本篇文章主要結合作者工控信息安全及工控網絡攻防平臺CTF賽題編制等工作經驗,首先對上周團隊參與的2019工業信息安全大賽CTF線上比賽部分題目進行解析與總結����,接著對CTF相關知識及平臺進行介紹,最后對CTF收集的相關資源進行分享��。我也是從今年開始接觸CTF,所以寫這篇文章的目的是希望能跟大家一起學習探討工控安全CTF比賽相關知識
01��、概述
近年來���,伴隨著中國制造2025���、兩化融合及工業互聯網等一系列國家戰略逐步推進�����,工控網絡安全作為一門新興熱門行業引起了不少人的關注�����,為了培養更多的工控安全人才����,各種CTF安全比賽也是層出不窮��,就連最近熱播的“親愛的親愛的”電視劇里面K&K和SP戰隊也將CTF安全巡回大賽演繹的淋淋盡致,所以撰寫一篇CTF相關的文章刻不容緩�。
02、CTF 工業信息安全大賽線上題目回顧
2019 工業信息安全大賽第二場題目主要包括��,破解加密數據��、工控安全取證���、惡意軟件后門分析����、隱藏的黑客、簡單的工控固件逆向、奇怪的文件、簡單的流量分析���、另一個隱藏的黑客、特殊的工控流量10到題目,以及工業網絡滲透測試和scada系統滲透測試2道場景題�。
1.破解加解密數據題目分析
題目描述:
提供的加密算法文件如下:
1)解密方法����,獲取flag方式如下,flag為flag_EnCryp1
出題者剛開始只給了加密字符串,未提供加密算法�����,由于算法是自己寫的�,導致很多選手不能解出來����,過了幾個小時,出題方才提供了加密算法。
2.工控安全取證題目分析
題目描述:
1)首先利用linux file命令查看日志文件屬性����,發現capture.log被出題者故意篡改過�����,對解題人進行迷惑。從下圖中可以看出該文件為tcpdump 抓包后的文件
2)將文件名修改為capture.pcap 利用wireshark工具查看內容����,如下
短時間內發送了大量syn端口掃描包��,初步懷疑192.168.0.9主機發起syn端口掃描����,找到第四次掃描包編號11���,提交flag,平臺提示答案不正確���。
3)再次閱讀題目理解出題人的意思,第四次發起掃描數據包編號���,繼續分析題目,發現數據報文有多個ip都對192.168.0.99目標機器進行掃描�����,分別為192.168.0.9�、192.168.0.1、192.168.0.254�����、192.168.0.199��,它們共同特點是每次發起端口掃描時候�,先進行ping操作�����,嘗試提交第四次發起掃描第一個報文編號155989�,提交flag,顯示成功����。
1)一個黑客電腦為什么擁有多個源ip對目標機器進行端口掃描���,第一種猜測可能是利用masscan等端口掃描工具時候���,對源ip進行了隱藏與欺騙,防止觸發IDS等系統告警�。第二種可能是利用多個虛擬機分別進行掃描�。可以利用masscan 192.168.0.99 -p–65535 –source-ip 192.168.0.199 –rate 2000進行自行驗證�����。
2)黑客對工控網絡攻擊�,首先會利用諸如nmap��、masscan等工具利用syn�����、fin或者ack等方式進行快速端口掃描����,識別出重要工業控制資產類型,比如西門子plc(默認102端口)��、施耐得plc(默認502端口)等控制設備�,接著在進行工控資產識別���,識別出plc具體廠商、型號、固件版本等信息����。最后結合cnvd等漏洞庫對plc發起攻擊�,比如利用如下漏洞進行plc 拒絕服務攻擊���。
3.惡意軟件后門題目分析
題目描述:
1)首先利用linux file命令查看文件類型��,發現該惡意軟件是windows平臺下可執行文件��,如下圖所示
2)利用二進制查看工具對文件內容進行分析,關鍵內容如下所示
3)根據題目意思�����,尋找惡意樣本發起遠程連接的地址,可以推斷,10.151.69.3.128主機通過http post方式往c&c遠程地址5.39.218.152建立連接與通信�����,提交5.39.218.152 flag���,提示成功。
題目總結與思考:
1)真實工業環境中��,由于對工程師站��、操作員站以及員工筆記本非法安裝軟件可能會引入捆綁的惡意軟件��,當工程師筆記本接入工業控制環境��,工控網絡��、設備可能會被惡意軟件發起信息收集��、網絡攻擊等惡意行為�,造成不可估量的后果�����。
2)此題目描述和惡意樣本內容與2018年工業信息安全大賽-西部賽區第4題為同一題�����,屬于原題重現���,所以平時多做多分析工控CTF歷年大賽真題才是王道,題目資源可以從底部CTF相關賽題參考連接獲得�。
4.特殊的工控流量題目分析
題目描述:
1)首先利用wireshark打開數據包,初步流量數據報文��,發現工控流量只有s7common,利用過濾條件過濾出工控流量如下圖所示
2)根據以往編制工控協議CTF賽題相關經驗,一般異常數據會出現在黑客篡改plc 寄存器的數據���,引起plc非正常工作�����,所以首先想到對05寫下位機設備功能碼流量數據進行排查����,如下圖所示:
3)提取這串奇怪的數字發現為16進制��,利用工具進行字符串轉化,并提交is_not_real��,平臺顯示成功,如下圖所示:
題目總結與思考:
1)工控協議異常流量��,大多數早期工控協議如S7���、modbus����、ehternetip等均無授權、無認證保護,無防重放攻擊等安全機制、任何攻擊者都可以直接向使用這些工控協議的設備發起連接�,進行寄存器值修改或者寫入非協議規約的值��,導致壓力�����、流量等控制參數超出正常值�,或plc設備異常�����,引起工控環境遭受破壞�,造成不可估量的后果。
2)異常工控協議流量出題規律一般為往下位機設備寫入一個不符合規約的值�����,或上載����、下載一個帶有flag.txt的文件�,找出文件內容����;也可能黑客對返回上位機開關量0xff 修改為0×00�����,欺騙上位機未對某設備進行關閉操作的知識點進行出題�����。
5��、工業網絡滲透測試及SCADA系統滲透測試場景題目分析
題目描述如下:
由于需要答對前10道題目,場景題目才有機會進入��,遺憾不能看到真實場景,所以根據自己以往出場景題經驗�����,能對出題人的思路進行猜測��。
