Erkundung der riesigen Welt der ICS-Abdeckung: Teil 2
Teilen Sie
Letzte Woche haben wir besprochen, wie wir Standardport +/- 1 Scanning hinzugefügt haben, um unsere ICS-Abdeckung zu erhöhen. Wir erwähnten, dass wir die drei größten Ports für jedes ICS-Protokoll untersuchten, wobei wir davon ausgingen, dass sie den Standard-Port, den Standard+1-Port und den Standard-1-Port darstellen. Heute sprechen wir über die Folgemessungen, die sich aus dieser Erkenntnis ergeben haben.
Die Welt erweitert sich - Tweaks für den Scan-Port
Bei der Untersuchung der drei wichtigsten Ports für die einzelnen ICS-Protokolle stellten wir fest, dass einer der am meisten genutzten Ports für Modbus-Geräte 6502 ist (die Zahl 6 vor dem Standardport 502). Dies hat uns dazu veranlasst, über die Anwendung dieser allgemeinen Methodik nachzudenken, die wir als "Port-Zwischenschaltung" genannt haben: das Voranstellen von Zahlen vor bekannte Ports (z. B. HTTPS-Hosts auf 1443, 2443, 3443 und 4443).
Daher haben wir uns vorgenommen, die Existenz von ICS-Protokollen bei Port-Tweaks zu testen. Auf der Grundlage der Daten in unserer Plattform hatten wir bereits eine Vermutung, dass einige ICS-Protokolle eher auf Port-Tweaks reagieren als andere, also haben wir nicht ein ICS-Protokoll für eine Proof-of-Concept-Analyse ausgewählt, sondern alle untersucht.
Wir wollten jedoch nicht das gesamte Internet nach allen möglichen Ports durchsuchen - wir wollen verantwortungsbewusste Internetverwalter sein -, sondern haben uns auf Hosts in Censys konzentriert, die derzeit als ICS gekennzeichnet sind (was in der Regel bedeutet, dass es eine Art HTTP-basierte Schnittstelle gibt), aber keine ICS-spezifischen Protokolle (wie Modbus oder DNP) haben. Wir haben uns auf diese Hosts konzentriert, weil ihre ICS-Bezeichnung eine höhere Wahrscheinlichkeit für das Vorhandensein von ICS-Protokollen nahelegt, auch wenn wir die genauen Ports, auf denen sie aktiv sind, nicht kennen.
Wir haben diese Hosts dann mit unserer Methode zur Portoptimierung gescannt, und die Ergebnisse zeigten über zweihundert Hosts mit zuvor unentdeckten ICS-Protokollen. Die meisten von ihnen nutzten Modbus und Fox, während eine kleinere Anzahl neu identifizierte Dienste mit anderen Protokollen enthielt.
Das ist großartig! Natürlich gibt es keine Ruhe für die Gottlosen, und diese Ergebnisse veranlassten uns, noch mehr über den Tellerrand zu schauen. Wir haben festgestellt, dass Port-Tweaks bei einigen ICS-Protokollen beliebt sind, bei den meisten anderen jedoch nicht. Was ist, wenn es andere Hotspots von Ports gibt, die für ICS-Protokolle beliebt sind, aber keine Port-Tweaks sind? Was ist, wenn einige Hersteller standardmäßig einen offenen Port verwenden, der nichts mit dem Standardport zu tun hat, und wir ihn völlig übersehen?
Die Welt ist riesig - 65K Port Scans
Wir haben ein drittes und letztes Experiment gestartet. Auch hier scannen wir alle Hosts mit ICS-Kennzeichnung, aber ohne ICS-Protokoll über alle 65k Ports. Da wir konservativ bleiben und diese Hosts nicht mit zahlreichen Anfragen überhäufen wollen, filtern wir alle Hosts heraus, die auf mehr als fünf Dienste in unserem Datensatz reagieren (und damit wahrscheinlich auch auf viele andere Ports), und entfernen auch besonders beliebte Ports (z. B. 80, 443 usw.). Anschließend führen wir ICS-Scans gegen diese Host/Port-Paare durch und untersuchen für jedes Protokoll, welche Ports am häufigsten reagieren.
| Protokoll | Häfen mit hoher Frequenz der Reaktion |
| BACNET | 50123 |
| CMORE_HMI* | 81, 8686, 83, 34566 |
| DNP3* | 6626, 502, 10001 |
| EIP* | 4900, 3306, 44818 |
| FOX* | 8011, 3021, 1913, 103222 |
| MODBUS* | 552 |
| PURPURROTER LÖWE | 4866, 8310 |
| WDBRPC | 111, 10000, 7700, 20002 |
Diese Tabelle zeigt Protokolle, die eine hohe Konzentration von Antworten auf bestimmten Ports aufweisen. Protokolle mit einem Sternchen (*) hatten einen langen Schwanz von antwortenden Ports.
Wir listen nur die Protokolle auf, die mehr als fünf Antworten hatten, und geben auch die Ports an, auf die sie am häufigsten reagierten (und die wir vorher noch nicht kannten). Während einige dieser Ergebnisse weniger überraschend sind (DNP3 auf Modbus Standard Port 502, Modbus auf 552), haben uns einige völlig aus der Bahn geworfen (WDBRPC auf Port 111). Denken Sie daran, dass es sich um einen begrenzten Scan mit mit hoher Wahrscheinlichkeit ansprechbaren Hosts handelte, so dass dies nur die Oberfläche der Aufdeckung von ICS-Geräten ankratzt.
Neudefinition des Standards für ICS-Scans
Lassen Sie uns einen Schritt zurückgehen. Die Ergebnisse sind vielversprechend, und wir arbeiten derzeit an Möglichkeiten, die Erkenntnisse aus Messung zwei und drei in unsere Pipeline zu implementieren. Noch wichtiger ist jedoch, dass diese Ergebnisse auf ein reichhaltiges, unbekanntes Forschungsgebiet im Bereich des Scannens von Nicht-Standard-Ports und auf die Notwendigkeit hinweisen, den aktuellen Stand der Technik zu aktualisieren. Viele andere ICS-Messungen und -Scanner konzentrieren sich nur auf den Standard-Port. Das kann nicht der Fall sein, wenn unser Ziel ein umfassendes Verständnis des Internets ist.
Dies bringt uns zu unserem letzten Rätsel: Wie finden wir methodisch interessantere Ports für verschiedene Protokolle, sowohl in ICS als auch allgemein? Wie können wir weiterhin die Weiten des Internets aufdecken, ohne ständig jeden Host mit einem 65k-Port-Scan zu überziehen? Bleiben Sie dran, wenn wir weiter in die unerforschten Tiefen des Internets vordringen.
