Enquête sur le vaste monde de la couverture ICS : Partie 2
Partager
La semaine dernière, nous avons expliqué comment nous avons ajouté l'analyse du port standard +/- 1, afin d'augmenter notre couverture ICS. Nous avons mentionné que nous avons examiné les trois ports les plus importants pour chaque protocole ICS, en nous attendant à ce qu'ils représentent le port standard, le port standard + 1 et le port standard - 1. Aujourd'hui, nous parlons des mesures de suivi qui ont découlé de cette découverte.
Le monde s'étend - Modifications du port de balayage
En étudiant les trois principaux ports pour chaque protocole ICS, nous avons constaté que l'un des ports les plus populaires pour les dispositifs Modbus était 6502 (qui est le chiffre 6 ajouté au port standard de 502). Cela nous a amenés à réfléchir à l'application de cette méthodologie générale à l'ensemble du système, que nous avons appelée "l'optimisation des ports": ajouter des numéros au début des ports bien connus (par exemple, les hôtes HTTPS sur 1443, 2443, 3443, et 4443).
Nous avons donc entrepris de tester l'existence des protocoles ICS sur les modifications de port. Sur la base des données déjà présentes dans notre plateforme, nous avions l'intuition que certains protocoles ICS étaient plus susceptibles de réagir aux modifications de port que d'autres, c'est pourquoi, au lieu de choisir un protocole ICS pour l'analyse de la preuve du concept, nous avons décidé de tous les étudier.
Ceci étant dit, nous ne voulions pas scanner l'ensemble de l'internet pour chaque modification de port possible - nous nous efforçons d'être des gestionnaires responsables de l'internet - à la place, nous nous sommes concentrés sur les hôtes dans Censys qui étaient actuellement étiquetés comme ICS (indiquant généralement qu'il y a une sorte d'interface basée sur HTTP) mais qui n'avaient pas de protocoles spécifiques à l'ICS (tels que Modbus ou DNP). Nous avons ciblé ces hôtes parce que leur désignation ICS suggère une plus grande probabilité de présence de protocoles ICS, même si nous ne connaissons pas les ports exacts sur lesquels ils sont actifs.
Nous avons ensuite appliqué notre méthode de modification des ports pour analyser ces hôtes, et les résultats ont révélé plus de deux cents hôtes avec des protocoles ICS non détectés auparavant. La plupart d'entre eux utilisaient Modbus et Fox, tandis qu'un plus petit nombre comprenait des services nouvellement identifiés utilisant d'autres protocoles.
C'est formidable ! Bien sûr, il n'y a pas de repos pour les méchants, et ces résultats nous ont amenés à sortir encore plus des sentiers battus. Nous avons constaté que les modifications de ports sont populaires pour certains protocoles ICS, mais pas pour la plupart des autres. Et s'il y avait d'autres points chauds de ports qui sont populaires pour les protocoles ICS mais qui ne sont pas des port tweaks ? Et si certains fournisseurs utilisaient par défaut un port ouvert qui n'a aucun rapport avec le port standard, et que nous ne le voyions pas du tout ?
Le monde est vaste - 65K Port Scans
Nous avons lancé une troisième et dernière expérience. Une fois de plus, nous analysons tous les hôtes étiquetés ICS mais sans protocole ICS sur l'ensemble des 65k ports. Comme nous voulons rester prudents et ne pas soumettre ces hôtes à de nombreuses demandes, nous filtrons tous les hôtes qui répondent à plus de cinq services dans notre ensemble de données (et qui sont donc susceptibles de répondre à de nombreux autres ports) et nous supprimons également les ports manifestement populaires (par exemple 80, 443, etc.). Nous effectuons ensuite des analyses ICS sur ces paires hôte/port et examinons pour chaque protocole quels sont les ports les plus réactifs.
| Protocole | Ports à haute fréquence de réponse |
| BACNET | 50123 |
| CMORE_HMI* | 81, 8686, 83, 34566 |
| DNP3* | 6626, 502, 10001 |
| EIP* | 4900, 3306, 44818 |
| FOX* | 8011, 3021, 1913, 103222 |
| MODBUS* | 552 |
| ROUGE-LION CRAMOISI | 4866, 8310 |
| WDBRPC | 111, 10000, 7700, 20002 |
Ce tableau montre les protocoles qui ont une forte concentration de réponses sur des ports spécifiques. Les protocoles marqués d'un astérisque (*) présentent une longue série de ports réactifs.
Nous ne répertorions que les protocoles qui ont obtenu plus de cinq réponses, ainsi que les ports où ils ont été les plus réactifs (que nous ne connaissions pas déjà auparavant). Si certains de ces résultats sont moins surprenants (DNP3 sur le port standard Modbus 502, Modbus sur 552), d'autres nous ont complètement pris au dépourvu (WDBRPC sur le port 111). N'oubliez pas qu'il s'agissait d'un balayage limité avec des hôtes réactifs à forte probabilité, et que cela ne fait qu'effleurer la surface de la découverte de l'emplacement des dispositifs ICS.
Redéfinir la norme en matière d'analyse ICS
Prenons un peu de recul. Ces résultats sont prometteurs, et nous travaillons actuellement sur les moyens de mettre en œuvre les résultats des mesures deux et trois dans notre pipeline. Plus important encore, ces résultats mettent en évidence un domaine de recherche riche et inconnu autour de l'analyse des ports non standard, et la nécessité de mettre à jour l'état de l'art. Beaucoup d'autres mesures et scanners ICS se concentrent uniquement sur le port standard. Cela ne peut pas être le cas si notre objectif est d'avoir une compréhension globale de l'Internet.
Cela nous amène à notre dernière énigme : comment trouver plus méthodologiquement les ports intéressants pour les différents protocoles, à la fois dans les SCI et de manière générale ? Comment pouvons-nous continuer à découvrir l'immensité de l'Internet sans constamment soumettre chaque hôte à un balayage de 65k ports ? Restez à l'écoute pour en savoir plus, car nous continuons à explorer les profondeurs inexplorées de l'internet.
