Upload
hoanghuong
View
241
Download
0
Embed Size (px)
Citation preview
ww
w.p
rote
ctem
.de
Solutions for Embedded Security
www.protectem.de
VDE/DKE-TagungFunktionale Sicherheit und IT-Sicherheit
2017
Stand der Technik auf der Gegenseite –Einführung in Hacking-Tools
Erfurth22.-23. März 2017
Laurin Dörr, M.Sc.
ProtectEM GmbHBramersberg 994262 KollnburgTel. +49 (0) [email protected]
ww
w.p
rote
ctem
.de
Agenda
• Cyber-Gefahr in der Industrie
• USB-Schnittstelle als Einfallstor
• High Level Tools
• Mehrstufige Angriffe– Auffinden von Geräten
– Infizieren von Geräten
• Live-Hacking einer Modbus-SPS
03/2017Stand der Technik auf der Gegenseite - Einführung in Hacking-Tools 2
ww
w.p
rote
ctem
.de
03/2017Stand der Technik auf der Gegenseite - Einführung in Hacking-Tools 3
Stand der Technik auf der Gegenseite
Cyber-Gefahr in der Industrie
ww
w.p
rote
ctem
.de
Hackerangriff auf Ukrainische Stromversorgung (Dez. 2015)
• Bis zu 700.000 Haushalte ohne Strom
• Verbindungen zwischen den
Umspannstationen wurden unterbrochen.
• Blackenergy als Malware zur
Steuerung der Rechner
• KillDisk blockierte die Steuerrechner nur manuelles schließen der Verbindungen war möglich.
• Das Telefonsystem wurde durch eine DoS-Attacke lahmgelegt, um Störmeldungen zu verhindern.
• Erneuter Angriff Januar 2017
03/2017Stand der Technik auf der Gegenseite - Einführung in Hacking-Tools 4
ww
w.p
rote
ctem
.de
Ausfall von 900.000 Telekom-Router (Nov. 2016)
• Ein dem Mirai-Botnetz ähnliches Netzwerk versucht weltweit Router aufzuspüren und über das Fernwartungsprotokoll TR-069 zu kapern.
• Die Router selbst wurden nicht kompromittiert
• Da die Router nicht auf Linux basierten, konnte die eigentliche Malware nicht ausgeführt werde.
• Die Router sind wegen der Anfragewelle des Bot-Netzwerks ausgefallen.
03/2017Stand der Technik auf der Gegenseite - Einführung in Hacking-Tools 5
ww
w.p
rote
ctem
.de
Komplexität der Angriffe und benötigtes Wissen
• Das nötige Wissen hat abgenommen.
• Der industrielle IT Sektor hat am Wettrüsten der klassischen IT nicht teilgenommen.
03/2017Stand der Technik auf der Gegenseite - Einführung in Hacking-Tools 6
Source: Lipson, Howard F.: Tracking and Tracing Cyber-Attack: Technical Challenges And Global Policy Issues CMU/SEI-2002-SR-009
Be
nö
tig
tes W
isse
n
1980 1985 1990 1995 2000 2005 2010
Passwörterraten
Selbstverbreitender Code
Passwörter knacken
Ausnutzenbekannter
Schwachstellen
Deaktivieren vonAudit-Maßnahmen
Backdoors
SessionHijacking
AutomatisierteSchwachstellen-
Scanner
Stealthscanning
PacketSpoofing
AntiDetection
Viren / TrojanerConstruction Kits
HybrideMultiprotokoll-
Angriffe
PhishingConstruction Kits
Level der
benötigten
Fähigkeiten
Hacker
Tools
Komplexität der Angriffe
Quelle: Alexander Geschonneck: Computer-Forensik Systemeinbrüche erkennen, ermitteln, aufklären; dpunkt.verlag GmbH, 2011
ww
w.p
rote
ctem
.de
Terminologie
03/2017Stand der Technik auf der Gegenseite - Einführung in Hacking-Tools 7
Vulnerability
Exploit
Payload
char password_string[16];
strcpy(password_buf,input);
./programm (perl -e
print \ A x46 )
AAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAA
ww
w.p
rote
ctem
.de
03/2017Stand der Technik auf der Gegenseite - Einführung in Hacking-Tools 8
Stand der Technik auf der Gegenseite
USB-Schnittstelle als Einfallstor
ww
w.p
rote
ctem
.de
ESET entdeckt USB-basierten Datendieb (März 2016)
• Nutzt ausschließlich USB-Sticks für die Verbreitung
• Hinterlässt keine Hinweise auf dem kompromittierten Rechner
• Integrierter Schutz vor Reproduktion und Kopien
• Schwer zu entdecken und zu analysieren
03/2017Stand der Technik auf der Gegenseite - Einführung in Hacking-Tools 9
http://www.welivesecurity.com/deutsch/2016/03/24/eset-entdeckt-usb-basierte-datenklauende-malware/
ww
w.p
