Solutions for Embedded Security und... · Solutions for Embedded Security www ... 2017 Stand der Technik auf der Gegenseite – Einführung in Hacking-Tools Erfurth 22.-23 ... Windows

ww

w.p

rote

ctem

.de

Solutions for Embedded Security

www.protectem.de

VDE/DKE-TagungFunktionale Sicherheit und IT-Sicherheit

2017

Stand der Technik auf der Gegenseite –Einführung in Hacking-Tools

Erfurth22.-23. März 2017

Laurin Dörr, M.Sc.

ProtectEM GmbHBramersberg 994262 KollnburgTel. +49 (0) [email protected]

ww

w.p

rote

ctem

.de

Agenda

• Cyber-Gefahr in der Industrie

• USB-Schnittstelle als Einfallstor

• High Level Tools

• Mehrstufige Angriffe– Auffinden von Geräten

– Infizieren von Geräten

• Live-Hacking einer Modbus-SPS

03/2017Stand der Technik auf der Gegenseite - Einführung in Hacking-Tools 2

ww

w.p

rote

ctem

.de


Stand der Technik auf der Gegenseite

Cyber-Gefahr in der Industrie

ww

w.p

rote

ctem

.de

Hackerangriff auf Ukrainische Stromversorgung (Dez. 2015)

• Bis zu 700.000 Haushalte ohne Strom

• Verbindungen zwischen den

Umspannstationen wurden unterbrochen.

• Blackenergy als Malware zur

Steuerung der Rechner

• KillDisk blockierte die Steuerrechner nur manuelles schließen der Verbindungen war möglich.

• Das Telefonsystem wurde durch eine DoS-Attacke lahmgelegt, um Störmeldungen zu verhindern.

• Erneuter Angriff Januar 2017


ww

w.p

rote

ctem

.de

Ausfall von 900.000 Telekom-Router (Nov. 2016)

• Ein dem Mirai-Botnetz ähnliches Netzwerk versucht weltweit Router aufzuspüren und über das Fernwartungsprotokoll TR-069 zu kapern.

• Die Router selbst wurden nicht kompromittiert

• Da die Router nicht auf Linux basierten, konnte die eigentliche Malware nicht ausgeführt werde.

• Die Router sind wegen der Anfragewelle des Bot-Netzwerks ausgefallen.


ww

w.p

rote

ctem

.de

Komplexität der Angriffe und benötigtes Wissen

• Das nötige Wissen hat abgenommen.

• Der industrielle IT Sektor hat am Wettrüsten der klassischen IT nicht teilgenommen.


Source: Lipson, Howard F.: Tracking and Tracing Cyber-Attack: Technical Challenges And Global Policy Issues CMU/SEI-2002-SR-009

Be

nö

tig

tes W

isse

n

1980 1985 1990 1995 2000 2005 2010

Passwörterraten

Selbstverbreitender Code

Passwörter knacken

Ausnutzenbekannter

Schwachstellen

Deaktivieren vonAudit-Maßnahmen

Backdoors

SessionHijacking

AutomatisierteSchwachstellen-

Scanner

Stealthscanning

PacketSpoofing

AntiDetection

Viren / TrojanerConstruction Kits

HybrideMultiprotokoll-

Angriffe

PhishingConstruction Kits

Level der

benötigten

Fähigkeiten

Hacker

Tools

Komplexität der Angriffe

Quelle: Alexander Geschonneck: Computer-Forensik Systemeinbrüche erkennen, ermitteln, aufklären; dpunkt.verlag GmbH, 2011

ww

w.p

rote

ctem

.de

Terminologie


Vulnerability

Exploit

Payload

char password_string[16];

strcpy(password_buf,input);

./programm (perl -e

print \ A x46 )

AAAAAAAAAAAAAAAAAAAAAAA

AAAAAAAAAAAAAAAAAAAAAAA

ww

w.p

rote

ctem

.de



USB-Schnittstelle als Einfallstor

ww

w.p

rote

ctem

.de

ESET entdeckt USB-basierten Datendieb (März 2016)

