Как «белые хакеры» , мы, в конечном счёте, хотим иметь возможность разрабатывать эксплойты для систем SCADA/ICS. Таким образом, мы можем обнаруживать уязвимости и эксплойты раньше, чем это сделают «чёрные хакеры», и устранять их до того, как ими воспользуются злоумышленники. В этой статье я хочу дать вам базовое описание процесса разработки эксплойта нулевого дня для систем SCADA/ICS.
Разработка эксплойта нулевого дня для систем SCADA/ICS существенно отличается от разработки для систем Windows. Ключевое отличие заключается в неоднородности систем SCADA/ICS. Другими словами, существует множество протоколов, множество поставщиков и множество конфигураций оборудования. Эта неоднородность может значительно упростить разработку эксплойта в одних случаях, а в других — значительно усложнить.
Надеюсь, само собой разумеется, что перед разработкой эксплойтов необходимо понимать принципы работы систем SCADA/ICS. Перед тем, как приступить к разработке эксплойтов для SCADA, обязательно изучите всю мою серию статей о взломе SCADA .
Существует пять основных шагов для разработки эксплойта нулевого дня в системах SCADA/ICS.
1. Выберите свою цель
В отличие от типичных компьютерных систем и сетей, при разработке эксплойта для SCADA/ICS-системы необходимо сначала определиться с целью. Учитывая десятки протоколов и поставщиков, необходимо сначала определить, что именно является вашей целью . Это может быть протокол, например MODBUS, конкретный ПЛК, например, Seimens S7-1200, или конкретная отрасль, например, нефтепроводная.
Если вы выберете конкретную отрасль, вам потребуется провести дополнительное исследование того, какие системы, протоколы и ПЛК используются в этой отрасли. Например, если вы ориентируетесь на нефтепроводную отрасль , вам необходимо будет провести исследование и убедиться, что ПЛК Honeywell, использующие протокол PROFIBUS, являются одними из самых популярных в этой отрасли. Зная это, вам потребуется изучить всю имеющуюся информацию об этой системе, что подводит нас к шагу 2.
2. Изучите и изучите документацию объекта .
После выбора целевой системы следует изучить её документацию. В большинстве случаев производитель публикует её онлайн в формате PDF, чтобы предоставить разработчикам и клиентам необходимую информацию. Эта документация поможет вам понять, для чего предназначена система . Она может стать ценным источником информации о ключевых уязвимостях и их разработке.
Например, если вы разрабатываете эксплойт для вездесущего Siemens S7-1200, компания Seimens предоставляет нам обширную документацию на своём сайте. Это 864-страничное руководство содержит подробную информацию о внутренней работе этого распространённого ПЛК. Внимательно изучите его, чтобы найти подсказки об уязвимостях этой системы, особенно в разделах «Конфигурация устройства», «Базовые и расширенные инструкции», «Связь» и «Веб-сервер». Практически все производители предоставляют аналогичные подробные руководства по эксплуатации, доступные онлайн.
3. Составьте список и определите приоритеты доступных интерфейсов
В большинстве случаев у объекта атаки будет как минимум один интерфейс, используемый для связи и управления системой. Эти интерфейсы могут представлять собой TCP-сокет, датчик, USB-порт или любой другой способ входа и выхода информации из системы. В некоторых редких случаях объект атаки может быть полностью отключен, что затрудняет, но не исключает его (вспомним, что иранский завод по обогащению урана в Натанзе, целью Stuxnet, был отключен). Пока же сосредоточимся на объектах с доступным интерфейсом.
Большинство объектов SCADA/ICS оснащены человеко-машинным интерфейсом (HMI) для мониторинга и управления объектом, а также архиватором данных для архивации информации о системе. Оба эти устройства обычно взаимодействуют через TCP-сокет и могут служить точкой входа в систему SCADA.
4. Проанализируйте и протестируйте каждый интерфейс
Получив список и приоритет для каждого интерфейса, мы можем приступить к этапу анализа и тестирования. Это ключевой этап разработки эксплойта и, вероятно, самый трудоёмкий.
У нас есть как минимум три способа подойти к этому процессу, и они требуют определённых навыков высокого уровня. Вот некоторые из них:
1. Фаззинг
2. Статический бинарный анализ
3. Динамический бинарный анализ
Подробное описание каждого из этих процессов выходит за рамки данной статьи, но я постараюсь дать их краткое изложение ниже.
Фаззинг
Фаззинг — это процесс подачи больших объёмов случайных данных в интерфейс и наблюдения за результатами. Обычно этот процесс автоматизирован и выполняется с помощью приложения для фаззинга, например, Powerfuzzer, Peach, Aegis или Defensics.
