#ICS_Security_Levels
شرکت Dragos در شرح استراتژی امنیتی خود در شبکه و سیستم های صنعتی, پرده از دیوایس های سخت افزاری Detection خود برداشت,
همونطور که در تصویر مشاهده میکنید در قدم اول سنسورهایی در کنار ترافیک های رد و بدل شده میانه دیوایس های PLC و RTU وجود داره که مامور محافظت از پردازش های Physical هستش , در مرحله دوم یکسری Midpoint دیده میشه که در میان ارتباطات شبکه ای PLC ها و مرکز کنترل آنها یعنی SCADA قرار داره , کار این Midpoint شبیه به فایروال های ASA شرکت Cisco هستش, یعنی عمکرد آن محدود به بستن رول ها نمیشه و در امر رصد ترافیک های #Signature شده ی خطرناک و هم عملیات #Set_Patterning رو هم پوشش میده,
اما بعد از مرحله سوم ما پیاده سازی Operations های SOC و لاگر SIEM رو داریم که باقی عملیات کنترل و بررسی حوادث سایبری رو مانیتور خواهد کرد,
https://dragos.com/wp-content/uploads/Dragos_Platform_TCO_Data_Sheet.pdf
@Unk9vvN
شرکت Dragos در شرح استراتژی امنیتی خود در شبکه و سیستم های صنعتی, پرده از دیوایس های سخت افزاری Detection خود برداشت,
همونطور که در تصویر مشاهده میکنید در قدم اول سنسورهایی در کنار ترافیک های رد و بدل شده میانه دیوایس های PLC و RTU وجود داره که مامور محافظت از پردازش های Physical هستش , در مرحله دوم یکسری Midpoint دیده میشه که در میان ارتباطات شبکه ای PLC ها و مرکز کنترل آنها یعنی SCADA قرار داره , کار این Midpoint شبیه به فایروال های ASA شرکت Cisco هستش, یعنی عمکرد آن محدود به بستن رول ها نمیشه و در امر رصد ترافیک های #Signature شده ی خطرناک و هم عملیات #Set_Patterning رو هم پوشش میده,
اما بعد از مرحله سوم ما پیاده سازی Operations های SOC و لاگر SIEM رو داریم که باقی عملیات کنترل و بررسی حوادث سایبری رو مانیتور خواهد کرد,
https://dragos.com/wp-content/uploads/Dragos_Platform_TCO_Data_Sheet.pdf
@Unk9vvN
#IOCONTROL #ICS #Trojan
در ماه فوریه امسال یک Trojan توسط Qianxin XLab شناسایی شد با نام IOCONTROL که بر پایه سیستم های لینوکسی بوده و در خصوص حمله به زیرساخت های صنعتی، دستگاه های HMI و PLC و IIoT فعالیت می کرده است.
که بواسطه پروتکل MQTT که در خصوص تجهیزات اینترنت اشیاء صنعتی است، با مرکز کنترل و فرمان مهاجمین ارتباط می گرفته است.
این بدافزار از DNS-over-HTTPS برای ارسال ترافیک اطلاعات پیکربندی ها استفاده می کرده است که مبتنی بر سرویس ابری Cloudflare عمل میکرده که همین موضوع باعث پنهان ماندن C2 بوده است.
همچنین از MQTT over TLS برای محافظت از ارسال و دریافت فرمان های C2 استفاده می کرده است که داده ها با رمزنگاری AES و Mode رمزنگاری CBC فعالیت داشته است.
خود بدافزار نیز یک فایل فرمت ELF 32 بیت بوده و با UPX یکدور پک شده و امضای UPX تغییر داده شده به ABC!.
اما تکنیک ماندگاری Trojan نیز یک اسکریپت Bash بوده است که اقدام به اجرای iocontrol بصورت پنهان کرده و 5 ثانیه به خواب میرود.
@Unk9vvN
در ماه فوریه امسال یک Trojan توسط Qianxin XLab شناسایی شد با نام IOCONTROL که بر پایه سیستم های لینوکسی بوده و در خصوص حمله به زیرساخت های صنعتی، دستگاه های HMI و PLC و IIoT فعالیت می کرده است.