• Nutzt ausschließlich USB-Sticks für die Verbreitung

• Hinterlässt keine Hinweise auf dem kompromittierten Rechner

• Integrierter Schutz vor Reproduktion und Kopien

• Schwer zu entdecken und zu analysieren


http://www.welivesecurity.com/deutsch/2016/03/24/eset-entdeckt-usb-basierte-datenklauende-malware/

ww

w.p

rote

ctem

.de

Scripted Keyboard Attacken


Rubber ducky: http://hakshop.myshopify.com/products/usb-rubber-ducky

• Anmeldung ans Betriebssystem als Keyboard

• Sendet Befehle an das System

• Kann ganze Exploits ausführen

• Schwer zu entdecken (kann in jedem USB-Geräte versteckt werden)

ww

w.p

rote

ctem

.de



High Level Tools

ww

w.p

rote

ctem

.de

BlackEnergy

• Einfache Erstellung von Bot-Netzwerken

• Modularer Aufbau

• Kann mit verschiedenen Apps aufgewertet werden

• App KillDisk integriert


Quelle: http://blog.sqrrl.com/blackenergy-mitigation-with-big-data-analytics

ww

w.p

rote

ctem

.de

BlackEnergy

• Kann sich Administrator Rechte verschaffen

• 64-bit kompatibel

• Verschiedene Infektionswege möglich


Quelle: F-Secure Labs, Whitepaper BlackEnergy & Quedagh

ww

w.p

rote

ctem

.de

Stuxnet

• Sehr komplex

• Infektion offline möglich

• Kann Windows und Siemens SPS Systeme übernehmen

• Verbreitet sich selbstständig in einem Netzwerk


Source: Byres, Eric et al.: How Stuxnet Spreads – A Study of Infection Paths in Best Practice Systems White

Paper: Tofino Security | Abterra Technologies | ScadaHacker.com; Feb. 22, 2011

ww

w.p

rote

ctem

.de

Flame

• Infektion online und offline möglich

• Infektion über Windowsupdate möglich

• Verbreitet sich selbstständig in einem Netzwerk (auch über Bluetooth)

• Sehr groß (20 Mbyte) und Modular


Quelle: https://www.wired.com/images_blogs/threatlevel/2012/05/Flame-Infection-Methods.jpg

ww

w.p

rote

ctem

.de



Mehrstufige Angriffe

ww

w.p

rote

ctem

.de

Übersicht eines Angriffs

• Aushebeln/Umgehen von Firewalls

• Ausnutzen von Schwachstellen der verwendeten Systeme

• Angriff auf industrielle Komponenten


EagleDHCP-Server

192.168.105.1192.168.1.5

EagleDHCP-Server

192.168.180.1192.168.105.5

EagleDHCP-Server192.168.1.1

Bat192.168.180.3

Bat192.168.1.3

Managed192.168.1.4

Managed192.168.105.4

unmanaged

Tofino

Workstation192.168.180.99

Managed192.168.180.4

WWW

Raspberry Pi192.168.105.50

HMI192.168.180.43

PLC192.168.180.48

Windows XP192.168.105.201

Windows XP192.168.1.98

Industrial Network

DMZ

Office NetworkWindows XP192.168.1.99

Windows 7192.168.1.52

Windows Server 2008 R2192.168.105.20

Raspberry PiMYSQL

192.168.1.50

Raspberry PiOpenVPN-Server192.168.180.50

Managed172.168.50.1

Public IP

Internet

Attacker

192.168.180.76

ww

w.p

rote

ctem

.de



Auffinden von Geräten

ww

w.p

rote

ctem

.de

SHODAN

• https://www.shodan.io/

• Such-Engine fürverschiedene IndustrieSteuergeräte

• https://icsmap.shodan.io/

• Suchbegriffe– IEC 61131-3

– SIMATIC HMI

– WAGO 750

– …


https://www.shodan.io/

https://icsmap.shodan.io/

ww

w.p

rote

ctem

.de

Google-Hacking

• Verwendung von passenden Suchfilter ermöglicht es mit Google Industrie Steuerungen zu finden


ww

w.p

rote

ctem

.de

Network Mapper (Nmap)

• Open Source Tool

• Findet Geräte und offene Ports in einem Netzwerk

• Scans sind anpassbar, so dass sie nurschwer erkannt werden können.