rote
ctem
.de
Scripted Keyboard Attacken
03/2017Stand der Technik auf der Gegenseite - Einführung in Hacking-Tools 10
Rubber ducky: http://hakshop.myshopify.com/products/usb-rubber-ducky
• Anmeldung ans Betriebssystem als Keyboard
• Sendet Befehle an das System
• Kann ganze Exploits ausführen
• Schwer zu entdecken (kann in jedem USB-Geräte versteckt werden)
ww
w.p
rote
ctem
.de
03/2017Stand der Technik auf der Gegenseite - Einführung in Hacking-Tools 11
Stand der Technik auf der Gegenseite
High Level Tools
ww
w.p
rote
ctem
.de
BlackEnergy
• Einfache Erstellung von Bot-Netzwerken
• Modularer Aufbau
• Kann mit verschiedenen Apps aufgewertet werden
• App KillDisk integriert
03/2017Stand der Technik auf der Gegenseite - Einführung in Hacking-Tools 12
Quelle: http://blog.sqrrl.com/blackenergy-mitigation-with-big-data-analytics
ww
w.p
rote
ctem
.de
BlackEnergy
• Kann sich Administrator Rechte verschaffen
• 64-bit kompatibel
• Verschiedene Infektionswege möglich
03/2017Stand der Technik auf der Gegenseite - Einführung in Hacking-Tools 13
Quelle: F-Secure Labs, Whitepaper BlackEnergy & Quedagh
ww
w.p
rote
ctem
.de
Stuxnet
• Sehr komplex
• Infektion offline möglich
• Kann Windows und Siemens SPS Systeme übernehmen
• Verbreitet sich selbstständig in einem Netzwerk
03/2017Stand der Technik auf der Gegenseite - Einführung in Hacking-Tools 14
Source: Byres, Eric et al.: How Stuxnet Spreads – A Study of Infection Paths in Best Practice Systems White
Paper: Tofino Security | Abterra Technologies | ScadaHacker.com; Feb. 22, 2011
ww
w.p
rote
ctem
.de
Flame
• Infektion online und offline möglich
• Infektion über Windowsupdate möglich
• Verbreitet sich selbstständig in einem Netzwerk (auch über Bluetooth)
• Sehr groß (20 Mbyte) und Modular
03/2017Stand der Technik auf der Gegenseite - Einführung in Hacking-Tools 15
Quelle: https://www.wired.com/images_blogs/threatlevel/2012/05/Flame-Infection-Methods.jpg
ww
w.p
rote
ctem
.de
03/2017Stand der Technik auf der Gegenseite - Einführung in Hacking-Tools 16
Stand der Technik auf der Gegenseite
Mehrstufige Angriffe
ww
w.p
rote
ctem
.de
Übersicht eines Angriffs
• Aushebeln/Umgehen von Firewalls
• Ausnutzen von Schwachstellen der verwendeten Systeme
• Angriff auf industrielle Komponenten
03/2017Stand der Technik auf der Gegenseite - Einführung in Hacking-Tools 17
EagleDHCP-Server
192.168.105.1192.168.1.5
EagleDHCP-Server
192.168.180.1192.168.105.5
EagleDHCP-Server192.168.1.1
Bat192.168.180.3
Bat192.168.1.3
Managed192.168.1.4
Managed192.168.105.4
unmanaged
Tofino
Workstation192.168.180.99
Managed192.168.180.4
WWW
Raspberry Pi192.168.105.50
HMI192.168.180.43
PLC192.168.180.48
Windows XP192.168.105.201
Windows XP192.168.1.98
Industrial Network
DMZ
Office NetworkWindows XP192.168.1.99
Windows 7192.168.1.52
Windows Server 2008 R2192.168.105.20
Raspberry PiMYSQL
192.168.1.50
Raspberry PiOpenVPN-Server192.168.180.50
Managed172.168.50.1
Public IP
Internet
Attacker
192.168.180.76
ww
w.p
rote
ctem
.de
03/2017Stand der Technik auf der Gegenseite - Einführung in Hacking-Tools 18
Stand der Technik auf der Gegenseite
Auffinden von Geräten
ww
w.p
rote
ctem
.de
SHODAN
• https://www.shodan.io/
• Such-Engine fürverschiedene IndustrieSteuergeräte
• https://icsmap.shodan.io/
• Suchbegriffe– IEC 61131-3
– SIMATIC HMI
– WAGO 750
– …
03/2017Stand der Technik auf der Gegenseite - Einführung in Hacking-Tools 19
ww
w.p
rote
ctem
.de
Google-Hacking
• Verwendung von passenden Suchfilter ermöglicht es mit Google Industrie Steuerungen zu finden
03/2017Stand der Technik auf der Gegenseite - Einführung in Hacking-Tools 20
ww
w.p
rote
ctem
.de
Network Mapper (Nmap)
• Open Source Tool
• Findet Geräte und offene Ports in einem Netzwerk
• Scans sind anpassbar, so dass sie nurschwer erkannt werden können.