Идея здесь заключается в попытке взлома приложения или системы с помощью этих случайных данных. Если нам удастся найти строку, которая нарушает работу приложения или системы, мы, возможно, на пути к уязвимости. Очевидно, что строка, которая нарушает работу системы, потенциально может быть использована для DoS-атаки и может привести к другим уязвимостям. В конечном счёте, мы надеемся, что она может привести к переполнению буфера, которое можно будет эксплуатировать для запуска нашего удалённого кода.
Статический двоичный анализ
Как следует из названия, статический двоичный анализ предполагает открытие и анализ двоичных файлов без запуска кода. Таким образом, мы можем получить некоторое представление о том, что на самом деле делает код. Обычно для этого требуется дизассемблер, такой как IDA Pro . IDA Pro является стандартом для дизассемблирования в этом типе анализа (см. мою следующую серию статей об обратной разработке и разработке эксплойтов с использованием IDA Pro).
Динамический двоичный анализ
Иногда нам нужно запустить код, чтобы понять, что он делает. Именно здесь на помощь приходит динамический двоичный анализ. В статическом двоичном анализе мы используем дизассемблер, такой как IDA Pro. В динамическом двоичном анализе нам нужен инструмент, который позволяет запустить код и остановить его в точках останова, чтобы проанализировать, какие инструкции выполняются и что находится в различных областях памяти. Эти инструменты называются отладчиками. Такие инструменты, как IDA Python и Immunity, являются отличными отладчиками.
Эти инструменты позволят вам запустить код, прерывая его в ключевых точках для изучения и анализа ассемблерного кода, а затем изучить содержимое ключевых областей памяти. Зачастую в ходе этого процесса мы можем обнаружить ошибки в коде, которые позволят нам взломать систему.
5. Использовать уязвимости
Надеемся, после проведения этого анализа вы обнаружили хотя бы одну уязвимость в коде или системе. Иногда эти уязвимости включают запуск фрагмента кода, останавливающего ПЛК (DoS-атака), или удалённый запуск кода на целевой системе, позволяющий вам получить контроль над системой. Многие из этих систем имеют жёстко запрограммированные пароли, обнаружение которых позволит вам получить контроль над ними. Их часто можно найти в документации, описанной в шаге 2, или в моём списке паролей SCADA по умолчанию .
Надеюсь, теперь у вас есть базовая основа для разработки эксплойта нулевого дня для SCADA. В январе я начну серию обучающих материалов по реверс-инжинирингу, где мы научимся проводить статический и динамический двоичный анализ с помощью IDA Pro и Immunity для разработки эксплойтов. Так что, мои начинающие хакеры, возвращайтесь, чтобы освоить самый важный навык XXI века — хакерство!
Разработка эксплойта нулевого дня для систем SCADA/ICS существенно отличается от разработки для систем Windows. Ключевое отличие заключается в неоднородности систем SCADA/ICS. Другими словами, существует множество протоколов, множество поставщиков и множество конфигураций оборудования. Эта неоднородность может значительно упростить разработку эксплойта в одних случаях, а в других — значительно усложнить.
Надеюсь, само собой разумеется, что перед разработкой эксплойтов необходимо понимать принципы работы систем SCADA/ICS. Перед тем, как приступить к разработке эксплойтов для SCADA, обязательно изучите всю мою серию статей о взломе SCADA .
Существует пять основных шагов для разработки эксплойта нулевого дня в системах SCADA/ICS.
1. Выберите свою цель
В отличие от типичных компьютерных систем и сетей, при разработке эксплойта для SCADA/ICS-системы необходимо сначала определиться с целью. Учитывая десятки протоколов и поставщиков, необходимо сначала определить, что именно является вашей целью . Это может быть протокол, например MODBUS, конкретный ПЛК, например, Seimens S7-1200, или конкретная отрасль, например, нефтепроводная.
Если вы выберете конкретную отрасль, вам потребуется провести дополнительное исследование того, какие системы, протоколы и ПЛК используются в этой отрасли. Например, если вы ориентируетесь на нефтепроводную отрасль , вам необходимо будет провести исследование и убедиться, что ПЛК Honeywell, использующие протокол PROFIBUS, являются одними из самых популярных в этой отрасли. Зная это, вам потребуется изучить всю имеющуюся информацию об этой системе, что подводит нас к шагу 2.
2. Изучите и изучите документацию объекта .
После выбора целевой системы следует изучить её документацию. В большинстве случаев производитель публикует её онлайн в формате PDF, чтобы предоставить разработчикам и клиентам необходимую информацию. Эта документация поможет вам понять, для чего предназначена система . Она может стать ценным источником информации о ключевых уязвимостях и их разработке.
