对象的操作。用新值覆盖特定对象(例如,信息对象 3370)的内容:

set COMMAND_ADDRESS 3370

set COMMAND_TYPE 45

set COMMAND_VALUE 1

这些命令将模块配置为以信息对象 3370 为目标,并用值“1”覆盖其内容,展示了篡改 IOA 3370 中存储的数据的能力。

如何利用蜜罐模拟 IEC-104 基础设施变电站的网络攻击?

对工控安全的影响

通过蜜罐展示了电力网络攻击IEC-104协议,以及攻击者是如何攻击电力网络。同时建议实施网络分段和持续监控等策略可以有效减轻相关风险。

原文始发于微信公众号(IRTeam工业安全):如何利用蜜罐模拟 IEC-104 基础设施变电站的网络攻击?

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年4月19日23:29:27
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   如何利用蜜罐模拟 IEC-104 基础设施变电站的网络攻击?https://cn-sec.com/archives/2645451.html

发表评论

匿名网友 填写信息