一、概述
本文章结合作者在资产探测、入侵检测、网络攻防、蜜罐研究相关工作中大量实践,在此对工控蜜罐识别与反识别的技术进行研究与应用实践与大家进行分享与探讨。
工控蜜罐通常指非真实工控设备,通常指应用服务、仿真程序等,比如服务蜜罐包括conpot、openplc、CryPLH2、仿真程序包括modbus tester、Mod Rssim、snap7、opendnp3、qtester104、DNP3_testhaness、EtherNetIP Virtual等。
二、蜜罐介绍
蜜罐是一种软件应用系统,用来称当入侵诱饵,诱导黑客前来攻击。攻击者入侵系统后,通过监测与预计分析,就可以知道他是如何入侵的,随时了解针对系统发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系,收集黑客所用的种种工具,并且掌握他们的社交网络。
蜜罐系统以伪装技术为基础,在用户内部网络中部署与真实资产相似的“陷阱”(蜜罐节点),当攻击者通过外部安全防御系统的缺陷渗透进入到内部网络时,通常需要搜索网络内部的资产,以此找到对攻击者而言有价值的目标。蜜罐节点自身的伪装性能够欺骗攻击者,当攻击者将蜜罐节点作为攻击目标时, 蜜罐节点能够第一时间感知并汇报安全事件,具体包括:蜜罐节点会记录攻击者的所有行为,系统也会产生告警,通知安全运营管理人员。蜜罐节点会诱骗攻击者将其他蜜罐节点作为后续的攻击目标, 所有蜜罐节点将组成“陷阱”网络,延缓了攻击时间,使得蜜罐系统能够记录更多的攻击信息,分析潜在威胁。
(1)蜜罐种类
蜜罐可以分为数据库蜜罐、web蜜罐、服务蜜罐、工控蜜罐及端点蜜罐,各种蜜罐对应的相关产品如下图所示:
(2)常见蜜罐及地址
T-pot蜜罐是一种融合了多种开源蜜罐服务的汇总,其中包括工控蜜罐conpot,所有蜜罐采用docker容器化方式部署与管理,关于T-pot的安装和使用可以参考freebuf相关文章,下图是T-pot蜜罐使用的系统架构图。
(3)现有工控蜜罐缺陷
目前互联网上部署了大量的工控蜜罐,大多都是基于conpot蜜罐和仿真服务程序。这些蜜罐基本属于中低交互形式,蜜罐指纹特征通用、部署在云服务器上或者企业直接通过端口映射方式接入到互联网。
三、蜜罐识别方法
首先在192.168.10.100(windows安装仿真器)及192.168.10.122(linux安装部署openplc、conpot、tpot蜜罐仿真服务),安装方法可以参考freebuf相关文章。
(1)IP地址识别
一般工控设备如plc、dcs、rtu等很少直接暴