Например, если вы разрабатываете эксплойт для вездесущего Siemens S7-1200, компания Seimens предоставляет нам обширную документацию на своём сайте. Это 864-страничное руководство содержит подробную информацию о внутренней работе этого распространённого ПЛК. Внимательно изучите его, чтобы найти подсказки об уязвимостях этой системы, особенно в разделах «Конфигурация устройства», «Базовые и расширенные инструкции», «Связь» и «Веб-сервер». Практически все производители предоставляют аналогичные подробные руководства по эксплуатации, доступные онлайн.
3. Составьте список и определите приоритеты доступных интерфейсов
В большинстве случаев у объекта атаки будет как минимум один интерфейс, используемый для связи и управления системой. Эти интерфейсы могут представлять собой TCP-сокет, датчик, USB-порт или любой другой способ входа и выхода информации из системы. В некоторых редких случаях объект атаки может быть полностью отключен, что затрудняет, но не исключает его (вспомним, что иранский завод по обогащению урана в Натанзе, целью Stuxnet, был отключен). Пока же сосредоточимся на объектах с доступным интерфейсом.
Большинство объектов SCADA/ICS оснащены человеко-машинным интерфейсом (HMI) для мониторинга и управления объектом, а также архиватором данных для архивации информации о системе. Оба эти устройства обычно взаимодействуют через TCP-сокет и могут служить точкой входа в систему SCADA.
4. Проанализируйте и протестируйте каждый интерфейс
Получив список и приоритет для каждого интерфейса, мы можем приступить к этапу анализа и тестирования. Это ключевой этап разработки эксплойта и, вероятно, самый трудоёмкий.
У нас есть как минимум три способа подойти к этому процессу, и они требуют определённых навыков высокого уровня. Вот некоторые из них:
1. Фаззинг
2. Статический бинарный анализ
3. Динамический бинарный анализ
Подробное описание каждого из этих процессов выходит за рамки данной статьи, но я постараюсь дать их краткое изложение ниже.
Фаззинг
Фаззинг — это процесс подачи больших объёмов случайных данных в интерфейс и наблюдения за результатами. Обычно этот процесс автоматизирован и выполняется с помощью приложения для фаззинга, например, Powerfuzzer, Peach, Aegis или Defensics.
Идея здесь заключается в попытке взлома приложения или системы с помощью этих случайных данных. Если нам удастся найти строку, которая нарушает работу приложения или системы, мы, возможно, на пути к уязвимости. Очевидно, что строка, которая нарушает работу системы, потенциально может быть использована для DoS-атаки и может привести к другим уязвимостям. В конечном счёте, мы надеемся, что она может привести к переполнению буфера, которое можно будет эксплуатировать для запуска нашего удалённого кода.
Статический двоичный анализ
Как следует из названия, статический двоичный анализ предполагает открытие и анализ двоичных файлов без запуска кода. Таким образом, мы можем получить некоторое представление о том, что на самом деле делает код. Обычно для этого требуется дизассемблер, такой как IDA Pro . IDA Pro является стандартом для дизассемблирования в этом типе анализа (см. мою следующую серию статей об обратной разработке и разработке эксплойтов с использованием IDA Pro).
Динамический двоичный анализ
Иногда нам нужно запустить код, чтобы понять, что он делает. Именно здесь на помощь приходит динамический двоичный анализ. В статическом двоичном анализе мы используем дизассемблер, такой как IDA Pro. В динамическом двоичном анализе нам нужен инструмент, который позволяет запустить код и остановить его в точках останова, чтобы проанализировать, какие инструкции выполняются и что находится в различных областях памяти. Эти инструменты называются отладчиками. Такие инструменты, как IDA Python и Immunity, являются отличными отладчиками.
Эти инструменты позволят вам запустить код, прерывая его в ключевых точках для изучения и анализа ассемблерного кода, а затем изучить содержимое ключевых областей памяти. Зачастую в ходе этого процесса мы можем обнаружить ошибки в коде, которые позволят нам взломать систему.
5. Использовать уязвимости
Надеемся, после проведения этого анализа вы обнаружили хотя бы одну уязвимость в коде или системе. Иногда эти уязвимости включают запуск фрагмента кода, останавливающего ПЛК (DoS-атака), или удалённый запуск кода на целевой системе, позволяющий вам получить контроль над системой. Многие из этих систем имеют жёстко запрограммированные пароли, обнаружение которых позволит вам получить контроль над ними. Их часто можно найти в документации, описанной в шаге 2, или в моём списке паролей SCADA по умолчанию .
Надеюсь, теперь у вас есть базовая основа для разработки эксплойта нулевого дня для SCADA. В январе я начну серию обучающих материалов по реверс-инжинирингу, где мы научимся проводить статический и динамический двоичный анализ с помощью IDA Pro и Immunity для разработки эксплойтов. Так что, мои начинающие хакеры, возвращайтесь, чтобы освоить самый важный навык XXI века — хакерство!
