Part1沙盘推演演练目的

针对A市供电局可能存在的安全风险开展沙盘推演，发现防护中可能存在的薄弱点，并采取相应的防护措施以降低风险，帮助提升安全整体事件应急响应效率、全体员工安全意识，协助建设纵深防御体系。

Part2沙盘推演初步场景制定

参与人员：X攻击队、A市供电局网络与信息安全防护中心

推演时间：2023年3月6日星期一

沙盘推演规则：

X攻击队作为攻击方，以攻击者的视角，先提出攻击思路。A市供电局网络与信息安全防护中心作为防守方应对，针对攻击方提出的攻击思路，对X队的攻击进行研判分析并开展防守策略的研讨与部署。

Part3攻击方

演练场景：物联网平台沙盘攻击

场景描述：攻击者通过事先的踩点，确定了部分部署在公共区域的物联网设备。

攻击路径：如下图

物联网平台攻击链：

1.使用近源攻击的方式，通过户外摄像头网络接口对内网进行扫描探测，获取内网信息。

2.利用未做升级处理和打补丁的某康摄像头所存在的rce_漏洞，获取到了不受限制的root shell (/bin/sh)权限，拿下此台终端，并建立代理转发使得此台终端沦陷为专门向内网横向的傀儡机。

3.通过把摄像管理终端当做流量转发的傀儡机，去对物联网管理平台web登陆进行密码枚举，发现大量默认口令，并成功登陆该平台。

Part4防守方：针对攻击方的攻击路径的防守策略

1.开启主机防火墙白名单，针对特定源IP只能访问主机的特定服务端口。非必要的服务与端口禁止对外访问；

2.IP频繁注册，程序会对IP进行记录，阻止该IP的频繁注册，该IP可在日志文件中查到；

3.注册密码校验，摄像机注册时需要对摄像机的密码进行校验，如果校验不正确则不允许其他的操作，摄像机校验不正确可在日志文件中查到；

4.平台管理的web服务与设备注册服务分开。且平台管理web服务只允许公司办公终端访问，严禁设备IP访问。物联网管理平台web使用强密码，并开启审计功能，定期核查异常登录情况。

Part5沙盘推演发现存在问题

1.对于设备紧急或临时下线的情况，平台维护人员与设备接入侧沟通不足，导致白名单的配置没能及时更新。以后加强与设备侧人员沟通。

平台运维人员与研发技术人员的沟通不足，需要建立高效的信息共享渠道。不断完善沟通机制，加强工作效率。

Part6制定巡检内容支持防守策略

1.检查防火墙白名单策略状态及设置是否正常，当设备上下线及时更新防火墙白名单；

2.巡检服务器日志，检查是否有IP存在频繁注册等异常情况，对发现异常情况的IP进行访问限制；

3.检查物联网平台资源（CPU、内存、磁盘）使用是否异常；

4.检查系统网络连接状态和记录是否存在异常；

5.检查是否有异常操作的用户,如发现在异常，停用异常用户;

6.查看除root帐号外，其他帐号是否存在sudo权限;

7.巡检服务器设置的密码，发现弱口令及时修改为强口令；

8.巡检服务器上的漏洞修复情况，发现有未修复的漏洞及时进行处理。

Part7分析巡检结果得出检查结论和整改

1.通过检查防火墙白名单策略状态及设置，未发现策略状态及设置存在异常的情况；

2.通过巡检服务器日志，检查IP注册情况，未发现异常情况的注册访问IP；

3.通过检查物联网平台资源（CPU、内存、磁盘）使用情况，未发现资源存在异常；

4.通过检查系统网络连接状态和记录，未发现异常情况；

5.通过检查用户操作记录日志,未发现在异常操作用户;

6.通过查看除root帐号外其他帐号，未发现存在sudo权限;

7.通过巡检服务器设置的密码，未发现弱口令；

8.过巡检服务器上的漏洞修复情况，未发现有未修复的漏洞。

物联网平台安全演练过程中暴露出个别成员演练流程认识不足，沟通能力有待提高的问题。针对演练过程暴露的问题，物联网平台项目组将加强流程制度的宣贯与学习，从细处着手，梳理并确定项目组成员与技术人员的沟通机制，建立专项沟通群，建立高效的信息共享渠道。

原文始发于微信公众号（DX安全实验室）：沙盘推演-针对A市供电局物联网平台攻击