• Grafische Benutzeroberfläche: Zenmap


https://www.linux.com/learn/zenmap-tutorial-audit-your-networks-using-nmap-gui

ww

w.p

rote

ctem

.de



Infizieren von Geräten

ww

w.p

rote

ctem

.de

Social Engineering – Faktor Mensch als Schwachstelle

2303/2017Stand der Technik auf der Gegenseite - Einführung in Hacking-Tools

ww

w.p

rote

ctem

.de

Infektionsmöglichkeiten

• Präparierte Links

• Makros in Office Dateien

• Malware in Dateiformaten verstecken (.pdf, .exe, …)

• Malware in normale Programme einbinden

• Ausgeklügeltes kompilieren um Signatur des Schadprogramms zu verändern (Obfuskation)


ww

w.p

rote

ctem

.de

Schadcode in Dateien – Social Engineering Toolkit

• Unter Anleitung kann ein kompletter Angriff vorbereitet werden.

• Anbindung an MetasploitFramework

• Erzeugen von Schadprogrammen (*.exe)


ww

w.p

rote

ctem

.de

Schadcode in Dateien – Veil

• Skripte zum generieren von Schadcode

• Erzeugen von Schadprogrammen (*.exe)

• Verschlüsselung der Maleware möglich

• Integrierter Virenscanner-Test


ww

w.p

rote

ctem

.de

Metasploit

• Penetration Testing Framework

• Liefert eine große Datenbank mit bekannten Schwachstellen

• Metasploit Module– Auxiliary

– Payload

– Exploit

– Post


http://www.metasploit.com/

ww

w.p

rote

ctem

.de

Armitage – Metasploit Frontend


ww

w.p

rote

ctem

.de



Live-Hacking einer Modbus-SPS

ww

w.p

rote

ctem

.de

Industrielle Protokolle

Industrie Protokolle auf Ethernet– Viele Protokolle nur in Ethernet Frames eingebettet

– Keine Sicherheit in den meisten Protokollen

• Kein Schutz gegen Lesen und Schreiben von Daten

• Keine Verschlüsselung der Daten


Modbus Application Header

Function code Data

MAC-Header IP-Header TCP-Header Checksum

MODBUS

Ethernet Frame

ww

w.p

rote

ctem

.de

Man-in-the-Middle

• ARP Tabelle – Kommunikation in lokalem Netzwerk

– Angreifer kann die Kommunikation nicht beobachten (bei geswitchtem Netzwerk)


Switch

HMIPLC

Angreifer

Direkte Verbindung

ww

w.p

rote

ctem

.de

Man-in-the-Middle

• ARP Spoofing– Angreifer „vergiftet“ ARP-Cache der Opfer

– Datenpakete werden über den Angreifer umgeleitet


http://ettercap.github.io/Switch

HMIPLC

Angreifer

ww

w.p

rote

ctem

.de

Fragen?

• [email protected]

Tel. +49 (0) 991.289.779-00

ProtectEM GmbH

Bramersberg 9

94262 Kollnburg

www.protectem.de

Stand der Technik auf der Gegenseite - Einführung in Hacking-Tools 3303/2017

Documents

Solutions for Embedded Security und... · Solutions for Embedded Security www ... 2017 Stand der Technik auf der Gegenseite – Einführung in Hacking-Tools Erfurth 22.-23 ... Windows