ntopng如何監(jiān)控IEC 60870-5-104流量

上個(gè)月，已知的OT（運(yùn)營(yíng)技術(shù)）惡意軟件的數(shù)量從五個(gè)增加到七個(gè)。第一個(gè)被發(fā)現(xiàn)的惡意軟件是Industroyer2，它是在烏克蘭被發(fā)現(xiàn)的。正如現(xiàn)在流行的那樣，安全公司為他們發(fā)現(xiàn)的惡意軟件命名。這就是為什么第二個(gè)惡意軟件有兩個(gè)名字：Incontroller或Pipedream。這個(gè)惡意軟件在部署之前就被發(fā)現(xiàn)了。

Industroyer2[1]是Industroyer1的演變，首次出現(xiàn)在2014年。這兩種變種都針對(duì)電力能源部門，特別是在烏克蘭。由于該惡意軟件使用的是工業(yè)協(xié)議IEC-60870-5-104的命令，流量看起來(lái)像正常運(yùn)行時(shí)的合法通信。

Incontroller[2]是一套新的惡意軟件組件，目標(biāo)是美國(guó)的液化天然氣部門。與Industroyer2類似，pipedream使用流行的工業(yè)協(xié)議，如OPC-UA和ModbusTCP。此外，它還使用了工程工具的內(nèi)置功能，與PLC（過(guò)程邏輯控制器）等OT設(shè)備進(jìn)行交互。

這兩個(gè)惡意軟件清楚地表明，背后的犯罪分子已經(jīng)進(jìn)化，確實(shí)了解OT協(xié)議，并能夠使用CODESYS等合法軟件工程工具的內(nèi)置功能。

在過(guò)去的幾年里沒(méi)有改變的是，SCADA系統(tǒng)控制方式仍然是 “即發(fā)即忘 “。一個(gè)命令從控制系統(tǒng)的服務(wù)器發(fā)送到現(xiàn)場(chǎng)的客戶端?？蛻舳藢⑹录D(zhuǎn)化為一個(gè)物理動(dòng)作，比如打開(kāi)或關(guān)閉一個(gè)斷路器。翻譯回網(wǎng)絡(luò)流量，這意味著一個(gè)包含命令的數(shù)據(jù)包足以擾亂整個(gè)工業(yè)過(guò)程或電力分配。

Industroyer2使用IEC-104，是IEC 60870-5-104的簡(jiǎn)稱。IEC-104廣泛用于歐洲能源部門和公共事業(yè)部門，如水或廢水處理。
許多工業(yè)協(xié)議的一個(gè)特點(diǎn)是，即使協(xié)議是標(biāo)準(zhǔn)化的，其實(shí)施在不同的制造商甚至系統(tǒng)集成商之間也會(huì)有所不同。這意味著Hitachy能源公司實(shí)施的IEC-104與西門子的實(shí)施方式不同。運(yùn)營(yíng)商對(duì)它很熟悉，但對(duì)于網(wǎng)絡(luò)安全監(jiān)控來(lái)說(shuō)，這可能是一個(gè)挑戰(zhàn)。

監(jiān)測(cè)的進(jìn)一步困難是，一個(gè)傳輸IEC-104有效載荷的數(shù)據(jù)包可以有多個(gè)IEC-104的數(shù)據(jù)信息，稱為APDU。因此，傳統(tǒng)的基于TCP有效載荷的簽名檢測(cè)是行不通的。需要對(duì)有效負(fù)載進(jìn)行解析，以了解每個(gè)APDU包含的命令類型：

自2022年4月初發(fā)現(xiàn)Industroyer2以來(lái)，到目前為止，已經(jīng)發(fā)表了幾份分析該惡意軟件的報(bào)告。它們包含了惡意軟件如何工作的信息，捕獲的網(wǎng)絡(luò)數(shù)據(jù)，其中大多數(shù)包含了如何處理這種類型的惡意軟件的建議。仔細(xì)看看這些建議，或者現(xiàn)在稱為可操作項(xiàng)目，它們是高水平的項(xiàng)目。例如：

“使用異常檢測(cè)工具來(lái)檢測(cè)OT環(huán)境中發(fā)生的任何非正?；顒?dòng)”