• Grafische Benutzeroberfläche: Zenmap
03/2017Stand der Technik auf der Gegenseite - Einführung in Hacking-Tools 21
https://www.linux.com/learn/zenmap-tutorial-audit-your-networks-using-nmap-gui
ww
w.p
rote
ctem
.de
03/2017Stand der Technik auf der Gegenseite - Einführung in Hacking-Tools 22
Stand der Technik auf der Gegenseite
Infizieren von Geräten
ww
w.p
rote
ctem
.de
Social Engineering – Faktor Mensch als Schwachstelle
2303/2017Stand der Technik auf der Gegenseite - Einführung in Hacking-Tools
ww
w.p
rote
ctem
.de
Infektionsmöglichkeiten
• Präparierte Links
• Makros in Office Dateien
• Malware in Dateiformaten verstecken (.pdf, .exe, …)
• Malware in normale Programme einbinden
• Ausgeklügeltes kompilieren um Signatur des Schadprogramms zu verändern (Obfuskation)
03/2017Stand der Technik auf der Gegenseite - Einführung in Hacking-Tools 24
ww
w.p
rote
ctem
.de
Schadcode in Dateien – Social Engineering Toolkit
• Unter Anleitung kann ein kompletter Angriff vorbereitet werden.
• Anbindung an MetasploitFramework
• Erzeugen von Schadprogrammen (*.exe)
03/2017Stand der Technik auf der Gegenseite - Einführung in Hacking-Tools 25
ww
w.p
rote
ctem
.de
Schadcode in Dateien – Veil
• Skripte zum generieren von Schadcode
• Erzeugen von Schadprogrammen (*.exe)
• Verschlüsselung der Maleware möglich
• Integrierter Virenscanner-Test
03/2017Stand der Technik auf der Gegenseite - Einführung in Hacking-Tools 26
ww
w.p
rote
ctem
.de
Metasploit
• Penetration Testing Framework
• Liefert eine große Datenbank mit bekannten Schwachstellen
• Metasploit Module– Auxiliary
– Payload
– Exploit
– Post
03/2017Stand der Technik auf der Gegenseite - Einführung in Hacking-Tools 27
http://www.metasploit.com/
ww
w.p
rote
ctem
.de
Armitage – Metasploit Frontend
03/2017Stand der Technik auf der Gegenseite - Einführung in Hacking-Tools 28
ww
w.p
rote
ctem
.de
03/2017Stand der Technik auf der Gegenseite - Einführung in Hacking-Tools 29
Stand der Technik auf der Gegenseite
Live-Hacking einer Modbus-SPS
ww
w.p
rote
ctem
.de
Industrielle Protokolle
Industrie Protokolle auf Ethernet– Viele Protokolle nur in Ethernet Frames eingebettet
– Keine Sicherheit in den meisten Protokollen
• Kein Schutz gegen Lesen und Schreiben von Daten
• Keine Verschlüsselung der Daten
03/2017Stand der Technik auf der Gegenseite - Einführung in Hacking-Tools 30
Modbus Application Header
Function code Data
MAC-Header IP-Header TCP-Header Checksum
MODBUS
Ethernet Frame
ww
w.p
rote
ctem
.de
Man-in-the-Middle
• ARP Tabelle – Kommunikation in lokalem Netzwerk
– Angreifer kann die Kommunikation nicht beobachten (bei geswitchtem Netzwerk)
03/2017Stand der Technik auf der Gegenseite - Einführung in Hacking-Tools 31
Switch
HMIPLC
Angreifer
Direkte Verbindung
ww
w.p
rote
ctem
.de
Man-in-the-Middle
• ARP Spoofing– Angreifer „vergiftet“ ARP-Cache der Opfer
– Datenpakete werden über den Angreifer umgeleitet
03/2017Stand der Technik auf der Gegenseite - Einführung in Hacking-Tools 32
http://ettercap.github.io/Switch
HMIPLC
Angreifer
ww
w.p
rote
ctem
.de
Fragen?
Tel. +49 (0) 991.289.779-00
ProtectEM GmbH
Bramersberg 9
94262 Kollnburg
www.protectem.de
Stand der Technik auf der Gegenseite - Einführung in Hacking-Tools 3303/2017