Erkundung der riesigen Welt der ICS-Abdeckung: Teil 1

Die Welt ist klein - Prüfung von Standard +/- 1 Ports

Eine Möglichkeit, nicht standardisierte Ports zu berücksichtigen, ist ein globaler IPv4 65k Port Walk. Angesichts der schieren Größe dieses Scans wird er jedoch über die Zeit verteilt und findet daher nicht alles sofort. Wir sind zwar nicht geneigt, den globalen 65k-Port-Walk zu ändern, aber wir können unsere dedizierten Scans so ändern, dass sie breitere Port-Scans in Bereichen von Interesse beinhalten und uns so erlauben, Hosts systematischer zu finden.

Die erste Frage lautet natürlich: "Welche Nicht-Standard-Ports beherbergen höchstwahrscheinlich Protokolle von Interesse? Anstatt mit einem 65K-Port-Scan zu beginnen, der viele Hosts auslöscht, beginnen wir mit einem sehr gezielten Fokus. Aufgrund von Anekdoten und Vorwissen haben wir Grund zu der Annahme, dass viele ICS-Protokolle auf ihrem Standard-Port +/- 1 gehostet werden (z. B. Modbus auf 501 und 503, obwohl sein Standard-Port 502 ist).

Eine Messung ist also geboren. Konkret wollen wir die Existenz eines ICS-Protokolls an seinem Standardanschluss (+/- 1) testen, um festzustellen, ob sich weitere Experimente lohnen. Wir wählen Automatic Tank Gauges (ATG) als das Protokoll, das uns interessiert, da es zwar nicht das am weitesten verbreitete ICS-Protokoll ist, aber dennoch zahlreich. Da der Standard-Port von ATG 10001 ist, führen wir einen einzigen Internet-Scan durch, um so viele Geräte wie möglich zu finden, die die Ports 10000 und 10002 geöffnet haben. Dann lassen wir unseren ATG-Protokollscanner gegen diese Hosts mit offenen Ports laufen und filtern nach erfolgreichen Scans und solchen, die auf ATG geantwortet haben. Von ~7K erfolgreichen Hosts, die irgendeine Art von Daten auf Protokollebene zurückliefern, stellen wir fest, dass ~1,3K auf diesen Nicht-Standard-Ports auf ATG reagieren, also fast 20 %!

In Anbetracht dieses Ergebnisses und der Daten in unserer Plattform, die nicht standardisierte Ports bei anderen ICS-Protokollen unterstützen, implementieren wir für alle ICS-Protokolle Standard-Port +/- Scanning. Anschließend analysierten wir, wie sich unsere Protokollabdeckung für diese ICS-Protokolle im Laufe der Zeit verändert, und stellten eine Zunahme bei einer Reihe von Protokollen fest, nämlich WDBRPC (~1,8x), DIGI (~2,8x), FINS (~1,9x). Auch bei BACNET, S7, IEC60870_05_104, OPC_UA, DNP3 und ATG wurde ein moderaterer Anstieg festgestellt.

Das ist ein enormer Anstieg und für uns sehr aufregend! Dabei haben wir auch untersucht, welches die drei wichtigsten Ports für jedes Protokoll waren. Natürlich würden wir erwarten, dass die drei größten Ports die Standard-Ports +/- 1 für jedes ICS-Protokoll sind, insbesondere angesichts dieser neuen Änderung unserer Scan-Methode. Das war jedoch nicht immer der Fall. Bleiben Sie dran für die nächste Woche, in der wir mehr darüber berichten werden, wie wir zwei zusätzliche Messungen durchgeführt haben und noch tiefer in die Welt der ICS-Abdeckung eingetaucht sind.

Anhang mit IKS-Beschreibungen: 

• ATG (Automatischer Tankanzeiger) wird zur Überwachung und Verfolgung des Tankinhalts (häufig Kraftstoff) im Laufe der Zeit verwendet.
• BACnet wird in erster Linie für die Gebäudeautomation und -steuerung verwendet, z. B. für HLK, Beleuchtung und Gebäudezugangskontrollen.
• CIMON PLC ermöglicht die Kommunikation mit der speicherprogrammierbaren Steuerung CIMON.
• C-more dient der C-more HMI, die dem Bediener die Überwachung und Interaktion mit industriellen Steuerungssystemen ermöglicht.
• CODESYS ist eine hardwareunabhängige Automatisierungssoftware, die zur Programmierung und Fehlersuche bei SPSen verwendet wird.
• DIGI wird verwendet, um vernetzte Geräte zu erkennen, häufig in industriellen Umgebungen.
• DNP3 (Verteiltes Netzwerkprotokoll 3) ist ein Kommunikationsprotokoll, das in den Stromversorgungssystemen Nordamerikas weit verbreitet ist.
• E/IP (Ethernet-Industrieprotokoll)wurde für den Einsatz in verschiedenen Automatisierungssystemen entwickelt. Dieses in CIP (Common Industrial Protocol) gekapselte Protokoll dient dem Datenaustausch zwischen verschiedenen Gerätetypen wie SPS, HMIs und Steuerungen.
• FINS (Werksschnittstellen-Netzwerkdienst) ist ein proprietäres Protokoll für industrielle Automatisierungsgeräte von Omron, insbesondere für von Omron hergestellte PLCs und HMIs.
• FOX wird für die Gebäudeautomatisierung und -steuerung verwendet, z. B. für die HLK und andere Facility-Management-Prozesse.
• GE SRTP (General Electric Service Request Transfer Protocol) erleichtert die Kommunikation zwischen GE PLCs und anderen Geräten.
• HART (Highway Addressable Remote Transducer) ist ein Open-Source-Protokoll, das analoge und digitale Kommunikation für industrielle Systeme kombiniert.
• IEC 60870-5-104 ist Teil der Normenreihe IEC 60870, die für Anwendungen in der Elektrotechnik entwickelt wurde.
• MMS (Fertigungsnachrichten-Spezifikation) überträgt Prozessinformationen zwischen vernetzten Geräten in industriellen Umgebungen.
• Modbus ermöglicht die Kommunikation zwischen PLCs, Sensoren und anderen Geräten in industriellen Umgebungen.
• OPC UA (Open Platform Communications Unified Architecture) ist ein Kommunikationsprotokoll, das die Interoperabilität zwischen Geräten verschiedener Hersteller betont
• PCOM ist ein proprietäres Kommunikationsprotokoll, das von Unitronics PLCs verwendet wird.
• PCWORX ist ein proprietäres Protokoll für die Kommunikation mit Phoenix Contact SPSen.
• ProConOS ist ein proprietäres Kommunikationsprotokoll, das von Systemen verwendet wird, auf denen das ProCon-Betriebssystem läuft.
• Red Lion Crimson ist ein Software- und Kommunikationsprotokoll, das für die Konfiguration der Red Lion HMI verwendet wird.
• S7 ist ein proprietäres Siemens-Protokoll, das für die Kommunikation zwischen HMIs und PLCs in einer automatisierten oder industriellen Umgebung verwendet wird.
• WDBRPC (Wind River Debug) ist ein Protokoll für das Echtzeitbetriebssystem (RTOS) VxWorks von Wind River.