“采用網(wǎng)絡(luò)分段，通過(guò)防火墻將敏感應(yīng)用（如PCN）與其他網(wǎng)絡(luò)部分分開(kāi)”

“利用ICS協(xié)議感知技術(shù)監(jiān)控東西向ICS網(wǎng)絡(luò)”

在我看來(lái)，可操作性不強(qiáng)，或者需要有一整套的商業(yè)產(chǎn)品。對(duì)于大多數(shù)中小企業(yè)來(lái)說(shuō)，這些產(chǎn)品并不適合操作。因此，我正在尋找如何以最小的努力檢測(cè)惡意軟件的方法。

讓我們來(lái)看看這個(gè)環(huán)境。SCADA網(wǎng)絡(luò)具有高度的確定性。意味著誰(shuí)在與誰(shuí)交談以及如何交談，即命令和控制模式是可重復(fù)的。對(duì)于IEC-104，這意味著在一天或工作日和周末的正常運(yùn)行時(shí)間段內(nèi)，可以發(fā)現(xiàn)相同類型和順序的IEC-104命令。

示例1：時(shí)間段為2個(gè)工作日和一個(gè)晚上，36小時(shí)：

發(fā)送的唯一命令是客戶端的時(shí)間同步。

將操作數(shù)據(jù)與可用的惡意軟件數(shù)據(jù)進(jìn)行比較，可以看到惡意軟件的不同行為：

惡意軟件正在向客戶端設(shè)備發(fā)送一個(gè)又一個(gè)命令(ASDU=3)，在IOA中迭代。有點(diǎn)類似于檢查主機(jī)上的不同端口并嘗試登錄。

從防御者的角度來(lái)看，我們顯然不能阻止端口2404，也不能阻止惡意軟件使用的命令，因?yàn)橐粋€(gè)或所有命令都是控制系統(tǒng)本身用于正常操作的。

但看看TypeID轉(zhuǎn)換，惡意軟件與合法流量是不同的：

在ntpng中，建立了三種檢測(cè)機(jī)制：

IEC意料之外的TypeID。由于操作員知道使用的TypeID，因此該檢查監(jiān)視未知或不允許的TypeID，并向其發(fā)出警報(bào)。

IEC無(wú)效轉(zhuǎn)換。在這個(gè)檢查中，將在預(yù)定義的時(shí)間段內(nèi)記錄TypeID轉(zhuǎn)換，即IEC60870學(xué)習(xí)期間，可在設(shè)置/首選項(xiàng)/行為分析下找到。如果檢測(cè)到未知的TypeID轉(zhuǎn)換，則會(huì)生成警報(bào)。

IEC無(wú)效命令轉(zhuǎn)換也會(huì)檢查轉(zhuǎn)換，但特別是命令的轉(zhuǎn)換。如果命令到命令的轉(zhuǎn)換量超過(guò)閾值，則會(huì)生成警報(bào)。

這三個(gè)檢查都可以在流檢查中找到。

對(duì)于“IEC無(wú)效轉(zhuǎn)換”，ntopng需要一個(gè)學(xué)習(xí)周期來(lái)跟蹤轉(zhuǎn)換。默認(rèn)設(shè)置為6小時(shí)，但最有可能需要更長(zhǎng)的學(xué)習(xí)時(shí)間，例如2天。

所有ntopng版本都支持IEC，因此您可以使用ntop工具監(jiān)控您的網(wǎng)絡(luò)。

今日推薦

ntop產(chǎn)品介紹

虹科提供網(wǎng)絡(luò)流量監(jiān)控與分析的軟件解決方案-ntop。該方案可在物理，虛擬，容器等多種環(huán)境下部署，部署簡(jiǎn)單且無(wú)需任何專業(yè)硬件即可實(shí)現(xiàn)高速流量分析。解決方案由多個(gè)組件構(gòu)成，每個(gè)組件即可單獨(dú)使用，與第三方工具集成，也可以靈活組合形成不同解決方案。包含的組件如下：

PF_RING：一種新型的網(wǎng)絡(luò)套接字，可顯著提高數(shù)據(jù)包捕獲速度，DPDK替代方案。

nProbe：網(wǎng)絡(luò)探針，可用于處理NetFlow/sFlow流數(shù)據(jù)或者原始流量。

n2disk：用于高速連續(xù)流量存儲(chǔ)處理和回放。