Investigando el vasto mundo de la cobertura ICS: Parte 2
Compartir
La semana pasada, discutimos cómo añadimos el escaneo de puerto estándar +/- 1, con el fin de aumentar nuestra cobertura ICS. Dejamos mencionando que examinamos los tres puertos más grandes para cada protocolo ICS, esperando que representaran el puerto estándar, el puerto estándar + 1 y el puerto estándar - 1. Hoy hablamos de las mediciones de seguimiento derivadas de este hallazgo.
El mundo se expande - Ajustes en los puertos de exploración
Al investigar los tres puertos principales para cada protocolo ICS, descubrimos que uno de los más poblados para dispositivos Modbus era el 6502 (que es el número 6 añadido al puerto estándar 502). Esto nos llevó a pensar en aplicar esta metodología general en todos los ámbitos, que hemos denominado "ajuste de puertos"añadiendo números a los puertos conocidos (por ejemplo, hosts HTTPS en 1443, 2443, 3443 y 4443).
Así pues, nos propusimos probar la existencia de protocolos ICS en los ajustes de puertos. Basándonos ya en los datos de nuestra plataforma, teníamos la corazonada de que era más probable que algunos protocolos ICS respondieran a los pellizcos de puertos que otros, así que en lugar de elegir un protocolo ICS como análisis de prueba de concepto, nos propusimos investigarlos todos.
Dicho esto, no queríamos escanear todo Internet en busca de cada posible ajuste de puerto - nos esforzamos por ser administradores responsables de Internet - en su lugar, nos centramos en los hosts en Censys que estaban actualmente etiquetados como ICS (por lo general indica que hay algún tipo de interfaz basada en HTTP), pero carecían de cualquier protocolo específico ICS (como Modbus o DNP). Nos centramos en estos hosts porque su designación ICS sugiere una mayor probabilidad de que los protocolos ICS estén presentes, a pesar de que no sabemos los puertos exactos en los que están activos.
A continuación, aplicamos nuestro método de ajuste de puertos para escanear estos hosts, y los resultados revelaron más de doscientos hosts con protocolos ICS previamente no detectados. La mayoría de ellos ejecutaban Modbus y Fox, mientras que un número menor incluía servicios recién identificados que utilizaban otros protocolos.
Es fantástico. Por supuesto, no hay descanso para los malvados, y estos resultados nos llevaron a pensar aún más fuera de la caja. Descubrimos que los ajustes de puertos son populares para algunos de los protocolos ICS y no para la mayoría de los demás. ¿Y si hay otros puntos calientes de puertos que son populares para los protocolos ICS pero no son ajustes de puertos? ¿Y si algunos vendedores utilizan por defecto algún puerto abierto que no tiene relación con el puerto estándar, y nos lo estamos perdiendo por completo?
El mundo es vasto - 65.000 escaneos de puertos
Lanzamos un tercer y último experimento. De nuevo, escaneamos todos los hosts con la etiqueta ICS pero sin protocolo ICS a través de los 65k puertos. Como queremos ser conservadores y no saturar estos hosts con numerosas peticiones, filtramos todos los hosts que responden a más de cinco servicios en nuestro conjunto de datos (y por lo tanto es probable que respondan a muchos otros puertos) y también eliminamos los puertos abiertamente populares (por ejemplo, 80, 443, etc.). A continuación, ejecutamos escaneos ICS contra estos pares de host/puerto y examinamos para cada protocolo cuáles son los puertos más sensibles.
| Protocolo | Puertos con alta frecuencia de respuesta |
| BACNET | 50123 |
| CMORE_HMI* | 81, 8686, 83, 34566 |
| DNP3* | 6626, 502, 10001 |
| EIP* | 4900, 3306, 44818 |
| FOX* | 8011, 3021, 1913, 103222 |
| MODBUS | 552 |
| REDLION CARMESÍ | 4866, 8310 |
| WDBRPC | 111, 10000, 7700, 20002 |
Esta tabla muestra los protocolos que tuvieron una alta concentración de respuestas en puertos específicos. Los protocolos con un asterisco (*) tenían una larga cola de puertos que respondían.
Enumeramos sólo los protocolos que tuvieron más de cinco respuestas, y también los puertos en los que más respondieron (que no conociéramos de antemano). Mientras que algunos de estos resultados son menos sorprendentes (DNP3 en el puerto estándar Modbus 502, Modbus en el 552), otros nos sorprendieron por completo (WDBRPC en el puerto 111). Recuerde que se trataba de un escaneo limitado con hosts de alta probabilidad de respuesta, por lo que esto sólo araña la superficie de descubrir dónde viven los dispositivos ICS.
Redefinición de la norma para la exploración de ICS
Demos un paso atrás. Estos resultados son prometedores, y actualmente estamos trabajando en formas de implementar los hallazgos de las mediciones dos y tres en nuestro pipeline. Y lo que es más importante, estos resultados apuntan a un área de investigación rica y desconocida en torno al escaneado de puertos no estándar, y a la necesidad de actualizar el estado de la técnica. Muchas otras mediciones y escáneres de ICS se centran únicamente en el puerto estándar. Este no puede ser el caso si nuestro objetivo es tener una comprensión global de Internet.
Esto nos lleva a nuestro enigma final: ¿Cómo podemos encontrar más metodológicamente puertos de interés para diferentes protocolos, tanto en ICS como también en general? ¿Cómo podemos seguir descubriendo la inmensidad de Internet sin tener que atacar constantemente cada host con un escaneo de puertos de 65k? Permanezca atento para saber más a medida que nos adentramos en las profundidades inexploradas de Internet.