که بواسطه پروتکل MQTT که در خصوص تجهیزات اینترنت اشیاء صنعتی است، با مرکز کنترل و فرمان مهاجمین ارتباط می گرفته است.
این بدافزار از DNS-over-HTTPS برای ارسال ترافیک اطلاعات پیکربندی ها استفاده می کرده است که مبتنی بر سرویس ابری Cloudflare عمل میکرده که همین موضوع باعث پنهان ماندن C2 بوده است.
همچنین از MQTT over TLS برای محافظت از ارسال و دریافت فرمان های C2 استفاده می کرده است که داده ها با رمزنگاری AES و Mode رمزنگاری CBC فعالیت داشته است.
خود بدافزار نیز یک فایل فرمت ELF 32 بیت بوده و با UPX یکدور پک شده و امضای UPX تغییر داده شده به ABC!.
اما تکنیک ماندگاری Trojan نیز یک اسکریپت Bash بوده است که اقدام به اجرای iocontrol بصورت پنهان کرده و 5 ثانیه به خواب میرود.
@Unk9vvN
#CyberAv3ngers #PLC #HMI #ICS Attacks
تیم CyberAv3ngers در سالهای اخیر یکی از حملاتی که داشته است، هک کردن دستگاه های Unitronics Vision 101 صنعتی در اسرائیل است که یک تکنولوژی عملیاتی (OT) است که مامور کنترل یک فرایند اجرای صنعتی را معمولا بر عهده دارد.
این دستگاه دو مشکل امنیتی در همان بررسی اول دارد، اولی عدم وجود رمزنگاری و دوم مکانیزم احراز هویت شکننده که بعضا با رمز پیشفرض قابل دسترس بوده است.
تیم مهاجم، از طریق موتور های پایشگر شبکه مانند Shodan امکان دیدن پروتکل PCOM مختص دستگاه Unitronics را داشته است که بدون نیاز به احراز هویت امکان دسترسی بهش وجود داشته.
مهاجمین کاری که کردند این بوده که ساختار پروتکل PCOM رو شبیه سازی کرده و فرمان های مد نظر خودشون رو مستقیما به پروتکل داده اند و چون مکانیزم رمزنگاری و احراز هویتی وجود نداشته دستگاه کافی بوده در معرض اینترنت قرار میداشته تا فرمان رو دریافت و اجرا میکرده.
این Opcode های تعریف شده در پروتکل، حتی امکان نوشتن یا خواندن در حافظه PLC رو میداده است.
همچنین بواسطه CVE-2024-38434 مهاجمین امکان دور زدن پسورد بارگزاری پروژه را میداده است.
@Unk9vvN
تیم CyberAv3ngers در سالهای اخیر یکی از حملاتی که داشته است، هک کردن دستگاه های Unitronics Vision 101 صنعتی در اسرائیل است که یک تکنولوژی عملیاتی (OT) است که مامور کنترل یک فرایند اجرای صنعتی را معمولا بر عهده دارد.
این دستگاه دو مشکل امنیتی در همان بررسی اول دارد، اولی عدم وجود رمزنگاری و دوم مکانیزم احراز هویت شکننده که بعضا با رمز پیشفرض قابل دسترس بوده است.
تیم مهاجم، از طریق موتور های پایشگر شبکه مانند Shodan امکان دیدن پروتکل PCOM مختص دستگاه Unitronics را داشته است که بدون نیاز به احراز هویت امکان دسترسی بهش وجود داشته.
مهاجمین کاری که کردند این بوده که ساختار پروتکل PCOM رو شبیه سازی کرده و فرمان های مد نظر خودشون رو مستقیما به پروتکل داده اند و چون مکانیزم رمزنگاری و احراز هویتی وجود نداشته دستگاه کافی بوده در معرض اینترنت قرار میداشته تا فرمان رو دریافت و اجرا میکرده.
این Opcode های تعریف شده در پروتکل، حتی امکان نوشتن یا خواندن در حافظه PLC رو میداده است.
همچنین بواسطه CVE-2024-38434 مهاجمین امکان دور زدن پسورد بارگزاری پروژه را میداده است.
@Unk9vvN