安装Conpot在linux系统中,如何安装可以参考https://conpot.readthedocs.io/en/latest/installation/quick_install.html
1.设置 IEC-104 模板
启动虚拟 Linux 环境。
使用命令启动 Conpot conpot -f –template IEC104。
确保 Conpot 和攻击者机器之间的虚拟网络通信。
2.探索目标
使用 Nmap进行扫描以查找开放的 tcp 端口:
显示的命令扫描所有 65535 个 tcp 端口,并显示 22/tcp 和 2404/tcp 已打开。 2404/tcp端口上的服务表示IEC-104协议。下一步是指纹识别。利用带有 iec-identify.nse 的脚本引擎,从目标中提取更多信息:
显示的命令在端口 2404 上运行脚本,显示重要信息,例如应用程序服务数据单元 (ASDU) 地址 7720,这对于后续交互至关重要。
Metasploit框架
现在配备了 ASDU,转向 Metasploit 框架进行进一步探索。加载iec-client模块,配置必要的参数来与目标建立通信:
use auxiliary/client/iec104
set RHOSTS <target_ip>
set ASDU 7720
这些命令选择并配置 iec104 客户端模块,设置从侦察阶段获得的目标 IP 地址 (RHOSTS) 和 ASDU 地址。
配置模块后,启动对目标的询问,以从信息对象中检索重要数据。执行命令 100(模块的默认设置)会触发询问过程,检索基础设施变电站内所有信息对象中存储的所有数据。
劫持信息对象
为了演示未经授权的访问的潜在影响,模拟了对信息对象的操作。用新值覆盖特定对象(例如,信息对象 3370)的内容:
set COMMAND_ADDRESS 3370
set COMMAND_TYPE 45
set COMMAND_VALUE 1
这些命令将模块配置为以信息对象 3370 为目标,并用值“1”覆盖其内容,展示了篡改 IOA 3370 中存储的数据的能力。
对工控安全的影响
通过蜜罐展示了电力网络攻击IEC-104协议,以及攻击者是如何攻击电力网络。同时建议实施网络分段和持续监控等策略可以有效减轻相关风险。
原文始发于微信公众号(IRTeam工业安全):如何利用蜜罐模拟 IEC-104 基础设施变电站的网络攻击?
